北朝鮮のハッキング集団であるラザルスグループは、不正使用計画に、LightlessCan と呼ばれる新しい高度に洗練されたマルウェアの亜種を採用しており、これは以前のものと比較して検出が著しく困難になっています。

ESETの上級マルウェア研究者ピーター・カルナイ氏は、スペインの航空宇宙企業を狙った偽の求人攻撃を分析し、9月29日の投稿でこれらの調査結果を明らかにしました。

Lazarus Group の典型的な手口は、評判の良い企業での魅力的な就職オファーで被害者を誘い込み、文書を装った悪意のあるペイロードをダウンロードさせるというものです。

しかし、LightlessCan は、その前身である BlindingCan に比べて目立った進歩を遂げています。Kálnai 氏は、LightlessCan はさまざまなネイティブ Windows コマンドを模倣できるため、リモート アクセス トロイの木馬 (RAT) 自体で目立たずに実行でき、コンソールでの実行によるノイズを最小限に抑えられると説明しました。

この強化されたステルス性により、EDR や事後デジタルフォレンジックツールなどのリアルタイム監視ソリューションによる検出が困難になります。

続きを読む:ベンチャーキャピタル会社パラダイム、バイナンス訴訟におけるSECの型破りなアプローチを批判

さらに、この新しいマルウェアには「実行ガードレール」が組み込まれており、意図した被害者のマシンのみがペイロードを復号化できるようにすることで、セキュリティ研究者による意図しない復号化を防止します。

この新しいマルウェアに関連する既知の事例の 1 つは、2022 年にスペインの航空宇宙企業の従業員が Steve Dawson という偽の Meta リクルーターからメッセージを受け取ったときに標的になったものです。その後、ハッカーはマルウェアを埋め込んだ 2 つのコーディング チャレンジを送信しました。

ラザルス・グループがスペインの航空宇宙企業を攻撃した主な動機はサイバースパイ活動だった。

注目すべきことに、ブロックチェーンフォレンジック企業Chainalysisが9月14日に報告したところによると、北朝鮮のハッカーは2016年以降、仮想通貨プロジェクトから推定35億ドルを盗んだとされている。

2022年9月、サイバーセキュリティ企業SentinelOneは、LinkedInでの偽の求人詐欺について警告を発した。これは「Operation Dream Job」として知られるキャンペーンの一環で、潜在的な被害者にCrypto.comでの求人を提供するものだった。

同時に、国連は、盗まれた資金が北朝鮮の核ミサイル計画を支援するために使用されていると考えられているため、国際規模で北朝鮮のサイバー犯罪戦術を抑制するために積極的に取り組んでいます。

この継続的な取り組みは、ラザルスのようなグループが組織的に仕掛けるサイバー攻撃の世界的な影響と結果を浮き彫りにしています。

その他のストーリー:

SEC、政府閉鎖が迫る中、スポットビットコインETF提案の決定を延期

ベンチャーキャピタル会社パラダイム、バイナンス訴訟におけるSECの型破りなアプローチを批判

Space and Time が SQL 検証の証明を Chainlink ノードに統合