ESET の研究者は、悪名高い APT グループ (セキュリティ ソフトウェアを改ざんする Lazarus グループ) による最近の活動を分析しています。
ESET の研究者は、特に韓国のインターネット ユーザーを対象とした Lazarus Group によるキャンペーンを発見しました。 攻撃者は、異常な操作でソフトウェア サプライ チェーンに感染する悪意のあるプログラムを使用します。 これを行うために、ハッカーは WIZVERA VeraPort と呼ばれる韓国の正当なセキュリティ ソフトウェアとデジタル証明書を悪用します。 韓国では、政府機関やインターネット バンキングの Web サイトにアクセスすると、追加のセキュリティ ソフトウェアのインストールを求められることがよくあります。 ESET の研究者は、WeliveSecurity に関する詳細な分析を公開しました。
「WIZVERA VeraPort は、追加のセキュリティ ソフトウェアをインストールして管理する韓国の特別なアプリケーションです。 このようなソフトウェアのインストールを開始するには、最小限のユーザー操作が必要です。 「通常、このソフトウェアは政府や銀行の Web サイトで使用されています。 これらのサイトの一部では、WIZVERA Veraport のインストールが必須です。」
不正なコード署名証明書
使用されるマルウェアを拡散するために、攻撃者は不正に取得したコード署名証明書を使用します。 これらは、もともと韓国の警備会社の米国支社向けに発行されたものです。 「攻撃者はマルウェアを正規のソフトウェアに偽装します。 悪意のあるプログラムは、韓国の正当なソフトウェアと同様のファイル名、アイコン、およびリソースを持っています」と、ESET の研究者 Peter Kálnai 氏は述べています。
Lazarus Group がキャンペーンの背後にいる?
ESET の専門家は、攻撃が Lazarus グループに起因する可能性があるという証拠を発見しました。 現在のキャンペーンは、韓国の CERT (KrCERT) が Operation BookCodes と名付けたものの継続です。 このキャンペーンも APT グループによるものでした。
その他の手がかりには、使用されたツールの典型的な機能、暗号化方法、ネットワーク インフラストラクチャのセットアップ、および Lazarus が活動していることで知られている韓国で攻撃が行われたという事実が含まれます。
詳細については、ESET.com の WeLiveSecurity を参照してください。
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。