APT Group Lazarus は防衛企業を標的にしています。 マルウェア「ThreatNeedle」も、インターネットにアクセスできない制限されたネットワークを攻撃します。
Kaspersky の研究者は、高度な脅威アクターである Lazarus による、これまで知られていなかった新しいキャンペーンを特定しました。 2020 年初頭から、カスタム バックドア「ThreatNeedle」で防衛産業の企業を標的にしています。 バックドアは、感染したネットワークを横方向に移動し、機密情報を収集します。 Lazarus は、IT ネットワークと制限されたネットワークの両方からデータを盗むことができます。
2009 年から活動している Lazarus Group
Lazarus は、少なくとも 2009 年から活発に活動している多作な攻撃者です。 このグループは、大規模なサイバー スパイ活動やランサムウェア キャンペーン、および暗号通貨市場への攻撃で知られています。 現在の攻撃は、Covid-19 とワクチンの研究に関連して確認されています。 Lazarus はこれまで金融機関に焦点を当ててきましたが、2020 年初頭からは防衛産業が活動の焦点になっているようです。
バックドア インシデントで ThreatNeedle が公開される
Kaspersky の研究者がこの新しいキャンペーンに最初に気付いたのは、インシデント対応をサポートするために呼び出されたときでした。 分析の結果、この組織は、デバイスの完全なリモート コントロールを可能にするマルウェアの一種であるカスタム バックドアの犠牲になったことが明らかになりました。 ThreatNeedle と呼ばれるこのバックドアは、感染したネットワークを横方向に移動し、機密情報を抽出します。 これまでのところ、十数カ国以上の組織が影響を受けています。 Kaspersky は、攻撃者のインフラストラクチャに接続していたヨーロッパ、北米、中東、およびアジアの多数のホストを発見しました。
ThreatNeedle の感染スキームとアプローチ
最初の感染は、悪意のある Word の添付ファイルまたは企業サーバーでホストされているリンクへのリンクを含むスピア フィッシング メールによって発生します。 電子メールは、多くの場合、コロナウイルスのパンデミックに関連する緊急の更新を装っており、評判の良い医療センターから送信されたと言われています。
悪意のあるドキュメントが開かれると、マルウェアが実行され、配信プロセスの次の段階に進みます。 使用された ThreatNeedle マルウェアは、Lazarus グループに起因する「Manuscrypt」マルウェア ファミリに属し、以前は暗号通貨企業に対する攻撃で使用されていました。 インストールされると、ThreatNeedle は、ファイルの編集から受信したコマンドの実行まで、被害者のデバイスを完全に制御できるようになります。
オフィスの IT ネットワークからのデータ盗難
ThreatNeedle を使用すると、Lazarus はオフィスの IT ネットワーク (インターネットにアクセスできるコンピューターのネットワーク) と工場や施設の制限されたネットワーク (ビジネスに不可欠なリソースと、インターネットにアクセスできない非常に機密性の高いデータとデータベースを持つコンピューターのネットワーク) の両方からデータを盗むことができます。 . 攻撃を受けた企業のポリシーによれば、これら XNUMX つのネットワーク間で情報を送信することはできません。 ただし、管理者はシステム メンテナンスのためにどちらのネットワークにも接続できます。 Lazarus は、管理者のワークステーションを制御し、悪意のあるゲートウェイをセットアップして、制限されたネットワークを攻撃し、そこから機密データを盗んで抽出することができました。
Kaspersky.com の ICS チャンネルで詳細を読む
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。