システムをターゲットとする NineRAT マルウェア、Lazarus ハッカー グループの戦術を利用

Cisco Talos は最近、Lazarus Group によって組織化された「Operation Blacksmith」という名前の新しいサイバー キャンペーンを発見しました。この作戦では 3 つの新しい DLang ベースのマルウェア ファミリが使用されており、そのうち 2 つはリモート アクセス トロイの木馬 (RAT) として特定されています。特に、これらの RAT の 1 つは、コマンド アンド コントロール (C2) 通信の手段として Telegram ボットとチャネルを利用しており、「NineRAT」というあだ名が付けられていますが、Telegram ベースでない RAT には「DLRAT」というラベルが付いています。さらに、「BottomLoader」として知られる DLang ベースのダウンローダーがこの操作で特定されました。

この発見は、北朝鮮の APT (Advanced Persistent Threat) グループである Lazarus グループが採用した戦術に大きな変化をもたらしたことを示しています。過去 18 か月にわたって、Cisco Talos は、QtFramework、PowerBasic、および最近追加された DLang などの型破りなテクノロジーを使用して開発された 3 つの異なる RAT を公開してきました。

注目すべきことに、ラザロの鍛冶屋作戦と、アンダリエルAPTグループとしても認識されている北朝鮮国家支援団体オニキス・スリートに関連する戦術、技術、手順（TTP）との間に類似点が観察された。 Andariel は Lazarus 傘下のサブグループであると広く考えられており、このキャンペーンは、有名な CVE-2021-44228 (Log4j) を含む、脆弱なインフラストラクチャを数日間の脆弱性悪用にさらすグローバル企業を日和見的に標的にしていることを示しています。 Lazarus は、製造業、農業、物理的セキュリティなどの業界を特にターゲットにしていました。

Operation Blacksmith には Log4j の悪用が含まれ、C2 通信に Telegram を利用する、これまで知られていなかった DLang ベースの RAT、NineRAT が導入されました。 NineRAT は最初に 2022 年 5 月頃に構築され、その約 1 年後に初めてキャンペーンに採用され、2023 年 3 月に南米の農業組織を、2023 年 9 月にヨーロッパの製造業をターゲットにしました。

Cisco Talos による分析により、Microsoft が 2023 年 10 月に明らかにした、Onyx Sleet によるものとされる悪意のある攻撃との重複が判明しました。これは、Lazarus APTがさまざまなサブグループを包括する統括組織として活動し、それぞれが北朝鮮の防衛、政治、国家安全保障、研究開発に関連する異なる目的を追求しているという広範な理解と一致する。

NineRAT マルウェアの影響を受けるコンピュータ ユーザーは、今後の攻撃を防ぐだけでなく、脅威を完全に排除するために、マルウェア対策ツールを使用して措置を講じる必要があります。