Lazarusグループの新たな攻撃手法：原子力施設を標的とした高度な持続的脅威

北朝鮮を拠点とするとされるLazarusグループが、原子力関連施設の従業員を標的とした新たなサイバー攻撃キャンペーンを展開していることが判明しました。
DeathNoteキャンペーン（別名Operation DreamJob）として知られるこの作戦では、偽装された求人情報を通じて高度なマルウェアを配布し、重要インフラへの侵入を図っています。
特に注目すべきは、新たに開発されたマルウェア「CookiePlus」を中心とした複雑な感染チェーンの構築と、従来型マルウェアとの組み合わせによる検知回避の試みです。
この攻撃は、単なるサイバー犯罪の域を超え、国家の重要インフラを標的とした戦略的なサイバー作戦の様相を呈しており、国家安全保障上の重大な懸念となっています。

詳細分析

Lazarusグループの最新の攻撃は、特に巧妙な手法で原子力関連組織の従業員を標的としています。
1か月の期間にわたり、同一組織内の少なくとも2名の従業員に対して、段階的なマルウェア配布が行われました。

初期侵入フェーズ 攻撃者は、検知回避のためにISO形式のファイルを採用し、その中にトロイの木馬化されたVNCユーティリティを格納しました。
この手法は、一般的なセキュリティ製品による検知を回避するために効果的です。
被害者がChromiumベースのブラウザを使用してISOファイルをダウンロードすると、AmazonVNC.exeとreadme.txtの2つのファイルを含むZIPファイルが展開されます。

マルウェアの技術的詳細 AmazonVNC.exeは、オープンソースのTightVNCを改変したトロイの木馬です。
このマルウェアは、正規のVNCクライアントを装いながら、以下の悪意のある機能を実装しています。

• IP入力に基づくXORキーの生成
• 内部リソースの復号化と解凍
• Ranidダウンローダーのメモリロード
• 追加のマルウェアモジュールの展開

高度な感染チェーン 攻撃は複数のステージで構成されており、各段階で異なるマルウェアが使用されます。

1. MISTPENローダーによる初期フットホールドの確立
2. RollMidバックドアの展開
3. LPEClientによる権限昇格
4. CookieTimeを介した追加マルウェアの配布
5. CookiePlusの導入による持続的な活動基盤の確立

CookiePlusの革新的機能 CookiePlusは、このキャンペーンで初めて確認された新型マルウェアです。その特徴的な機能には、

1. プラグインベースのアーキテクチャ
2. RSA公開鍵暗号化とChaCha20による多層暗号化
3. HTTPクッキーを利用した隠密通信
4. メモリ常駐型の実行環境
5. DLLとシェルコードの両方に対応したペイロード機能
6. Notepad++プラグインやDirectXラッパーを模倣した巧妙な偽装

C2インフラストラクチャ 攻撃者は、主にWordPressを実行する侵害されたWebサーバーをC2（Command and Control）サーバーとして使用しています。 これらのサーバーは世界中に分散配置され、追跡を困難にしています。また、PHPベースのWebサービスも併用されており、インフラストラクチャの冗長性と回復力を確保しています。

Lazarusグループによる原子力関連施設を標的とした攻撃は、現代の地政学的緊張関係を反映した重大な安全保障上の脅威を示しています。特に以下の点で深刻な懸念が存在します：

重要インフラへの脅威 原子力施設への侵入は、物理的な安全性に直接影響を与える可能性があり、国家安全保障上の重大なリスクとなります。この種の攻撃は、単なる情報窃取を超えて、施設の運営に対する妨害や破壊活動につながる可能性があります。

国家間の緊張関係 北朝鮮との関連が指摘されるこれらの攻撃は、国際関係における新たな形の紛争として位置づけられます。サイバー空間を通じた重要インフラへの攻撃は、従来の軍事的威嚇と同様に、国家間の緊張を高める要因となっています。

技術的進化と対応の必要性 CookiePlusの出現は、攻撃者の技術的能力が継続的に進化していることを示しています。

この状況は、国家レベルでのサイバーセキュリティ戦略の見直しと、重要インフラ防護のための新たなアプローチの必要性を示唆しています。

• 国際的な協力体制の強化
• 重要インフラのサイバーセキュリティ基準の厳格化
• 攻撃の早期検知と対応能力の向上
• 従業員に対するセキュリティ教育の強化
• 国家間のサイバー攻撃に対する明確な抑止力の確立

このような高度な持続的脅威に対しては、個々の組織レベルの対応だけでなく、国家安全保障の観点から包括的な対策を講じる必要があります。
サイバー空間における国家の主権と安全を守るため、技術的対策と外交的取り組みを組み合わせた総合的なアプローチが求められています。

Lazarusグループによる核関連組織への攻撃は、国家安全保障に深刻な脅威をもたらしています。
高度な技術力と執拗な情報収集能力を駆使したLazarusの攻撃は、従来のセキュリティ対策を容易に回避し、機密情報の窃取やシステムの破壊といった甚大な被害をもたらす可能性があります。

Lazarusの攻撃手法は常に進化しており、今回の事例に見られるように、新旧のマルウェアを組み合わせた複雑な感染チェーンや、メモリ常駐型マルウェアCookiePlusの導入など、高度化の傾向が顕著です。

国際社会は、Lazarusグループの脅威を深刻に受け止め、協力して対策を講じる必要があります。情報共有、技術協力、そして国際的な規範の策定を通じて、Lazarusの活動を抑制し、サイバー空間の安全保障を確保することが喫緊の課題です。特に、原子力関連施設のセキュリティ強化は、核不拡散の観点からも極めて重要であり、国際的な連携による対策が不可欠です。

Lazarusグループの活動は、単なるサイバー犯罪ではなく、地政学的な影響を持つ国家主導の活動である可能性が高いと考えられます。 北朝鮮の関与が強く疑われるLazarusの攻撃は、国際的な緊張を高め、地域の不安定化を招く恐れがあります。国際社会は、この脅威に断固として立ち向かい、サイバー空間におけるルール形成を推進していく必要があります。

核関連施設に対するサイバー攻撃は、最悪の場合、物理的な損害や放射性物質の漏洩といった甚大な被害をもたらす可能性があります。これは、 国家安全保障だけでなく、人類全体の安全保障 にとっても重大な脅威です。国際社会は、この脅威に真剣に取り組み、効果的な対策を講じることで、核の平和利用を確保し、世界の安全と安定を守っていく必要があります。