メインコンテンツにスキップする

Kaspersky、悪名高いサイバー攻撃グループ「Lazarus」が新しいマルウェアを使用し核関連組織の職員を標的にしていたことを発見

2025年1月9日

Lazarusが関与する攻撃活動「Operation DreamJob」は、オープンソースのプラグインを偽装した新しいモジュール式バックドア「CookiePlus」を含むさまざまな高度なマルウェアを使用して攻撃を行っています。

[本リリースは、2024年12月19日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT)はこのたび、悪名高いサイバー攻撃グループ「Lazarus(ラザルス)」が関与する攻撃活動「Operation DreamJob(オペレーションドリームジョブ、別名DeathNote:デスノート)」の新たな動きを発見しました。Operation DreamJobは、5年以上前から継続的に新しい巧妙な戦術を展開し攻撃を続けています。今回発見した攻撃対象には海外の核関連組織の従業員が含まれており、IT専門職向けのスキル評価テストに見せかけた三つの改ざんされたアーカイブファイルを使用し感染させていました。この攻撃活動は継続中で、今回新たに発見したオープンソースのプラグインを偽装したモジュール式バックドア「CookiePlus」を含む、さまざまな高度なマルウェアを使用しています

2019年に出現したOperation DreamJobの攻撃活動は、それから5年の間に著しい進化を遂げ、世界中の暗号資産(仮想通貨)関連ビジネスを標的とした攻撃を行ってきました。2024年には標的を、欧州、ラテンアメリカ、韓国、アフリカのIT企業や防衛分野の企業に拡大しています。今回の発見では、ブラジルの核関連組織で働く複数の従業員と、ベトナムのある企業の従業員を標的としていたことが明らかになりました。

1カ月の間に、同じ組織の少なくとも2人の従業員が標的となり、航空宇宙や防衛分野の有名企業のIT専門職に応募するためのスキル評価に見せかけた複数のアーカイブファイルを受信しました。一つ目のアーカイブファイルを同じ組織内の2人の人物(後掲図内のHost A、Host B)に送信し、その1カ月後にHost Aに対してより積極的な攻撃を試みました。対象者に初めて接触する際は、LinkedInなどの求人プラットフォームを利用した可能性が高いと思われます。

Lazarusは、ダウンローダー、ローダー、バックドアなどさまざまなタイプのマルウェアを利用した複雑な感染チェーンを通じて、マルウェアの配布方法を進化させ、持続性を向上させています。今回はマルチステージの攻撃を仕掛けており、Windows向けリモートデスクトップビューアーであるVNC(Virtual Network Computing)ソフトウェアをトロイの木馬化して使用していたほか、マルウェア配布用に別の正規のVNCツールを使用していました。

KL-OperationDreamjob

図:悪意のあるファイルが標的のホストに生成される流れ

Lazarusは上記に加えて、今回GReATのリサーチャーが発見し「CookiePlus」と名付けた未確認のプラグインベースのバックドアを使用していました。このバックドアは、オープンソースのNotepad++のプラグインであるComparePlusを偽装したものです。CookiePlusによってインストールされたマルウェアは、感染させたコンピューター名、プロセスID、ファイルパスなどのシステムデータを収集して指令サーバー(C2)に送信したり、CookiePlusのメインモジュールを一定時間「スリープ」させたりします。また、構成ファイルを改変して実行スケジュールを調整します。

KasperskyのGReATのセキュリティエキスパート、リュウ・ソジュン(Sojun Ryu)は、次のように述べています。「Operation DreamJobは、なりすましやスパイ活動に利用されかねないセンシティブなシステム情報を収集することから、データ窃取などにつながる多大なリスクがあります。CookiePlusは自身の動作を遅延させる機能を持ち、侵入時点での検知を回避しシステム上に長くとどまることができます。また、特定の時刻を設定することで、気付かれずに一定の間隔を空けて動作することが可能です。加えて、システムプロセスを操作して検知をいっそう困難にするとともに、システムへのさらなる被害や悪用につながる恐れがあります」

■ 詳細は、Securelistブログ(英語)「Lazarus group evolves its infection chain with old and new malware」でご覧いただけます。

※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky、悪名高いサイバー攻撃グループ「Lazarus」が新しいマルウェアを使用し核関連組織の職員を標的にしていたことを発見

Lazarusが関与する攻撃活動「Operation DreamJob」は、オープンソースのプラグインを偽装した新しいモジュール式バックドア「CookiePlus」を含むさまざまな高度なマルウェアを使用して攻撃を行っています。
Kaspersky logo

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバル企業です。サイバーセキュリティの普及と、デジタルライフにおけるプライバシーの保護を目的として活動しています。カスペルスキーは、「サイバーイミュニティ」というアプローチで業界の革新を推進し、サイバー脅威から一般ユーザー、企業、重要インフラ、政府を保護しています。これまでに保護したデバイスは、10億台を超えています。

カスペルスキーが実現するのは、「Cybersecurity True to Business」です。明確な成果の達成、収益の保護、業務負荷の軽減、ダウンタイムの防止に重点を置いています。カスペルスキーの高度な脅威インテリジェンスとセキュリティに関する専門知識は、あらゆる規模の組織に向けた革新的なソリューションやサービスという形で、絶えず具現化され続けています。小規模企業から大規模企業に至るまで、あらゆる規模をカバーする保護を、実績あるAI駆動型の保護技術と、シンプルな管理機能、エキスパートによるサポートの組み合わせで実現しています。

カスペルスキーは、独立系機関によるテストで高い評価を得ており、世界各地の数百万人の個人ユーザーや約20万の組織から信頼されています。脅威の早期検知、機動的な対応、高い信頼性と自由度が確保された運用を支援し、お客様にとって最も大切なものを守ります。詳細は、www.kaspersky.comをご覧ください。

関連記事 ウイルスニュース