2022年第4四半期、ウィズセキュアは脅威アクターによるサイバー攻撃を検知し、それに対応しました。当社ではこれらの攻撃はLazarus Groupによるものであるということを、高い信頼性を持って断定します。その根拠は、これまでの彼らの攻撃手法／使用されるテクノロジー／戦術／手順に酷似していること、そして脅威アクター自身がオペレーションにおいて犯したと言えるミスの発見に基づくものです。技術的な側面で考えると、今回ウィズセキュアが観測したインシデントは、Lazarus Groupによって実行されたと他のリサーチャーが考える最近の他の攻撃キャンペーンと同様の特徴を持っています。

今回の攻撃キャンペーンは、官民両方の研究機関、医療研究、エネルギー産業、そしてそれらのサプライチェーンを対象とするものでした。攻撃キャンペーンの動機は情報収集である可能性が極めて高いと、当社では考えています。これまで当社がおこなったリサーチでは、過去に実行された同様の攻撃キャンペーンは軍事テクノロジーをターゲットとしたものであると推測されており、当社ではこうしたタイプの標的化が2022年第4四半期まで続いたと考えています。

セグメント化されたバイトサイズを超えると、イベントデータ内に追加されるバックドアのエラーメッセージに< No Pineapple!!! >と表示されることから、当社リサーチチームは本レポートを「No Pineapple」と命名しました。

• 最初の侵害と権限昇格はパッチが適用されていないZimbraデバイスにおける既知の脆弱性を悪用したものであった。

• 攻撃者は既製のWebシェルやカスタムバイナリを使用し、また、WindowsやUnixの正規のツールを悪用した (Living Off the Land)。

• 攻撃者はプロキシー、トンネリング、リレー接続のためのツールをインストールした。

• C2の挙動から、少数のコマンドアンドコントロール (C2) サーバーが複数のリレー／エンドポイントを経由して接続していることが示唆される。一部のC2サーバーは、自身が侵害を受けたサーバーのように見える。 

• 攻撃者は最大100GBのデータを流出させたが、破壊的な行動は起こさなかった。

• 観測されたその他の被害企業・団体と脅威アクターによる抽出は、これらの攻撃の動機が情報収集であることを示唆している。

• こうしたことから、脅威アクターが北朝鮮の国家ハッカー集団である「Lazarus Group」であることを強く確信している。

WithSecure™ Elements Endpoint Protection (EPP) とEndpoint Detection and Response (EDR) は、レポートに記載されているような悪質な行為を特定するために、以下のような検出機能を提供しています。 

WithSecure™ Elements Endpoint Protection

• バックドア: W64/BindShell.*

• バックドア: W32/Rease.* 

• リスクウェア: W32/3proxy.*

• バックドア: W64/Acres.*

• トロイの木馬: W64/DTrack.*

• PotentiallyUnwanted: W32/App.relch 

• マルウェア: Java/Webshell.G

• バックドア: Java/Webshell.B

WithSecure™ Elements Endpoint Detection and Response

• Impacket atremote 

• Zimbraでアクセスされる一般的でないjsp

• Malleable C2プロファイルを使用するjQuery Cobalt Strike

• lsassメモリから抽出された認証情報

• WDigest UseLogonCredentialを有効にする