Medusaを使用した新しいサイバー攻撃の波 が北朝鮮の国家支援を受けたハッカーに関連付けられており、彼らは最近の起訴にもかかわらず米国のヘルスケアセクターを標的にし続けています。
SymantecおよびCarbon Black Threat Hunter Teamの研究者によると、攻撃者は中東の標的に対してMedusaを展開し、米国のヘルスケア機関への侵害を試みましたが失敗しました。
Medusaランサムウェアの使用が増加
Spearwingサイバー犯罪グループによって運営されているMedusaは、2023年にランサムウェア・アズ・ア・サービス(RaaS)プラットフォームとして出現しました。
アフィリエイトは身代金支払いの一部と引き換えにマルウェアを展開します。デビュー以来、Medusaを使用している攻撃者は366件以上のインシデントを報告しています。
Medusaのリークサイトの分析によると、2025年11月初旬以降、4つの米国ヘルスケアおよび非営利組織が被害者として記載されています。
これらには、メンタルヘルス非営利団体と自閉症児向けの学校が含まれています。この期間の平均身代金要求額は260,000ドルでした。
RaaS動向の詳細:研究者が新しい「Vect」RaaS亜種について警告
Lazarusグループとの関連性
新しいアクティビティは、国家支援の傘組織であるLazarusグループに広く関連付けられていますが、どのLazarusの小部隊が攻撃の背後にいるかは不明なままです。Symantecによると。
Stonefly小部隊(別名Andariel)は、過去5年間にランサムウェア作戦で中心的な役割を果たしてきました。かつてはスパイ行為に専念していると考えられていましたが、Stoneflyの経済的に動機付けられた攻撃への関与は2025年7月に公開されました。
その時、米国司法省はStonefly関係者とされるRim Jong Hyokを、米国の病院やヘルスケアプロバイダーを標的にしたランサムウェアキャンペーンへの関与で起訴しました。彼は北朝鮮の偵察総局(RGB)に所属していると言われています。当局は彼に関連する情報に対して1000万ドルの報奨金を発表しました。
起訴は、ランサムウェアの収益が米国、台湾、韓国の防衛、技術、政府機関に対するスパイ作戦の資金に充てられたことを示唆していました。しかし、その後の調査では、ランサムウェアは展開されなかったものの、2024年10月に3つの米国機関に対する継続的な侵害の試みが発見されました。
最近のキャンペーンで使用されたツール
新しいアドバイザリーでは、研究者は攻撃に関連する幅広いマルウェアとユーティリティを特定しました:
-
Blindingcan遠隔アクセストロイの木馬
-
ChromeStealerクレデンシャル取得ツール
-
Curlコマンドラインユーティリティ
-
Infohookデータスティーラー
-
RP_Proxyカスタムプロキシツール
戦術は以前のStonefly作戦に似ていますが、分析者はこれらのツールが1つの小部隊だけに限定されていないことを警告しました。
「Medusaへの切り替えは、北朝鮮のサイバー犯罪への貪欲な関与が衰えることなく続いていることを示しています。北朝鮮の関係者は米国の組織を標的にすることについてほとんど躊躇していないようです」とSymantecは述べました。
「一部のサイバー犯罪グループは評判への損害を理由にヘルスケア機関をターゲットにすることを避けると主張していますが、Lazarusはいかなる方法でも制限されていないようです。」
翻訳元: https://www.infosecurity-magazine.com/news/north-korean-lazarus-group-medusa/
