セキュリティ

SECURITY

公開：2025-01-10

LazarusがNotepad++プラグインを偽装した新型マルウェアで核関連組織を狙った標的型攻撃を実行

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Lazarusが新マルウェア「CookiePlus」で核関連組織を標的に攻撃
• IT専門職向けスキル評価テストに偽装した感染手法を使用
• ブラジルとベトナムの組織従業員が被害対象に

Lazarusの新マルウェアによる核関連組織への攻撃活動

Kasperskyのグローバル調査分析チームは、サイバー攻撃グループLazarusによる新たな攻撃活動Operation DreamJobの動向を2024年12月19日に発表した。この攻撃では海外の核関連組織の従業員を標的に、IT専門職向けスキル評価テストを装った改ざんアーカイブファイルを使用し、新型バックドア「CookiePlus」による感染を試みている。^[1]

Operation DreamJobは2019年から5年以上にわたり進化を続け、暗号資産関連ビジネスから欧州、ラテンアメリカ、韓国、アフリカのIT企業や防衛分野へと標的を拡大してきた。今回の攻撃ではブラジルの核関連組織の複数従業員とベトナムの企業従業員が標的となり、LinkedInなどの求人プラットフォームを通じた初期接触が行われたと推測されている。

LazarusはVNCソフトウェアを悪用したマルチステージ攻撃を展開し、CookiePlusバックドアを使用している。このマルウェアはNotepad++のプラグインComparePlusを偽装し、システムデータの収集や実行スケジュールの調整、検知回避機能を備えており、長期的な潜伏を可能にする高度な設計となっている。

Operation DreamJobの攻撃詳細まとめ

マルチステージ攻撃について

マルチステージ攻撃とは、複数の段階を経て標的システムに侵入・感染させる高度なサイバー攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• 複数のマルウェアやツールを段階的に使用
• 検知回避のため各段階で異なる手法を採用
• 長期的な潜伏と持続的な攻撃を実現

Operation DreamJobではVNCソフトウェアを悪用した初期侵入から、CookiePlusバックドアの展開まで複数の段階を経て攻撃を行っている。マルチステージ攻撃は検知や防御が困難であり、特に重要インフラを狙った標的型攻撃では深刻な脅威となっている。

Operation DreamJobに関する考察

Operation DreamJobの手法はIT人材の採用プロセスを巧妙に悪用しており、人材不足に悩む組織にとって深刻な脅威となっている。LinkedInなどの正規の求人プラットフォームを利用することで、標的組織の警戒心を低下させ、より効果的な初期侵入を実現することに成功している。

今後はAIを活用した求人詐欺の自動化や、より洗練された偽装技術の出現が予想される。組織はIT人材の採用プロセスにおけるセキュリティ対策を強化し、応募者の身元確認や評価テストの正当性検証など、多層的な防御策を講じる必要があるだろう。

CookiePlusのような高度なバックドアの出現は、サイバー攻撃の技術的進化を示している。セキュリティチームは、プラグインやソフトウェアの改ざんを検知する仕組みの導入や、定期的なシステム監査の実施など、より包括的なセキュリティ対策の構築が求められる。

参考サイト

1. ^ PR TIMES. 「Kaspersky、悪名高いサイバー攻撃グループ「Lazarus」が新しいマルウェアを使用し核関連組織の職員を標的にしていたことを発見 | 株式会社カスペルスキーのプレスリリース」. https://prtimes.jp/main/html/rd/p/000000454.000011471.html, (参照 25-01-10).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧