Lazarus

Lazarus グループによる DLL Side-Loading 手法の利用 (mi.dll)

ASEC 分析チームは、Lazarus 攻撃グループを追跡している最中、攻撃者が初期侵入段階で次の攻撃段階の達成のために正常なアプリケーションを利用した DLL Side-Loading 攻撃手法(T1574.002)を使用している状況を捕捉した。 DLL Side-Loading 攻撃手法は、正常なアプリケーションと不正な DLL を同じフォルダーパスに保存し、アプリケーションが実行されるときに不正な DLL…

Log4Shell の脆弱性を悪用する Lazarus グループ (NukeSped)

昨年12月、Java ベースのロギングユーティリティである Log4j の脆弱性(CVE-2021-44228)が世界的に問題となった。この脆弱性は、リモート先の Java オブジェクトのアドレスをログメッセージに含ませ Log4j を使用するサーバーに転送すると、サーバーから Java オブジェクトを実行できるリモートコード実行の脆弱性である。 https://asec.ahnlab.com/jp/29622/ ASEC…

INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア

AhnLab ASEC 分析チームは、2022年第1四半期に防衛産業企業を含む約47個の企業および機関が Lazarus グループから配布されているマルウェアに感染した状況を把握し、これらを深刻なものと判断してモニタリングを続けている。 被害を受けた企業では、INITECH 社のプロセス(inisafecrosswebexsvc.exe)により不正な振る舞いが発生することが確認された。 まず、被害を受けたシステムにおいて inisafecrosswebexsvc.exe に対する以下のような内容を確認した。 inisafecrosswebexsvc.exe ファイルは …