Lazarus グループは背後に国家がいると知られているハッキンググループの一つであり、金銭的な利益、資料の窃取などの目的で全世界を対象にハッキングを繰り返している。
Lazarus グループの INISAFE 脆弱性を悪用した水飲み場型攻撃を簡単にまとめると、マスコミの特定の記事に不正なリンク挿入、その記事をクリックする企業、機関がハッキングの対象、韓国国内の脆弱なホームページを C2 に悪用、そして制限された範囲のハッキングのために IP フィルタリングなどを使用、と説明できる。今回の水飲み場型攻撃は、悪用するプログラムの脆弱性がマジックラインに変更されただけで、プロセス自体は過去の INISAFE 事例と同じである。
AhnLab では、Lazarus グループのMagicLine脆弱性を悪用した水飲み場型攻撃に対応するため、様々なチームが協力し合った。MagicLine脆弱性を検知するための条件を研究してアンチウィルスをアップデートした分析チーム、検知された PC がカスタマーの PCである場合にログおよびサンプル収集などのカスタマーサポートを行った技術サポートチーム、収集したログの解析および国家機関とのコミュニケーションを担当した対応チームなど、様々なチームが力を合わせた。また、AhnLab は、国家機関との情報共有および協業を通して Lazarus グループのMagicLine脆弱性を悪用した水飲み場型攻撃を追跡し、解析を進めた。そこで、MagicLine製造メーカーの名前の一部とMagicLineの名前の一部を組み合わせ、今回の作戦を「Operation Dream Magic」と命名した。
このレポートには、マルウェアの解析内容、検知状況、一部企業の協力で収集したログの解析、国家機関との情報共有および協業などを通して解析した内容が含まれており、この作戦を Lazarus グループの仕業と判断した根拠についても説明されている。
[+] レポートダウンロード(韓国語のみ提供):20231013_Lazarus_OP.Dream_Magic
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報