✅ レポートタイトル： 脅威グループのプロファイリング：「Lazarus」

S2W脅威インテリジェンスセンター「TALON」は、北朝鮮偵察総局に所属するAPTグループとして知られている「Lazarus」の脅威グループプロファイリングレポートを公開しました。

本レポートは、「Lazarus」の組織的特性と最新の攻撃技術（TTP）を確認するための難易度の高い脅威インテリジェンスレポートです。

✅ レポートの要約：

📌 「APTグループLazarus」について

- 「Lazarus」グループは北朝鮮政府が支援する代表的なAPTグループで、2009年頃から本格的な活動を始めたと推定されます。
- 「Hidden Cobra」、「Guardians of Peace」、「Labyrinth Chollima」、「UNC4034」、「BlackArtemis」、「ZINC」、「Nickel Academy」、「APT-C-26」、「Diamond Sleet」など、さまざまな名称で知られています。
- 世界中の政府機関や企業を対象に情報窃取、システム破壊、暗号資産の窃取など多様な目的で攻撃を行っており、2023年1月以降だけでも最低25件以上の攻撃を行ったと分析されます。
- 初期侵入段階では、脆弱性エクスプロイトやウォーターリングホール（Exploit Vulnerability & Watering Hole）、フィッシング（Phishing）、サプライチェーン攻撃（Supply Chain Attack）など様々な手法が活用されます。

📌 Lazarusの主な戦術、技術および手順（Tactics、Techniques、およびProcedures、TTP）

- 脆弱性の悪用・ウォーターリングホール：「Lazarus」は近年、通常のウェブサイトをハッキングしてウォーターリングホール（水飲み場型攻撃）を悪用する攻撃を続けています。特に、ゼロデイ及びリモートコード実行（RCE）の脆弱性を利用してウェブサーバーに侵入するケースが多数確認されています。
- フィッシング：フィッシングメールを介してマルウェアを流布したり、SNSサービス（X、Signal、WhatsApp、Wireなど）を介して攻撃対象にアクセスし、マルウェア（T1137.001）とリモートテンプレートインジェクション（T1221）技術が適用されたドキュメントを流布する方法を活用します。
  - 主な事例：「Operation DreamJob」、暗号資産関連のフィッシングサイト運営、MATAマルウェア流布キャンペーンなど
- サプライチェーン：セキュリティソリューション、ITソフトウェアなど第三者サプライチェーンを通じたマルウェアの流通事例も継続的に確認されています。
  - 主な事例：「3CX」サプライチェーン侵害事件
- 共通攻撃方法：初期浸透方法に関係なく、Timestomp(T1070.006)、Indicator Removal(T1070)、Reflective Code Loading(T1260)、DLL Side-Loading(T1574.002)などの技術が共通して現れる特徴があります。

✅ 脅威検知の推奨事項と対策方法：

- 「Lazarus」グループはサプライチェーン攻撃と未知のゼロデイ脆弱性を悪用してマルウェアを流布しており、これに伴いグローバル被害が継続的に発生しています。
- 特に韓国で多数の企業のウェブサイトに被害を与え、ウォーターリングホールサイトを悪用し、ゼロデイベースのマルウェアを使用するという点で最も脅威的なAPTグループの一つとして評価されます。
- 各企業は内部環境に適合するTTPを分析し、脅威ハンティングと検知技術の優先順位を再整備し、組織全体のセキュリティレベルを先制的に強化する必要があります。

🧑‍💻 レポート作成者: S2W 「TALON」 (2025年4月29日基準)

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。