カスペルスキーが韓国組織を標的としたラザログループの新たなサイバー攻撃を明らかに

ジャカルタ-カスペルスキーのGReATチームは、水穴攻撃とサードパーティのソフトウェアの脆弱性エクスプロイトを組み合わせた新しいLazarusキャンペーンを明らかにしました。

その分析によると、攻撃者は韓国のソフトウェア、IT、金融、半導体、電気通信部門全体で少なくとも6つの組織を標的にしました。

ウォーターホール攻撃では、脅威アクターはログイントラフィックをフィルタリングして標的とされた個人を特定し、攻撃者が管理するWebサイトにターゲットを選択的に誘導します。

このサイトは、一連の技術的行動が攻撃の連鎖を開始する場所です。この方法は、グループの非常にターゲットを絞った戦略的な運用特性を強調しています。

Lazarus Groupは、少なくとも2009年以来、積極的な脅威グループです。最近の業務では、管理上および財務上のシステムで安全なファイル転送に使用されるブラウザと統合されたサードパーティのツールであるInnerx Agentsの1日の脆弱性を悪用しているのが見られました。

この脆弱性を悪用することで、攻撃者は側面の動きを容易にすることができ、標的のホストに追加のマルウェアをインストールすることができます。

これにより、最終的に、Agamemnonダウンローダーを介して配信され、特に脆弱なバージョンのInnovxを標的にした、より大きな攻撃チェーンの一部であるLazarus署名マルウェアの拡散につながりました(9.2.18.496)。

マルウェアの行動を分析している間、GReAT Kasperskyの専門家は、脅威アクターが攻撃でそれらを使用する前に首尾よく発見された別のランダムファイルダウンロードゼロデイ脆弱性を発見しました。

カスペルスキーは、Innovx Agencyの問題を韓国インターネット&セキュリティ庁(KrCERT)およびベンダーに報告しています。ソフトウェアはパッチ適用バージョンで更新されました。

「サイバーセキュリティに対する積極的なアプローチは非常に重要です。これらの脅威を早期に発見することは、システム全体のより広範な侵害を防ぐための鍵です」と、カスペルスキーのGReAT(グローバル調査分析チーム)のセキュリティ研究者であるSojun Ryuは述べています。