北朝鮮のハッカーグループLazarus Group「洗練された」マルウェアを使用

ジャカルタ - 北朝鮮のハッカーグループ、Lazarus Groupは、偽の労働詐欺の一部として新しい「洗練された」タイプのマルウェアを使用しています。これは、前任者よりもはるかに検出が難しいため、研究者によって思い出させられました。

ESETのシニアマルウェア研究者Peter K道naiの投稿によると、9月29日、スペインに本拠を置く航空宇宙会社に対する最新の偽の求人攻撃を分析している間、ESETの研究者はLightlessCanと呼ばれる未知のバックドアを発見しました。

Lazarus Groupによる偽の求人詐欺には、通常、有名企業での潜在的な求人による被害者詐欺が含まれます。攻撃者は、多様な損害を与えるための文書を装った悪意のあるコンテンツをダウンロードするように被害者を説得します。

しかし、カヴェルナイ氏は、新しいLightlessCanのペイロードは、その前身であるBlinglingCanと比較して「重要な進歩」であると述べた。

「LightlessCan は、さまざまなネイティブの Windows コマンドの機能を模しており、騒々しいコンソールの実装ではなく、RAT自体の秘密の実装を可能にします」とK トナイ氏は述べています。

「このアプローチは、EDRなどのリアルタイム監視ソリューションと死後のデジタルフォレンジックツールの両方を回避する上で、無検出の点で大きな利点を提供します」と彼は付け加えました。

新しいコンテンツはまた、研究者が「エンジニアリングプロテクター」と呼ぶものを使用し、意図した被害者のエンジンでのみコンテンツを暗号化できるようにするため、セキュリティ研究者による偶発的な復号化を回避します。

カウナイ氏は、新しいマルウェアを含む1つのケースは、2022年に従業員がスティーブ・ドーソンという名前の偽のメタリクルーターからメッセージを受け取ったときに、スペインに拠点を置く航空宇宙会社への攻撃から来たと述べた。

「さらに、スペインに本拠を置く航空宇宙会社に対するラザログループの攻撃の背後にある主な動機は、サイバースパイ活動です」とK年nai氏は述べています。

2016年以来、北朝鮮のハッカーは暗号プロジェクトから約35億ドル相当の資金を盗んだと、ブロックチェーンフォレンジック会社Chainalysisが9月14日に報告した。

2022年9月、サイバーセキュリティ企業のSentinelOneはLinkedInで偽の雇用詐欺について警告し、「ドリームジョブオペレーション」と呼ばれるキャンペーンの一環として Crypto.com 潜在的な雇用被害者を提供しました。

一方、国連は、北朝鮮が盗まれた資金を核ミサイル計画を支援するために使用していることを理解しているため、北朝鮮のサイバー犯罪戦術を国際レベルに制限しようとしています。