慢雾セキュリティチームがLazarus Groupの侵入手法を暴露

原文标题：《暗号通貨 APT 情報：Lazarus Group の侵入手法を暴露する》

著者： 23pds \& Thinking （慢霧セキュリティチーム）

編纂： lenaxin ， ChainCatcher

背景

2024年6月以降、慢霧セキュリティチームは複数のチームからの招待を受け、いくつかのハッキング事件に対する証拠調査を開始しました。前期の蓄積と過去30日の詳細な分析調査を経て、ハッキング手法と侵入経路の振り返りを完了しました。その結果、これは暗号通貨取引所に対する国家レベルのAPT攻撃であることが示されました。証拠分析と関連追跡を通じて、攻撃者がLazarus Groupであることを確認しました。

関連するIOC（侵入指標）とTTP（戦術、技術、手順）を取得した後、私たちはすぐにこの情報をパートナーに共有しました。同時に、他のパートナーも同様の攻撃手法と侵入手法に遭遇していることがわかりました。しかし、彼らは比較的幸運でした ------ ハッカーは侵入過程で一部のセキュリティ警告をトリガーし、セキュリティチームの迅速な対応により、攻撃は成功裏に阻止されました。

最近、暗号通貨取引所に対するAPT攻撃が継続的に発生しており、状況はますます厳しくなっています。関連者とのコミュニケーションの結果、攻撃のIOCとTTPをデータマスキング処理し、公開することを決定しました。これにより、コミュニティパートナーが迅速に防御と自己点検を行えるようにします。同時に、秘密保持契約の制約により、過度に多くのパートナーの具体的な情報を開示することはできません。次に、攻撃のIOCとTTPを重点的に共有します。

攻撃者情報

攻撃者のドメイン：

• gossipsnare [.] com , 51.38.145.49:443
• showmanroast [.] com , 213.252.232.171:443
• getstockprice [.] info , 131.226.2.120:443
• eclairdomain [.] com , 37.120.247.180:443
• replaydreary [.] com , 88.119.175.208:443
• coreladao [.] com
• cdn . clubinfo [.] io

関与した事件のIP：

• 193.233.171[.]58
• 193.233.85[.]234
• 208.95.112[.]1
• 204.79.197[.]203
• 23.195.153[.]175

攻撃者のGitHubユーザー名：

• https :// github . com / mariaauijj
• https :// github . com / patriciauiokv
• https :// github . com / lauraengmp

攻撃者のソーシャルアカウント：

• Telegram : @ tanzimahmed88

バックドアプログラム名：

• StockInvestSimulator - main . zip
• MonteCarloStockInvestSimulator - main . zip
• 類似 … StockInvestSimulator - main . zip など

実際のプロジェクトコード：

( https :// github . com / cristianleoo / montecarlo - portfolio - management )

攻撃者が変更した偽のプロジェクトコード：

比較すると、dataディレクトリにdata _ fetcher . pyファイルが追加されており、その中には奇妙なLoaderが含まれています：

![](https://admin2049.chaincatcher.info/upload/image/20250224/1740373839972-802342.webp)

攻撃者が使用したバックドア技術

攻撃者はpyyamlを利用してRCE（リモートコード実行）を行い、悪意のあるコードを配信し、ターゲットのコンピュータとサーバーを制御します。この方法はほとんどのウイルス対策ソフトウェアの検出を回避しました。パートナーと情報を同期した後、私たちはさらに多くの類似の悪意のあるサンプルを取得しました。

重要な技術分析の参考： https :// github . com / yaml / py yaml / wiki / PyYAML - yaml . load ( input )- Deprecation # how - to - disable - the - warning

慢霧セキュリティチームはサンプルの詳細な分析を通じて、攻撃者がpyyamlを利用してRCE（リモートコード実行）を行う手法を再現することに成功しました。

攻撃の重要な分析

目標と動機

目標：攻撃者の主な目標は、暗号通貨取引所のインフラを侵入し、ウォレットの制御を取得し、その結果としてウォレット内の大量の暗号資産を不正に移転することです。

動機：高価値の暗号通貨資産を盗もうとしています。

技術手段

1. 初期侵入

• 攻撃者は社会工学的手法を利用して、従業員を騙し、ローカルデバイスまたはDocker内で一見正常なコードを実行させます。
• 本調査では、攻撃者が使用したマルウェアにはStockInvestSimulator - main . zipとMonteCarlo StockInvestSimulator - main . zipが含まれています。これらのファイルは合法的なPythonプロジェクトに偽装されていますが、実際にはリモートコントロールのトロイの木馬であり、攻撃者はpyyamlを利用してRCEを行い、悪意のあるコードの配信と実行手段として利用し、ほとんどのウイルス対策ソフトウェアの検出を回避しました。

1. 権限昇格

• 攻撃者はマルウェアを通じて従業員のデバイスのローカル制御権限を取得し、従業員にdocker - compose . yamlのprivileged設定をtrueにするように誘導しました。
• 攻撃者はprivileged設定をtrueにする条件を利用してさらに権限を昇格させ、ターゲットデバイスを完全に制御しました。

1. 内部偵察と横移動

• 攻撃者は侵入された従業員のコンピュータを利用して社内ネットワークをスキャンしました。
• その後、攻撃者は社内ネットワークのサービスとアプリケーションの脆弱性を利用して、企業内部のサーバーにさらに侵入しました。
• 攻撃者は重要なサーバーのSSHキーを盗み、サーバー間のホワイトリスト信頼関係を利用して、ウォレットサーバーに横移動しました。

1. 暗号資産の移転

• 攻撃者はウォレットの制御権を取得した後、大量の暗号資産を不正にその制御下のウォレットアドレスに移転しました。

1. 足跡を隠す

• 攻撃者は合法的な企業ツール、アプリケーションサービス、インフラを踏み台として利用し、違法活動の真の出所を隠蔽し、ログデータやサンプルデータを削除または破壊しました。

プロセス

攻撃者は社会工学的手法を通じてターゲットを騙します。一般的な方法には以下が含まれます：

1. プロジェクト側を装い、重要なターゲットの開発者を探し、コードのデバッグを手伝うように依頼し、信頼を得るために報酬を前払いする意向を示します。

関連するIPとUA情報を追跡した結果、この取引は第三者による代金支払いであり、あまり価値がないことがわかりました。

2. 攻撃者は自動化取引や投資者を装い、取引分析や量的コードを提供し、重要なターゲットに悪意のあるプログラムを実行させるように誘導します。一旦悪意のあるプログラムがデバイス上で実行されると、持続的なバックドアを構築し、攻撃者にリモートアクセス権を提供します。

• 攻撃者は侵入されたデバイスを利用して社内ネットワークをスキャンし、重要なサーバーを特定し、企業アプリケーションの脆弱性を利用して企業ネットワークにさらに侵入します。すべての攻撃行為は侵入されたデバイスのVPNトラフィックを通じて行われ、ほとんどのセキュリティデバイスの検出を回避します。
• 一旦関連アプリケーションサーバーの権限を取得すると、攻撃者は重要なサーバーのSSHキーを盗み、これらのサーバーの権限を利用して横移動し、最終的にウォレットサーバーを制御し、暗号資産を外部アドレスに移転します。全過程において、攻撃者は企業内部のツールとインフラを巧妙に利用し、攻撃行為が迅速に察知されることを難しくしています。
• 攻撃者は従業員にデバッグ実行中のプログラムを削除させ、デバッグ報酬を提供し、攻撃の痕跡を隠蔽します。

さらに、一部の騙された従業員は責任追及を恐れ、関連情報を自主的に削除する可能性があり、攻撃発生後に関連状況が迅速に報告されないため、調査と証拠収集がさらに困難になります。

対応提案

APT（高度持続的脅威）攻撃は、その隠蔽性が高く、目標が明確で長期間潜伏する特性から、防御が非常に難しいです。従来のセキュリティ対策では、その複雑な侵入行為を検出することが難しいため、リアルタイム監視、異常トラフィック分析、エンドポイント保護、集中ログ管理などの多層的なネットワークセキュリティソリューションを組み合わせる必要があります。これにより、攻撃者の侵入痕跡を早期に発見し、感知することができ、効果的に脅威に対処できます。慢霧セキュリティチームは8つの防御方向と提案を提示し、コミュニティパートナーに防御展開の参考を提供したいと考えています。

1. ネットワークプロキシのセキュリティ設定

目標： ネットワークプロキシにセキュリティポリシーを設定し、ゼロトラストモデルに基づくセキュリティ決定とサービス管理を実現します。

解決策： Fortinet (https://www.fortinet.com/), Akamai (https://www.akamai.com/glossary/where-to-start-with-zero-trust), Cloudflare (https://www.cloudflare.com/zero-trust/products/access/) など。

2. DNSトラフィックのセキュリティ保護

目標： DNSレイヤーでセキュリティコントロールを実施し、既知の悪意のあるドメインの解決要求を検出し、阻止します。DNS詐欺やデータ漏洩を防ぎます。

解決策： Cisco Umbrella (https://umbrella.cisco.com/) など。

3. ネットワークトラフィック/ホスト監視と脅威検出

目標： ネットワーク要求のデータフローを分析し、リアルタイムで異常行動を監視し、潜在的な攻撃（例：IDS/IPS）を特定します。サーバーにHIDSをインストールし、攻撃者の脆弱性利用などの攻撃行為を早期に発見します。

解決策： SolarWinds Network Performance Monitor (https://www.solarwinds.com/), Palo Alto (https://www.paloaltonetworks.com/), Fortinet (https://www.fortinet.com/), アリババクラウドセキュリティセンター (https://www.alibabacloud.com/zh/product/security_center), GlassWire (https://www.glasswire.com/) など。

4. ネットワークの分割と隔離

目標： ネットワークを小さく、相互に隔離された領域に分割し、脅威の拡散範囲を制限し、セキュリティコントロール能力を強化します。

解決策： Cisco Identity Services Engine (https://www.cisco.com/site/us/en/products/security/identity-services-engine/index.html)、クラウドプラットフォームのセキュリティグループポリシーなど。

5. システムの強化措置

目標： セキュリティ強化ポリシー（例：構成管理、脆弱性スキャン、パッチ更新）を実施し、システムの脆弱性を低減し、防御能力を向上させます。

解決策： Tenable.com (https://www.tenable.com/), public.cyber.mil (https://public.cyber.mil) など。

6. エンドポイントの可視性と脅威検出

目標： エンドポイントデバイスの活動をリアルタイムで監視し、潜在的な脅威を特定し、迅速な対応をサポートします（例：EDR）。アプリケーションホワイトリストメカニズムを設定し、異常なプログラムを発見し、迅速に警告します。

解決策： CrowdStrike Falcon (https://www.crowdstrike.com/), Microsoft Defender for Endpoint (https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint), Jamf (https://www.jamf.com/) またはWDAC (https://learn.microsoft.com/en-us/hololens/windows-defender-application-control-wdac) など。

7. 集中ログ管理と分析

目標： 異なるシステムからのログデータを統合し、統一プラットフォームにまとめ、セキュリティイベントの追跡、分析、対応を容易にします。

解決策： Splunk Enterprise Security (https://www.splunk.com/), Graylog (https://graylog.org/), ELK (Elasticsearch, Logstash, Kibana) など。

8. チームのセキュリティ意識を高める

目標： 組織のメンバーのセキュリティ意識を高め、大部分の社会工学的攻撃を識別できるようにし、問題が発生した場合には異常を自主的に報告し、より迅速に調査できるようにします。

解決策： ブロックチェーンの暗黒森林自救手冊 (https://darkhandbook.io/), Web3フィッシング手法分析 (https://github.com/slowmist/Knowledge-Base/blob/master/security-research/Web3%20%E9%92%93%E9%B1%BC%E6%89%8B%E6%B3%95%E8%A7%A3%E6%9E%90.pdf) など。

さらに、定期的にレッドチームとブルーチームの対抗演習を実施し、セキュリティプロセス管理とセキュリティ防御展開の弱点を特定することをお勧めします。

最後に

攻撃事件はしばしば週末や伝統的な祝日中に発生し、事件対応とリソース調整に大きな挑戦をもたらします。この過程で、慢霧セキュリティチームの23pds（山哥）、Thinking、Rebornなどの関連メンバーは常に警戒を保ち、休日中にシフト制で緊急対応を行い、調査分析を継続しました。最終的に、私たちは攻撃者の手法と侵入経路を成功裏に再現しました。

今回の調査を振り返ると、私たちはLazarus Groupの攻撃手法を明らかにしただけでなく、社会工学、脆弱性利用、権限昇格、内部侵入、資金移転などの一連の戦術を分析しました。また、実際のケースに基づいてAPT攻撃に対する防御提案をまとめ、業界に参考を提供し、より多くの機関がセキュリティ防護能力を向上させ、潜在的な脅威の影響を減少させる手助けができることを願っています。ネットワークセキュリティ対抗は持続的な戦いであり、私たちは今後も同様の攻撃に注目し、コミュニティが共に脅威に立ち向かう手助けをしていきます。