ダークネットの地下では「ラザログループ」として知られていますが、情報筋によると、北朝鮮のデジタル軍だそうです。 2014年に悪名高いSony Picturesのハッキングで名前を聞いたことがあるかもしれません。
しかし、彼らの最新のオペレーションには新しいターゲット-暗号通貨があり、サイバーセキュリティ会社Secureworksによって発見されました。
攻撃の焦点は、暗号通貨を保持および管理する金融会社の幹部であり、これは次のように機能します-幹部は電子メールを受信します。
MicrosoftWordファイルの形式の添付ファイルがあります。 開くと、「ドキュメントを表示するには編集を有効にする必要があります」という通知を受け取り、ユーザーが[OK]をクリックすると、2つのことを行う埋め込みスクリプトが起動します。
最初に、無害なドキュメントを作成して開きます-実際のジョブの説明は、ユーザーの注意を散漫にさせ、疑いを持たせません。
第二に、密かにトロイの木馬ウイルスの侵入を開始します。
 |
| 無害に見えるジョブの説明ドキュメント(画像:Secureworks) |
リモートアクセスのトロイの木馬は新しいものではなく、アンダーグラウンドのダークネットフォーラムで売買することもできますが、このトロイの木馬の際立った点は、既知のトロイの木馬のバリエーションではないようです-これは最初からコーディングされたようです。
Secureworks Counter Threat Unitはコードを評価し、以前の北朝鮮の作戦から何かを認識しました。これは、C2プロトコルに大きく依存しており、Lazarus Groupは以前、メインのコマンドおよび制御サーバーと通信するために使用していました。
この新しい攻撃の最初の発見はXNUMX月に始まり、今日も続いています。
このような攻撃の標的になる可能性があると感じる人は、Microsoft Wordでマクロを無効にし、機密データを含むシステムでXNUMX要素認証を要求することをお勧めします。
-------
著者: ロス・デイビス
サンフランシスコニュースデスク
コメントはありません
コメントの投稿