STARDUSTを用いたLazarus Groupの攻撃の解析

1. Lazarus Groupと観測の契機

Lazarus Groupは，Hidden Cobraとも呼ばれており，国家支援型サイバー攻撃グループと言われています [1]．Kaspersky Labによると，同グループによる活動は2009年ごろより観測されており，金融，報道，および製造業界など幅広い組織を狙ったサイバー諜報活動を行ってきたとされています．米国保健社会福祉省（HHS）のサイバーセキュリティ・インフラセキュリティ庁（CISA）や複数のセキュリティベンダが公開したレポートによると，LazarusにはAndariel，Bluenoroff，およびDangerous Passwordと呼ばれる複数の下部組織が存在し，攻撃対象や攻撃の目的（サイバーエスピオナージ・外貨獲得など）は異なるとされています．同グループの標的には日本も含まれており，2023年度には下部組織Dangerous Passwordによる日本の組織を狙った攻撃オペレーションのレポートがJPCERT/CC等から公開されています [2]．また，2023年3月29日に複数のセキュリティベンダからLazarusによるサプライチェーン攻撃が報告されています．同攻撃では，3CX社のVoIPソフトウェア「The 3CX Clientのインストーラが改ざんされ，ブラウザ上に保管された情報等を窃取するマルウェアがインストーラ内に追加されていたとされています．3CXが公開している顧客リストには日本企業も含まれているため，国内でも本件の影響を受けた可能性があります．

このように，Lazarus Groupやその下部組織は，近年でも日本を標的に含む攻撃を活発に行っていることから，攻撃手法の変化を追跡して防御策を検討する必要があると考えられます．こうした状況において，2023年8月当時，SNSにてLazarusと関連があると推測されていたlnkファイルを装った検体に関する情報を入手しました．同ファイルは，米陸軍の求人に関する偽装文書であり，ファイル名や内容が韓国語（ハングル）で記載されたものでした．これらの特徴から，Lazarusが継続的に実施するキャンペーン「Operation Dream Job」と関連する可能性があると判断し，STARDUSTで観測を行いました．

2.　解析結果

観測・解析した検体の動作フローを以下の図に示します．

まず，一次検体（LNKファイル+Thumbs.db）を実行した結果，二次検体のダウンロードと自動実行の登録に成功しました．二次検体は，C2サーバからコマンドを受信する機能を持つシンプルなRATであり，HTTP通信でC2サーバの指示を受けて端末の情報収集と三次検体のダウンロード&実行を実施しました．三次検体は，ペンテストツール「Sliver」をベースにしたRATであり，HTTPS通信でC2サーバの指示を受けて端末の情報収集，他プロセスの起動，およびテキストファイルの作成を実施しました．
二次検体と三次検体は7月20日（木）から8月1日（火）の期間のみ活動し，8月2日（水）以降は，二次検体の定期通信のみが観測されました（三次検体については，電卓やメモ帳の起動・ファイル作成など動作確認と思われる挙動が観測されましたが，その後本格的な攻撃は観測されませんでした）．
この感染フローにおける主なファイルや通信先の情報は，以下の通りです．

また，今回は2023年10月25日（水）から11月3日（金）の期間に観測を行いました．当該期間における各検体の挙動の概要を以下の表に示します．一次検体を実行した10月25日は二次検体（Remcos）のドロップとC2サーバへの通信に留まりましたが，翌10月26日に三次検体（AgentTesla）のダウンロード・実行や窃取した情報の送付といった攻撃者の挙動を観測できました．10月27日以降は定期通信に留まったこと，11月1日以降はC2サーバが停止したことから，同週末の11月3日に観測を終了しました．

※ 日本国内向けの攻撃観測を主眼に置いているため，営業時間内を意識した観測を行っています．そのため，通信成立状況を「--」としています．

以降では，一次検体，二次検体，および三次検体のそれぞれについて，その解析結果を述べます．

2.1 一次検体の解析結果

一次検体は，前述の通り「LNKファイル」と「Thumbs.db」の2ファイルで構成されています．一次検体は，ユーザがLNKファイルをクリックするとPowershellが起動し，Powershellが引数をThumbs.dbから読み込んだ後，二次検体のダウンロードと自動実行登録（永続化）を行います．

一次検体による二次検体のダウンロードと永続化
LNKファイルを実行すると，Powershellが検体配布サーバ（www[.]jkmusic[.]co[.]kr）と通信し，正規のWinRAR.exe（解凍ソフト）と拡張子偽装したRARファイルをダウンロードします．

その後，Powershellがタスクスケジューラ（schtasks.exe）を起動し，WinRARを用いてRARファイルを解凍するタスクと二次検体を実行するタスクがスケジューリングされます．実際に作成されたタスクは以下の通りです．

2.2 二次検体（conshost.exe）の解析結果

二次検体の概要は，以下の通りです．

初期感染通知，コマンド実行，および実行結果通知の3つの機能を有しており，C2サーバとHTTP通信を実施
各種コマンドは攻撃者が手作業で入力
シェルコードとRAT本体が検体の末尾に暗号化されて付与されており，シェルコードに施されている難読化手法はLazarusのValeforBetaと同種のもの
前述の通りタスクスケジューラに登録され，毎日10時11分に自動実行
RAT本体に格納されている通信先はBase64で保存（LazarusのKaos（Yama）Botと同じ手法
C2サーバは2台存在しており，接続失敗などで接続先を切り替え（8月4日（金）に1台目のサーバが停止したことに伴い同日に2台目へ切り替わったことを観測．ただし2台目も切り替わり時点で既に稼働していなかった可能性が高く，毎回クラウドサービスのエラーメッセージが返却されていることを確認）

また，二次検体の2台とのC2サーバとの通信成立状況は，以下の通りでした．

※ 日本国内向けの攻撃観測を主眼に置いているため，営業時間内を意識した観測を行っています．そのため，通信成立状況を「--」としています．

以降では，二次検体について，その詳細を述べます．

二次検体の定期通信（1台目のC2サーバ）
二次検体は，C2サーバ（www[.]notebooksell[.]kr）とHTTP通信を行い，通信開始時には必ずPOSTで識別子（難読化された端末情報）を送信します．

以降は，15分ごとにC2サーバとHTTP通信を行い，攻撃者からの命令を待ち受けます．

攻撃者から命令を受けた場合のHTTP通信（1台目のC2サーバ）
二次検体は，前述の通り攻撃者から実行するコマンドを命令として受領します．攻撃者から受信するコマンドは，先頭にゴミデータを付与したbase64で難読化されていました．

なお，復号すると以下のように平文のコマンドを確認できます．

2台目のC2サーバについて
観測9日目（8月4日（金））に1台目C2サーバ（www[.]notebooksell[.]kr）が停止したことに伴い，二次検体は同日から2台目のC2サーバ（www[.]musicauditor[.]com[.]au）への通信を開始しました．ただし，2台目も切り替え時点で既に稼働していなかった可能性が高く，毎回CloudFlareのサービスにリダイレクトされ，クラウドサービスのネットワークエラーに関するメッセージがレスポンスとして返ってきていました．また，2台目の初回通信に失敗した後は定期通信も発生しませんでした．

二次検体の情報収集
二次検体は，観測5日目（7月24日（月））に端末情報の収集を開始し，端末情報は2日間かけて収集されました．端末情報の収集に係る攻撃のタイムラインは以下の通りです．なお，二次検体自体には情報収集機能は無いため，下表のコマンドは攻撃者が手作業で入力した可能性が高いと考えられます．

二次検体による三次検体のダウンロード
二次検体は，観測6日目（7月25日（火））に，C2サーバから三次検体のダウンロードを実施しました．1回目に実行されたcurlコマンドは失敗し，2回目はPowershell Invoke-WebRequestコマンドに変更してダウンロードに成功しました．二次検体にダウンロード機能は無いため，下表のコマンドも攻撃者が手作業で入力した可能性が高いと考えられます．

定期通信先のC2サーバ（www[.]notebooksell[.]kr）からの三次検体のダウンロード（一部情報をマスク済）

2.3 三次検体（SearchUI.exe）の解析結果

三次検体の概要は，以下の通りです．

OSSのペンテストツールSliver [3] がベースのRATで，Go言語での実装
RAT本体はRC5/RC6で暗号化
毎回手動で起動（後述の通り二次検体によるタスクスケジューラへの登録が失敗したため）
攻撃者の命令を受け，情報収集，他プロセスの起動，およびファイルの作成を実施
観測されたC2サーバは1つだけで，約1時間ごとにHTTPS通信で定期通信を実施

また，三次検体のC2サーバとの通信成立状況は，以下の通りでした．

以降では，三次検体について，その詳細を述べます．

三次検体の起動と永続化（失敗）
三次検体は，観測7日目から13日目（7月26日（木）から8月1日（火））の期間中，毎回二次検体によって手動で実行されました．三次検体のダウンロードから2日後にタスクスケジューラへの登録が試みられましたが失敗し，以降は登録の試行もされず，結果として観測期間中は毎回手動で実行されていました（自動実行登録が再度試みられない理由は不明）．

※ 二次検体のタスクスケジューラオプション(/sc DAILY /st 10:11)は「現在のユーザのみ」が対象でユーザ権限でも登録成功したが，三次検体のオプション(/sc onlogon)は「全てのユーザのログイン」を対象にするため管理者権限が要求され、登録に失敗した

三次検体の情報収集
三次検体は，観測12日目（7月31日（月））の起動から約4時間後に端末情報の収集を開始し，端末情報は2日間かけて収集されました．端末情報の収集に係る攻撃のタイムラインは以下の通りです．
二次検体と同じコマンドを実行する，同じコマンドを複数回実行する，等の不自然な挙動も観測されました．また，ファイルパスを何度も間違える等，収集に慣れていないとみられる挙動も観測されました．
二次検体との相違点としてPINGコマンドの実行があり，他の端末のIPアドレスを決め打ちしているため，組織内のネットワーク情報を把握していた可能性が高いと考えられます．

三次検体による他プロセス起動とファイル作成
三次検体は，情報収集と並行して電卓，メモ帳，およびサービスホストを起動していました．起動する対象が一般的なソフトウェア・サービスに留まっていることやそれぞれの起動後にプロセス一覧等を確認していることから，本格的な攻撃前の動作確認であった可能性が高いと考えられます．

3. 攻撃者に関する考察

本章では，2章での観測・解析結果を基にした考察を述べます．

攻撃者の活動時間の分布（日本時間）
検体が攻撃者からの命令を受信した時間帯を調査した結果，二次検体は自動実行直後の10時台，三次検体は14時～18時台に集中していました．両方とも日本時間での所謂定時内に概ね収まっており，攻撃者が日本に近いタイムゾーンで活動している可能性があると考えられます．また，7月21日（金）と7月28日（金）には攻撃者からの命令が無く，金曜日は意図な活動停止の可能性もあると考えられます．

加えて，下記の理由から，攻撃者は韓国語に精通し，日本と活動時間帯が近しい可能性が考えられます．

二次検体のC2サーバのレスポンスのcharsetが「EUC-KR」であること（三次検体はベースとなったペンテストツールSliverと同じく英語）
二次検体のC2サーバが待機状態の際のレスポンス「xz36」を復号すると，ハングル文字「윽」になること（和訳すると「当惑」、「うーん」の意味，下図参照）
攻撃者の活動時間帯が日本に近いこと

二次検体と三次検体の攻撃者について
以下の理由により、二次検体と三次検体のオペレータは別人（別グループ）の可能性があると考えられます．

主な活動時間帯が異なること（二次検体は10時台，三次検体は14時～18時台）
三次検体が受信したコマンドには，引数のタイプミスや同じコマンドの複数回実行等が含まれており，二次検体と比較してシンプルなミスが多いこと
二次検体が三次検体の自動実行登録を失敗した際に，失敗に気付いて手動で三次検体を実行するまで2日間を要していること
三次検体での情報収集の際，二次検体によって既に入手した情報をもう一度収集していること（下表）

ただし，二次検体と三次検体には「sss」の文字列を利用する共通点があり，オペレータは別人（別グループ）なものの，所属する組織やマニュアルが同じ可能性があります．また，「sss」の文字列はキャンペーンID等，何らかの識別子である可能性もあります．

各検体と北朝鮮のAPTグループ「Lazarus」の関連について
一次検体は，同封された偽装文書の内容が米陸軍の求人に関するものであり，同種の特徴を有するLazarusのキャンペーン「Operation Dream Job」と関連する可能性があります．他にも以下のような関連が見られました．

二次検体は，過去のLazarus関連検体と類似の難読化手法を利用
シェルコードに施されている難読化手法がLazarusのValeforBetaと同種
RAT本体に格納された通信先はBase64で保存（LazarusKaos（Yama）Botと同種）

また，三次検体の攻撃者がechoで3文字の英字「sss」を書き込む挙動がLazarusの過去検体「ValeforBeta」の攻撃者の挙動 [4] と類似しています．このことから，英字3文字でキャンペーンを識別している可能性も考えられます．

Lazarusのサブグループ「Andariel」と「Sliver」の関連について
三次検体のペンテストツール「Sliver」については，観測時の2023年7月時点では北朝鮮に関連するAPTグループが過去に利用した事例は発見できませんでした．

しかし，セキュリティベンダの調査 [5] によるとLazarusのサブグループ「Andariel」が2023年から複数種類のGo言語ペンテストツールを利用し始めており，今回の三次検体「Sliver」と関連がある可能性があります．
また，セキュリティベンダの調査 [6] によるとLazarusのサブグループ「Andariel」は2024年6月に今回の三次検体「Sliver」を利用した攻撃を行っています．2023年7月に観測した今回の事例は（Sliver）の練習台であり，動作確認を行うために三次検体「Sliver」と二次検体で同じコマンドを実行していた可能性があります．

その他

観測開始は7月20日（木），C2サーバから最初の命令は7月24日（月）で，4日間のタイムラグ有
- 解析環境と識別するために意図的に4日間様子を見た可能性あり
- 標的が韓国組織であるために日本語の端末は優先順位が低く後回しにされた可能性あり
三次検体の永続化に失敗した後，永続化の再試行を実施せずに手動で実行
- 二次検体と三次検体のオペレータが別で，三次検体に永続化を任せていた可能性あり
- 優先順位が低かったために永続化は後回しにされた可能性あり
三次検体は，端末情報収集や他プロセス起動を実施したがその後の攻撃は未実行
- 情報収集の結果，優先度の低い組織と判定し，攻撃を中止された可能性あり
- 今回の事例は動作テストで，今後使う三次検体（Sliver）の練習台にされた可能性あり

4. まとめ

我々のSTARDUSTを用いた取り組みの一環として観測したLazarus Groupの攻撃の解析結果を共有しました．今回は，二次検体や三次検体における攻撃者の侵入や各種コマンド実行まで観測することができました．この侵入やコマンド実行は，本文中で言及した通り一次検体を実行してから数日後に観測されたものです．これは，前回のremcosの際と同様に，比較的長期間の観測が可能なSTARDUSTの利点が活きた形での観測になったものと考えています．また，三次検体でのコマンド実行では，検体を実行した端末とは別の端末やネットワーク内の各種サーバに対して，IPアドレスを直接指定しているものも散見されました．これは，STARDUSTが有する実際の組織を模擬した環境が攻撃者を欺瞞できている，或いは挙動を引き出せているという風に，攻撃の観測に有用であることを示唆していると考えています．

我々は，今後もSTARDUSTを用いて観測した攻撃について発信を行っていく予定です．