✅ レポートタイトル：ラザルス・グループの最新キャンペーンに関するIoCアップデート

✅ レポートの要約：

- S2W脅威インテリジェンスセンター「TALON」は、北朝鮮関連のAPTグループであるLazarusが韓国の組織を標的として配布したマルウェアサンプルを最近分析しました。

- 取得されたサンプルは、3種類のLoader型マルウェアと1つのFastCopyツールで構成されています。

- Loaderマルウェアを通じて、権限昇格マルウェアおよびスクリーンショット取得やログ記録を行うペイロードがメモリ上で実行されました。

📌 マルウェアの動作方法

- Loader型マルウェアは、AESまたはXOR演算を使用して暗号化またはエンコードされた状態で存在するペイロードを復号し、メモリ上にロードして実行します。

📌 過去の事例との関連性

- 復号に使用されるAESおよびXORキー値は実行引数を通じて渡され、2023年のLazarLoaderキャンペーンでLazarusグループが使用したXORキーが今回の攻撃でも再利用されていることが確認されました。

- さらに、ファイルおよびディレクトリの複製に使用されるFastCopyツールは、少なくとも2022年以降Lazarusグループが使用しているものと同一のバージョン（v.3.6.1）であることが確認されました。

📌 マルウェアの機能概要

- Loader (1)：VMProtectでパックされたDLL型Loaderマルウェアであり、LazarLoaderとして知られています。実行引数をキーとして使用し、XOR SUB演算を通じて埋め込みペイロードを復号し、メモリ上にロードして実行します。
  - 8d2efe5dba73e84f308fb0b954dbec12 (sub.tmp)

- Loader (2)：実行引数および実行ファイル名に対してハードコードされたシード文字列を使用し、バイト単位のXOR演算を行うDLL型Loaderマルウェアです。これにより最終キーを生成し、AESキーを構築してペイロードを復号後、メモリ上で実行します。
  - d9b7a2bdda52e08fb1cbd018aafb9f1a (mscoree.dll)
  - ffc693542abc34331e967da85fc2221e (mscoree_1.dll)

- Loader (3)：バイナリ内に埋め込まれたハードコードキー文字列を使用してXOR演算を行い、ペイロードをメモリ上で実行します。
  - bdadbf4af5b65131b081323417c36c82 (netuser.ini)

- FastCopy (v.3.6.1)：Lazarusグループが使用していることが確認された正規のファイルコピーおよびバックアップユーティリティです。
  - 66165f3705d558235cd1dbe5f41c2866 (sub.obj)

- 権限昇格マルウェア：公開されているUACMeソースコードを参照した権限昇格ツールです。
  - c58cd3b53f535f0388deefe77b918d8b

- スクリーンショットマルウェア：ユーザー入力（キーボード／マウス）を検出し、スクリーンキャプチャを取得してログファイルに記録します。
  - 7f5e0edaf3fbf38a5635d4cd0b84b57a

✅ 脅威検知の推奨事項と対策方法：

- 現時点では、マルウェアの初期感染経路は明確に特定されていませんが、最近の報告によると、Lazarusがウォータリングホール攻撃や既知の脆弱性を利用して初期侵入を行っていることから、同様の感染経路が考えられます。

- Lazarusグループは、以前使用したマルウェアを再利用し、追加の悪意あるペイロードを配布し続けています。

- 侵害指標（IoC）の確認、検知ルールの更新、およびシステム監視の強化を推奨します。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。