JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は1月26日、運営する情報ブログ「JPCERT/CC Eyes」の記事「攻撃グループLazarusによる攻撃オペレーション」において、サイバー犯罪集団「Lazarus」が攻撃に使用しているとされるマルウェア「Torisma」および「LCPDot」について、その影響や動作原理について詳しく伝えた。Lazarusは「HIDDEN COBRA」という別名でも知られており、活動には北朝鮮が関与しているとも言われている。

  • 攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

    攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

「Torisma」は、不正に加工されたWord文書を開くことで感染することが知られているマルウェア。外部からモジュールをダウンロードして実行するタイプのマルウェアで、ダウンロードされたモジュールは特定のファイルを実行したり、外部のサーバに対して情報を送信したりするなどの機能を持っている。

JPCERT/CCではDLLファイル形式のTorismaを確認しているという。このDLLファイルはWindowsのホストプログラムであるrundll32.exeの引数として実行される。実行されると、通信先などの情報を「%LOCALAPPDATA%.IdentityService\AccountStore.bak」に置かれた設定ファイルから読み込む。ただし、設定情報ファイルを読み込まない検体も確認されているとのことだ。

「LCPDot」も、Torismaと同様に外部からモジュールをダウンロードして実行するタイプのマルウェアになる。LCPDotの場合、通信先などの設定情報は外部ファイルではなく検体内部にXOR+Base64エンコードされて保持されており、実行時にその情報を「%TEMP%¥..¥Thumbnails.db」などのファイルに書き出すようになっているという。

LCPDotは、PCがTorismaに感染した後で、ネットワーク内に感染を広げるために使用された可能性が高いとのことだ。すなわち、TorismaとLCPDotは組み合わさることでより被害が拡大する可能性がある。