北朝鮮と関連があるとされるハッカー集団Lazarusグループが、金融機関や仮想通貨関連企業を狙った新たなサイバー攻撃を展開していることが明らかになりました。この攻撃では、「RemotePE」と呼ばれるメモリ常駐型の遠隔アクセス型トロイの木馬(RAT)が使用されており、その検出の困難さから、標的となった組織に深刻な脅威をもたらす可能性が指摘されています。RemotePEはディスクに痕跡を残さないため、従来のセキュリティ対策では見過ごされやすく、長期的な情報窃取や大規模な金融詐欺を目的としていると見られています。
Lazarusグループの新たな脅威:メモリ常駐型RAT「RemotePE」の全貌
Lazarusグループは、これまでにも世界中の金融機関や仮想通貨取引所を標的とした大規模なサイバー攻撃を数多く実行してきたことで知られています。彼らの攻撃は、国家の資金調達を目的としているとされており、非常に高度で巧妙な手法が特徴です。今回新たに確認された「RemotePE」は、その最新のツールセットの一部であり、特に検出回避能力に優れています。
RemotePEの最大の特徴は、その名の通り「メモリ常駐型」である点です。これは、マルウェアがシステムのメインメモリ上で直接実行され、ハードディスクなどのストレージにファイルを書き込まないことを意味します。これにより、ファイルベースの検出メカニズムを持つアンチウイルスソフトウェアや、フォレンジック調査において痕跡を見つけることが極めて困難になります。NCCグループの子会社であるFox-ITのセキュリティ研究者たちは、RemotePEが「DPAPILoader」と「RemotePELoader」という2つのローダーを介した多段階攻撃チェーンの一部であると報告しています。
多段階にわたる感染プロセス:DPAPILoaderとRemotePELoader
RemotePEによる攻撃は、複数の段階を経て実行されます。まず、攻撃者はソーシャルエンジニアリングの手法を用いて、標的企業の従業員のデバイスを侵害します。元記事の報告によると、攻撃者はTelegram上で実在する取引会社の従業員を装い、被害者に接触。偽のCalendlyやPicktimeドメインを利用してオンライン会議をスケジュールすることで、不正なアクセスポイントを作り出していたとされています。
この初期侵入後、最初のローダーである「DPAPILoader」が機能します。これは「Iassvc.dll」というDLLファイルとしてディスクに保存され、Windowsのデータ保護API(DPAPI)を利用して、暗号化された次のペイロードをディスクから復号し、ロードします。DPAPILoaderの最も古い痕跡は2023年11月にまで遡ることができ、このツールが長期にわたって開発・使用されてきたことを示唆しています。
復号されたペイロードは、2番目のローダーである「RemotePELoader」です。このローダーは、リモートのコマンド&コントロール(C2)サーバー(「aes-secure[.]net」と報じられている)にHTTP経由で接続し、RemotePEのコアモジュールをフェッチします。RemotePELoaderは、RemotePEをメモリ上で直接実行する前に、Hell’s GateやEvent Tracing for Windows(ETW)のパッチ適用といった高度な検出回避技術を駆使して、セキュリティ製品による検知を困難にします。Hell’s Gateは、システムコールを直接呼び出すことで、セキュリティソフトウェアによるフックを回避する手法であり、ETWパッチングは、Windowsの重要なイベントログ機能を無効化することで、マルウェアの活動が記録されるのを防ぎます。
RemotePEの機能とコマンド体系
最終段階でメモリ上で実行されるRemotePEは、C++で記述された本格的な遠隔アクセス型トロイの木馬です。このマルウェアは、C2サーバーから定期的に命令をポーリングし、以下の6つのカテゴリにわたる多様なコマンドを実行できます。
- C2設定の取得・変更:マルウェア自身のC2サーバーへの接続設定を操作します。
- ファイル操作:ファイルの作成、読み取り、書き込み、削除、名前変更、ディレクトリのリストアップなど、広範なファイルシステム操作を実行します。特に注目すべきは、ファイル削除コマンドが、ファイルを7回定数バイトで上書きしてから名前を変更・削除するという点です。これは、PondRATやPOOLRAT(別名SIMPLESEA)といったLazarusグループが使用する他のマルウェアにも見られる特徴であり、フォレンジック調査からのデータ復元を極めて困難にします。
- DLLモジュールの管理:新しいDLLモジュールを登録したり、ロードされているDLLを一覧表示したり、不要なDLLをアンロードしたりできます。
- プロセス管理:実行中のプロセスの一覧取得、新しいプロセスの作成、指定したIDによるプロセスの終了が可能です。
- マルウェアの制御:指定された時間間隔でスリープしたり、RemotePE自体を終了させたりできます。
- サーバーへのPing:C2サーバーとの接続状態を確認します。
これらの機能により、攻撃者は標的システムを完全に制御し、機密情報の窃取、追加マルウェアの展開、あるいは直接的な金融取引の操作など、多様な悪意ある活動を実行することが可能になります。
開発期間と検出回避の高度な戦略
Fox-ITの調査によると、RemotePEは2023年半ばから2024年半ばにかけて活発に開発が進められていたと見られています。最も古いRemotePEのサンプルには、2023年7月4日のタイムスタンプが確認されており、Lazarusグループがこのツールにかなりのリソースを投入してきたことが伺えます。
研究者たちは、「このツールセットの環境キーイング、メモリのみの実行、EDR回避、そして低いフォレンジック痕跡は、長期的な監視キャンペーンのために特別に構築されたことを示唆している」と述べています。環境キーイングとは、特定のシステム環境でのみ動作するようにマルウェアが設計されていることを指し、一般的な環境での分析を困難にします。また、エンドポイント検出応答(EDR)ソリューションによる検知を回避する技術や、フォレンジック調査で残される痕跡が極めて少ないことも、このマルウェアのステルス性の高さを物語っています。
さらに、RemotePELoaderもRemotePEも、今回の発表以前には主要なマルウェア分析サービスであるVirusTotalでほとんど検出されていなかったと報じられています。これは、このツールセットが非常に価値の高い標的に対してのみ使用され、長期にわたる隠密なアクセスを維持することを目的としている可能性を示唆しています。Lazarusグループのサブグループが金融および仮想通貨組織に焦点を当てていることを考えると、この分析は彼らの戦略と一致します。
金融・仮想通貨業界が直面するLazarusの高度な脅威
LazarusグループによるRemotePEの展開は、金融機関や仮想通貨関連企業にとって新たな、そして極めて深刻な脅威を提示しています。メモリ常駐型マルウェアは、従来のシグネチャベースのアンチウイルス製品では検知が難しく、また、システムが再起動されるとメモリ上のマルウェアは消滅するため、フォレンジック調査を困難にさせます。これは、攻撃者が長期間にわたって標的システム内に潜伏し、機密情報を継続的に窃取したり、大規模な金融詐欺の機会をうかがったりすることを可能にします。
特に、ソーシャルエンジニアリングの手法が巧妙化している点も警戒すべきです。従業員を装ってTelegramで接触し、偽の会議予約サイトを利用する手口は、多くの企業で導入されているセキュリティ対策をすり抜ける可能性があります。従業員一人ひとりのセキュリティ意識の向上が、このような初期侵入を防ぐ上で不可欠となります。
過去の攻撃事例との比較とLazarusグループの進化
Lazarusグループは、その活動の歴史を通じて、常に攻撃手法を進化させてきました。2014年のソニー・ピクチャーズエンタテインメントへの攻撃、2017年の世界的なWannaCryランサムウェア攻撃、そしてSWIFTシステムを悪用した銀行強盗など、彼らの攻撃は常に世界的な注目を集めてきました。これらの攻撃は、国家の支援を受けたサイバー犯罪組織が、いかに大規模かつ破壊的な影響をもたらしうるかを示すものです。
RemotePEに見られるファイル削除時のデータ上書きや、PondRAT、POOLRATといった他のマルウェアとの技術的な共通点は、Lazarusグループが統一されたツールセットと開発体制を持っていることを示唆しています。彼らは、標的の環境や目的によって、最適なツールを使い分けていると考えられます。また、「actor-in-the-loop」と呼ばれる、攻撃者が手動で操作を行うデリバリーモデルは、自動化された攻撃よりも検出が難しく、より高度な判断を伴う標的型攻撃に用いられる傾向があります。
金融・仮想通貨業界は、その性質上、常にサイバー攻撃の主要な標的となります。Lazarusグループのような国家支援型のアクターは、膨大なリソースと高度な技術力を背景に、常に新たな脆弱性や攻撃手法を模索しています。そのため、これらの組織は、従来のセキュリティ対策に加え、より高度な脅威インテリジェンスの活用、多層防御戦略の強化、そして従業員への継続的なセキュリティ教育が不可欠です。
まとめ:Lazarusグループの進化する脅威への警戒
Lazarusグループによるメモリ常駐型RAT「RemotePE」の展開は、金融および仮想通貨業界が直面するサイバーセキュリティリスクの増大を明確に示しています。このマルウェアは、その高度な検出回避能力と多段階の感染プロセスにより、従来のセキュリティ対策を容易にすり抜ける可能性があります。長期的な潜伏と情報窃取、そして最終的な大規模な金融詐欺を目的としたLazarusグループの攻撃は、企業に甚大な被害をもたらす恐れがあります。
組織は、従業員に対するソーシャルエンジニアリング対策の徹底、多要素認証(MFA)の導入、エンドポイント検出応答(EDR)や拡張検出応答(XDR)ソリューションの活用、セキュリティ情報イベント管理(SIEM)システムによるログの監視強化など、多角的なセキュリティ対策を講じる必要があります。また、最新の脅威インテリジェンスを継続的に収集し、自社の防御体制を常に最新の状態に保つことが、Lazarusグループのような高度なサイバー脅威から身を守る上で不可欠となるでしょう。
