WithSecure(ウィズセキュア、旧社名: F-Secure)は2月1日、同社のセキュリティリサーチチームが、最近観測されたヨーロッパ、北米、南アジアの医療研究、エネルギー産業へのサイバー攻撃キャンペーンが、北朝鮮の国家サイバー攻撃グループ「Lazarus Group」によるものであると特定したリサーチ結果を発表した。
Lazarus Groupは、北朝鮮の朝鮮人民軍偵察総局の一部であると目されるAPT(Advanced Persistent Threat:高度かつ持続的な脅威)グループ。
同社のリサーチチームは、セキュリティプラットフォームの「WithSecure Elements」で保護されている企業でランサムウェアの疑いのある攻撃が検知されたことをきっかけに、Lazarus Groupの最新攻撃キャンペーンを観測した。
調査の結果、同キャンペーンはランサムウェアではなく、より大規模な情報収集オペレーションの一部であることを示す証拠を発見。収集した証拠にもとづき、同キャンペーンはLazarus Groupが諜報活動のために官民の医療研究機関、エネルギー、リサーチ、防衛、医療の各分野で利用される技術の開発メーカー、主要大学のケミカルエンジニアリング関連研究室などをターゲットにしていたものであると結論付けた。
日本のエネルギー業界は、Lazarus Groupによる攻撃キャンペーンのターゲットとはなっていないと思われるという。
しかし、2022年前半には同グループによるカナダ、アメリカ、日本のエネルギー関連企業へのサイバー攻撃が観測されているほか、同グループはこれまで日本を含む多くの国の暗号資産業界に攻撃を仕掛けたと目されているため、日本企業も防御を緩めてはならない状況となっていると指摘。
Lazarus Groupがこれまでの攻撃キャンペーンで使用した攻撃手法、テクノロジー、戦術などから、ウィズセキュアでは攻撃キャンペーンはLazarus Groupによるものであるという結論に達した。
過去の攻撃から進化したと考えられる点として「従来の攻撃とは異なりドメイン名を使用せずIPアドレスのみに依存するなど新しいインフラが使用されている」、「Lazarus GroupやKimsuky(北朝鮮が関与する攻撃グループ)が過去の攻撃で使用したインフォスティーラー型マルウェア『Dtrack』の改良版が使用されている」、「攻撃者がファイアウォールをバイパスしてリモートデスクトッププロトコル権限を持つ新しい管理者アカウントを作成できるマルウェア『GREASE』の新バージョンが使用されている」ことを挙げている。
リサーチチームが発見した注目すべき証拠の1つは、北朝鮮に属する1000未満のIPアドレスのうちの1つを攻撃者が短期間使用していたこと。このIPアドレスは、攻撃者が管理するWebシェルに短時間接続されたことが確認されており、リサーチチームではLazarus Groupのメンバーが手動で行ったミスであると推測している。