Operation Blacksmith

ほぼこもセキュリティニュース By Terilogy Worx

Operation Blacksmithは、マルウェアによる攻撃キャンペーンにつけられた名前です。
展開しているのは、Lazarusだと考えられています。
これまであまり例のないD programming language(いわゆるD言語)で記述されたマルウェアを展開します。

D言語は、基本的にC言語やC++に似ていて、C言語の高速性はそのままに、Javaのようなオブジェクト指向プログラミングが可能になっています。
そして、多くの環境向けにクロスコンパイルすることが可能となっています。
まだD言語は言語自体が若いのか、コンパイラのバージョンで苦労する部分もあるようですが、使える状態を構築できると魅力的なコンピュータ言語です。

Operation Blacksmithで確認された新しいマルウェアは次のようなものです。

  • NineRAT
    このマルウェアは、名前のとおり、リモートアクセストロイです。
    コマンドの受信、コマンドの実行結果の送信、インバウンドおよびアウトバウンドのファイル転送に、C2チャネルとしてTelegramを使用します。
    情報収集機能、動作間隔設定変更機能、休止期間設定機能、マルウェア自身の更新機能、自分自身のアンインストール機能などを有します。

     

  • DLRAT
    このマルウェアは、ダウンローダーであり、なおかつ、リモートアクセストロイです。
    これは追加のマルウェアを展開し、C2からコマンドを取得して、感染したエンドポイントで実行するために使用できます。
    システムの情報を収集し、C2の指示に従います。
    ダウンロード機能、アップロード機能、休止期間設定機能、自分自身のアンインストール機能などを有します。

     

  • BottomLoader
    このマルウェアは、名前のとおり、ダウンローダーです。
    PowerShellコマンドを使用して、ハードコーディングされたリモートURLから次の段階のペイロードをダウンロードできます。
    そして、PowerShellを使用してファイルをC2にアップロードする機能も搭載しています。

この攻撃キャンペーンは、CVE-2021-44228 (Log4j)などの脆弱なインフラストラクチャをホストとして展開されます。
これまで多くのメディアで話題になって大きく注目されたLog4jの脆弱性ですが、まだまだ公開された環境に多く存在したままとなってしまっています。
脆弱なシステム自体が侵害されることも問題ですが、その脆弱なシステムが踏み台となって多くの別の新しい攻撃活動が実行可能となってしまっているといえます。

自分のためだけでなく、世のため人のため、システムは健全な状態にしておきたいですね。

参考記事(外部リンク):Operation Blacksmith: Lazarus targets organizations
worldwide using novel Telegram-based malware written in DLang

blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。