悪意あるソフトウェアがステルス性を保ち続けるほど、侵害されたシステム内での存続期間は長くなります。この思想こそが、銀行機関や暗号資産プラットフォームへの最新攻撃において、北朝鮮との関連が指摘されるLazarusグループを突き動かす原動力です。最新のセキュリティ調査によると、Lazarusはメモリのみのマルウェアツールセットによって金融セクターを標的とし、ネットワークの深部への潜入を図っていることが明らかになっています。
揮発性の武器庫:DPAPILoader、RemotePELoader、RemotePE
Cognyteの研究者たちは、DPAPILoader、RemotePELoader、RemotePEという3つのツールで構成された複合ツールキットを使用した高度な侵入行為を記録しています。このデジタル武器庫の最大の特徴は、揮発性メモリ上での実行戦略にあります。具体的には、悪意あるペイロードは物理ストレージディスクに一切書き込まれず、揮発性のランダムアクセスメモリ(RAM)内のみで動作します。その結果、侵害後の検知や従来のフォレンジック調査は、防御側にとって極めて困難なものとなっています。
多段階攻撃アーキテクチャの解剖
この攻撃のアーキテクチャは、セキュリティレイヤーを回避するため、複数の段階にわたって精密に設計されています。まず最初のコンポーネントが、WindowsネイティブのデータプロテクションAPI(DPAPI)を活用して後続コンポーネントを安全に復号・実行します。次に第2のコンポーネントが、攻撃者のコマンド&コントロール(C2)サーバーから最終的なペイロードを直接取得します。そして第3のコンポーネント——リモートアクセス型トロイの木馬(RAT)——が完全にメモリ上に展開されます。これにより、サイバー犯罪者は感染システムを完全に掌握し、任意のコマンド実行、ファイル操作、そして秘密裏のデータ窃取が可能になります。
環境バインディングの精巧さ
今回のキャンペーンで発見された中でも、特に注目すべき技術が「環境バインディング」の厳格な実装です。マシン固有のDPAPIメカニズムを利用することで、悪意あるコードは被害者のユニークなハードウェア署名に暗号学的に結び付けられます。そのため、別のデバイスでペイロードを実行することは事実上不可能です。結果として、各感染はまったく異なる形で現れるため、従来のファイルシグネチャベースの検知メカニズムを事実上無効化します。
戦略的ステルスとスパイ活動への転換
歴史的に、Lazarusグループは金銭的動機によるサイバー攻撃を専門とし、大規模な暗号資産窃盗がその代表例でした。しかし今回の最新事例は、戦術的な方向転換を示しています。単なる技術的な洗練にとどまらず、このグループはステルス性と被害者ネットワーク内での長期的な潜伏をますます重視するようになっています。こうした手法は従来、金銭目的のグループではなく、国家が支援する諜報機関とほぼ専ら結びついていたものです。
積極的な対策と防御手段
これらの深刻なリスクを軽減するため、セキュリティアナリストは最小権限の原則を徹底し、管理者認証情報を即座に制限することを推奨しています。さらに、組織は振る舞い検知ベースのメモリスキャン型脅威検出ソリューションを導入し、エンドポイントのテレメトリ収集を強化する必要があります。最後に、セキュリティオペレーションセンター(SOC)は、異常なDPAPI関数呼び出しや不審なアウトバウンドネットワークトラフィックのパターンを注意深く監視しなければなりません。
翻訳元: https://meterpreter.org/lazarus-memory-only-malware/
