タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
北朝鮮ハッカー集団「Lazarus(ラザルス)」がMetaの採用担当者を装って転職希望者向けにコーディング課題を出題し、トロイの木馬「LightlessCan」を転職希望者のPCに仕込んでいたことが判明しました。ESETがまとめた事例報告では、スペインの航空宇宙企業で働く従業員が社用PCに偽課題をダウンロードし、会社のネットワークが侵害されたことが明らかになっています。 Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanis
攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。 今回は、攻撃グループLazarusが使用するツールについて紹介します。 ネットワーク内部での横展開 まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに
JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。 https://github.com/JPCERTCC/Lazarus-research/ 上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot(資料内では、Kaosと記載していますが、本ブログではYamaBotと記載します)について、Windows OSをターゲットにしたものが最近確認されました。YamaBotは、Go言語で作成されたマルウェアで、各プラットホーム向けに作成されたマルウェア間で機能が多少異なります。YamaBot以外にも、攻撃グループLazarusは、VSingleなどマルチプラットフォームをターゲットにしたマルウェアを複数使用しています。
JPCERT/CCでは、国内組織を狙ったLazarus(Hidden Cobraとも言われる)と呼ばれる攻撃グループの活動を確認しました。攻撃には、ネットワーク侵入時と侵入後に異なるマルウェアが使われていました。 今回は、侵入後に使用されたマルウェアの1つについて詳細を紹介します。 マルウェアの概要 このマルウェアは、モジュールをダウンロードして実行するマルウェアです。確認されたマルウェアは、 C:¥Windows¥System32¥ などのフォルダに、拡張子drvとして保存されており、サービスとして起動していました。コードはVMProtectで難読化されており、またファイルの後半に不要なデータを追加することでファイルサイズが150Mほどになっていました。図1は、マルウェアが動作するまでの流れを示しています。 図1: マルウェアの挙動 以降では、設定情報や通信方式などの検体の特徴およびダウ
前回のJPCERT/CC Eyesでは、攻撃グループLazarus(Hidden Cobraとも言われる)がネットワークに侵入後に使用するマルウェアを紹介しました。他にも、この攻撃グループは複数のマルウェアを使用することが知られており、最近ではCISAでも別のマルウェアBLINDINGCAN[1]についての情報を公開しています。 今回は、JPCERT/CCにて確認したBLINDINGCANの詳細について紹介します。 BLINDINGCANの概要 BLINDINGCANは、ローダー(図1のLoader)がDLLファイル(図1のBLINDINGCAN)をロードすることで動作します。図1は、BLINDINGCANが動作するまでの流れを示しています。JPCERT/CC では、エンコードされたBLINDINGCAN がLoader によってデコードされた後、実行される場合もあることを確認しています。
【今日の一曲:第292回】David Bowie / Lazarus - 社会不適合の音楽。
www.youtube.com 昨日の睡眠時に聴いていたアルバムより。 色んなジャンルの音楽が好きなんですがやはりDavid Bowieさんの音色や間のとり方、曲作りは本当に凄くて勉強にもなります。 個人的に『微熱』のような音楽が好きでこの一般的には…アップテンポでもないのでもっさり感でしょうか…このバラードでもなく熱を帯びたゆっくりのテンポが個人的に好きでいつも音楽を作るときには目指したい音楽です。 収録音源
インシデントレスポンス調査中に発見されたLAZARUS GROUPによる暗号通貨業界へのサイバー攻撃 - F-Secure
2019 年、エフセキュアでは、暗号通貨業界の企業に対するサイバー攻撃の調査中に、サイバー犯罪グループ Lazarus Group(ラザルス・グループ)による進行中のグローバルフィッシングキャンペーンを発見しました。発見したデータを元にまとめられたインテリジェンスレポートでは、暗号通貨業界の企業からの依頼によるインシデントレスポンス調査中に発見されたサンプル、ログ、およびその他の技術的な痕跡に関する分析がまとめられています。 日本語版テクニカルインテリジェンスレポート - LAZARUS GROUPのダウンロード Lazarus Groupとは Lazarus Group は、北朝鮮とのつながりが深いとされる、高度な技術を持つ、主に金銭目当ての攻撃を仕掛けるサイバー犯罪者集団です。2019 年の国連報告書によると、少なくとも 2017 年以降、暗号通貨業界の企業を標的としています。 Laz
「Lazarus」との関連が推測されるMacOS向けバックドアを解析 | トレンドマイクロ セキュリティブログ
MacOSに対するサイバー犯罪者の関心が高まり続け、さまざまなマルウェアが作成される中、この人気OS(オペレーティングシステム)のユーザを狙う脅威が増加しています。トレンドマイクロは、今回、「Lazarus」と呼ばれるサイバー犯罪集団(以下「Lazarus」)が利用したとされるMacOS向けバックドア型マルウェアの新しい亜種(「Backdoor.MacOS.NUKESPED.A」として検出対応)を確認しました。このマルウェアは、ダミーとして韓国語の歌を含むフラッシュコンテンツを再生するなど、韓国のMacOSユーザを標的にしているものと考えられます。 ■正規のAdobe Flash Playerにより不正活動を隠蔽するバックドア トレンドマイクロでの検体解析の結果、使用するC&Cサーバや感染経路となる不正マクロなど、過去にLazarusが用いていたものと類似した特徴を持つことも明らかになりま
Kasperskyは2019年9月30日、Lazarus Groupによって作られたとされ、これまで知られていなかったスパイツール「Dtrack」を発見したと発表した。同社によるとDtrackは、リモート管理ツールとして使用できるため、攻撃者は感染した機器を完全にコントロールでき、ファイルのアップロードやダウンロード、重要なプロセスの実行など、さまざまな操作が可能になるという。 KasperskyがDtrackを発見したきっかけは、インドのATMに侵入して顧客のカードデータを窃取するマルウェア「ATMDtrack」に関する調査だ。ATMDtrackは、同社が2018年に発見したマルウェア。同社がツールを使って調査を進めていたところ、新たに180以上の検体を見つけたとしている。 新たに発見した検体のコードシーケンスはATMDtrackと似ていたものの、標的はATMではなかった。検体の機能を調
米連邦捜査局(FBI)は4月14日(現地時間)、NFTでイーサリアムを稼げる人気ゲーム「Axie Infinity」のサイドチェーン「Ronin」がハッキングされ、6億2500万ドル(約770億円)相当のイーサリアムとドルが盗まれた事件について、Roninに侵入したのは北朝鮮を拠点とするハッカー集団Lazarus GroupおよびAPT38だと特定したと発表した。 米財務省その他の連邦政府当局と協力し、北朝鮮政府がサイバー犯罪や暗号通貨の盗難などの違法行為にこれらの集団を利用していることを明らかにしていくとしている。 同ゲームを提供するSky Mavisは同日、公式ブログを更新し、盗まれた資金を受信したイーサリアムのウォレットアドレスを米財務省が制裁リストに追加したと発表した。 米Viceによると、このアドレスは現在、4億4500万ドル以上に相当するイーサリアムを保持しているという。 米ブ
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月21日、「PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、北朝鮮が関与しているとみられる脅威グループ「Lazarus Group」が不正なPythonパッケージを公式PyPIリポジトリに公開していることを発見したと報じた。 PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ 発見された4つの不正なPythonパッケージ 発見された不正なPythonパッケージは次の4件。 pycryptoenv pyc
韓国語話者のAPT攻撃グループ、Andariel、Lazarus、BlueNoroffの最新情報について、当社GReATのリサーチャーに聞きました。 カスペルスキーのグローバル調査チーム、GReATは、長年APT(持続的標的型)攻撃グループの一つ「Lazarus (ラザルス)」を研究しています。このグループは主に、金銭窃取やデータ破壊を目的、サイバー諜報活動や業務妨害攻撃を行う特に悪質な集団で、2009年から活動していることがわかっています。被害は主に、韓国、日本、インド、中国、ブラジル、ロシア、トルコなどです。彼らが使用するマルウェアの実行ファイルサンプルのうち3分の2に韓国語(朝鮮語)話者の要素、グリニッジ標準時+8~9時間のタイムゾーンにおける就業時間中にプログラムがコンパイルされる、など複数の特徴があります。2022年10月、金融庁と警察庁、内閣サイバーセキュリティセンターは、La
[レポート]The Lazarus Group’s Attack Operations Targeting Japan – CODE BLUE 2021 #codeblue_jp | DevelopersIO
こんにちは、臼田です。 今回はCODE BLUE 2021で行われた以下のセッションのレポートです。 The Lazarus Group's Attack Operations Targeting Japan これまでLazarusグループの活動は、日本国内ではフォーカスされることは少なかった。しかし、最近のわれわれのインシデントレスポンス対応において、国内の組織がLazarusグループのターゲットになることが多くなってきた。このプレゼンテーションでは、日本の組織がLazarusグループの標的となった事例について詳細に解説する。 本プレゼンテーションでははじめに、Lazarusグループの攻撃キャンペーンを整理し、われわれの解説する攻撃オペレーションと、他の公開情報を紐づける。そして、2020年に確認したLazarusグループの攻撃キャンペーンの中から、日本で確認された2つにフォーカスして、
![[レポート]The Lazarus Group’s Attack Operations Targeting Japan – CODE BLUE 2021 #codeblue_jp | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9b2ddc40ff961f748fa95e30fdb668abd1bed898/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F10%2FCODEBLUE2021_logo.png){kind=logo}
JPCERT/CCでは、攻撃グループLazarusが不正なPythonパッケージを公式PythonパッケージリポジトリーであるPyPIに公開していることを確認しました(図1)。今回確認したPythonパッケージは以下のとおりです。 pycryptoenv pycryptoconf quasarlib swapmempool pycryptoenvやpycryptoconfは、Pythonで暗号化アルゴリズムを使う際に用いられるPythonパッケージpycryptoに類似したパッケージ名になっており、攻撃者は、ユーザーが同名のパッケージをインストールする際のタイポを狙って、マルウェアを含む不正なパッケージを準備していたと考えられます。 今回は、この不正なPythonパッケージの詳細について紹介します。 図1: 攻撃グループLazarusが公開していたPythonパッケージ 不正なPython
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ企業のWithSecureは、最近観測された欧州、北米、南アジアの医療研究やエネルギー産業へのサイバー攻撃キャンペーンについて、北朝鮮の支援を受けているとされる「Lazarus Group」によるものとの調査結果を発表した。 Lazarus Groupは、北朝鮮の朝鮮人民軍偵察総局の一部であると考えられる高度かつ持続的な脅威(APT)グループ。WithSecureは、同社セキュリティプラットフォーム「WithSecure Elements」で保護されている企業でランサムウェアの疑いのある攻撃が検知されたことをきっかけに、Lazarus Groupの最新攻撃キャンペーンを観測したという。 調査の結果、このキャンペーンはランサム
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
社用PCで転職用の課題に取り組んだら実は北朝鮮ハッカー集団「Lazarus」による攻撃で会社全体が被害に遭う事態に
攻撃グループLazarusが侵入したネットワーク内で使用するツール - JPCERT/CC Eyes
攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes
攻撃グループLazarusがネットワーク侵入後に使用するマルウェア - JPCERT/CC Eyes
攻撃グループLazarusが使用するマルウェアBLINDINGCAN - JPCERT/CC Eyes
攻撃グループ「Lazarus」の最新活動状況、「Andariel」や「BlueNoroff」などの関連組織ついてカスペルスキーが解説
北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け
日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes
サイバー犯罪組織Lazarusによるスパイツール「Dtrack」 Kasperskyが発見
「Axie Infinity」のチェーンから6億ドル超を盗んだのは北朝鮮のLazarus──FBI
北朝鮮が操るLazarusがPythonパッケージからマルウェア配布、注意を - JPCERT/CC
サイバー攻撃グループLazarus 2022年の活動状況 Q&A
NFTゲーム「Axie Infinity」のRoninハッキング、北朝鮮のLazarusが関与--米当局
攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes
PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 - JPCERT/CC Eyes
医療研究/エネルギー産業へのサイバー攻撃に「Lazarus」が関与--ウィズセキュアが調査
ryukyushimpo.jp
star-watch0705.hatenablog.com
leedcafe.com
kotobank.jp
my-color.jp
mainichi.jp