TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Lazarus (まとめ)

概要

【要点】

北朝鮮のサイバー攻撃組織


【別名】

名称 命名組織
Lazarus
Hidden Cobra 米国政府
Dark Seoul
Labyrinth Chollima
Group 77
Hastati Group
Bureau 121
Unit 121
Whois Hacking Team
NewRomanic Cyber Army Team
Appleworm
Guardians of Peace
Hastati


【関連組織】

組織名 別名 備考
Lazarus Hidden Cobra, Dark Seoul 親組織
Bluenoroff Lazarusの子組織
Andariel Silent Chollima Lazarusの子組織


【辞書】

◆Lazarus Group (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/actor/lazarus_group

◆ラザルスグループ (Wikipedia)
https://ja.wikipedia.org/wiki/%E3%83%A9%E3%82%B6%E3%83%AB%E3%82%B9%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97

◆Lazarus Group (Wikipedia)
https://en.wikipedia.org/wiki/Lazarus_Group

◆Bureau 121 (Wikipedia)
https://en.wikipedia.org/wiki/Bureau_121


【概要】

■使用ツール

ツール名 備考
DeltaCharlie

記事


【ニュース】

■2016年

◆銀行で送金詐欺の被害相次ぐ、SWIFTが対策の徹底を呼び掛け (ITMedia, 2016/05/16 07:00)
今回新たに発覚した事件では、PDF閲覧アプリケーションを狙うマルウェアが使われた。銀行を狙った高度な攻撃が横行しているとの見方が強まっている
http://www.itmedia.co.jp/enterprise/articles/1605/16/news052.html

◆銀行狙ったハッカー集団、米映画大手などへの攻撃にも関与か (AFP BB News, 2016/05/28 15:14)
http://www.afpbb.com/articles/-/3088642

◆北朝鮮がハッカー攻撃で史上最大の89億円サイバー窃盗か…米映画事件と同手口「国家が金銭盗む目的初めてだ」 (産経新聞, 2016/05/28 07:50)
http://www.sankei.com/world/news/160528/wor1605280022-n1.html

◆世界の銀行にハッカー攻撃、バングラ事件と同手口=シマンテック (ロイター, 2016/10/12 10:11)
http://jp.reuters.com/article/cyber-heist-malware-idJPKCN12C03S

■2017年

◆Sonyハッキング、軍事諜報活動、韓国銀行への攻撃に関与 (Kaspersky, 2017/02/25)
https://blog.kaspersky.co.jp/operation-blockbuster/10500/

◆Operation Blockbuster Destructive Malware Report (Novetta, 2017/02)
https://www.operationblockbuster.com/wp-content/uploads/2016/02/Operation-Blockbuster-Destructive-Malware-Report.pdf

◆最近のサイバー攻撃、北朝鮮の「ラザルス」が関与=米シマンテック (ロイター, 2017/03/16 08:59)
http://jp.reuters.com/article/cyber-northkorea-symantec-idJPKBN16M3D4

◆ハッカー攻撃 北朝鮮が指示?…預金90億円盗み出す (毎日新聞新聞, 2017/03/23 21:21)
https://mainichi.jp/articles/20170324/k00/00m/030/101000c

◆バングラ中銀盗難、北朝鮮関与示す証拠を入手=セキュリティー会社 (ロイター, 2017/04/04 10:07)
http://jp.reuters.com/article/cyber-ip-idJPKBN17602I

◆バングラ中銀資金盗難、北朝鮮の関与示す記録発見 (WSJ, 2017/04/04 17:48)
http://jp.wsj.com/articles/SB11413359042169914429804583064190113226934

◆米下院、北朝鮮「テロ支援国家再指定」の法案可決 (東亜日報, 2017/04/05 08:33)
http://japanese.donga.com/Home/3/all/27/889719/1

◆世界の銀行を狙うサイバー攻撃、北朝鮮が関与か (ITmedia, 2017/04/05 08:53)
Kaspersky Labは、世界各国の銀行を攻撃している集団「Lazarus Group」と北朝鮮との直接的な関係を初めて突き止めたと発表した
http://www.itmedia.co.jp/enterprise/articles/1704/05/news057.html

◆米FRB口座のハッキング、北朝鮮が関与か (Daily NK, 2017/04/05)
http://dailynk.jp/archives/86236

◆韓経:「北朝鮮、世界の銀行ハッキングで2年間に1億ドル盗む」 (中央日報, 2017/04/27 11:07)
http://japanese.joins.com/article/549/228549.html

◆WannaCryと中国の関連付けは「事実無根」--中国セキュリティ企業が非難 (CNet, 2017/06/13 09:09)
https://japan.cnet.com/article/35102625/

◆「北朝鮮がサイバー攻撃」 米政府、名指しで警報発令 (毎日新聞, 2017/06/14)
https://mainichi.jp/articles/20170614/dde/007/030/022000c

◆米政府、北朝鮮のハッカー集団「ヒドゥン・コブラ」への警報 (産経新聞, 2017/06/14)
http://www.sankei.com/economy/news/170614/ecn1706140010-n1.html

◆米政府、北朝鮮のサイバー攻撃を「HIDDEN COBRA」と命名 技術詳細を公表 (ITmedia, 2017/06/15 09:30)
http://www.itmedia.co.jp/enterprise/articles/1706/15/news060.html

◆北朝鮮のサイバー攻撃、「HIDDEN COBRA」と命名される (スラド, 2017/06/16)
https://security.srad.jp/story/17/06/16/0529249/

◆米紙「北朝鮮ハッキング部隊の目標は外貨稼ぎ」 (朝鮮日報, 2017/07/29)
https://keizai.link/%E6%B5%B7%E5%A4%96/78819

◆世界の銀行にハッカー攻撃、バングラ事件と同手口=シマンテック (ロイター, 2016/10/12 10:11)
http://jp.reuters.com/article/cyber-heist-malware-idJPKCN12C03S

◆Sonyハッキング、軍事諜報活動、韓国銀行への攻撃に関与 (Kaspersky, 2017/02/25)
https://blog.kaspersky.co.jp/operation-blockbuster/10500/

◆最近のサイバー攻撃、北朝鮮の「ラザルス」が関与=米シマンテック (ロイター, 2017/03/16 08:59)
http://jp.reuters.com/article/cyber-northkorea-symantec-idJPKBN16M3D4

◆ハッカー攻撃 北朝鮮が指示?…預金90億円盗み出す (毎日新聞新聞, 2017/03/23 21:21)
https://mainichi.jp/articles/20170324/k00/00m/030/101000c

◆バングラ中銀盗難、北朝鮮関与示す証拠を入手=セキュリティー会社 (ロイター, 2017/04/04 10:07)
http://jp.reuters.com/article/cyber-ip-idJPKBN17602I

◆バングラ中銀資金盗難、北朝鮮の関与示す記録発見 (WSJ, 2017/04/04 17:48)
http://jp.wsj.com/articles/SB11413359042169914429804583064190113226934

◆米下院、北朝鮮「テロ支援国家再指定」の法案可決 (東亜日報, 2017/04/05 08:33)
http://japanese.donga.com/Home/3/all/27/889719/1

◆米FRB口座のハッキング、北朝鮮が関与か (Daily NK, 2017/04/05)
http://dailynk.jp/archives/86236

◆世界の銀行を狙うサイバー攻撃、北朝鮮が関与か (ITmedia, 2017/04/05 08:53)
Kaspersky Labは、世界各国の銀行を攻撃している集団「Lazarus Group」と北朝鮮との直接的な関係を初めて突き止めたと発表した
http://www.itmedia.co.jp/enterprise/articles/1704/05/news057.html

◆韓経:「北朝鮮、世界の銀行ハッキングで2年間に1億ドル盗む」 (中央日報, 2017/04/27 11:07)
http://japanese.joins.com/article/549/228549.html

◆大規模サイバー攻撃、北朝鮮との関連を調査=セキュリティー会社 (ロイター, 2017/05/16 07:35)
https://jp.reuters.com/article/cyber-attack-northkorea-idJPKCN18B2P1

◆ランサムウェアが企業にもたらした意外な影響 (ZDNet, 2017/05/18 07:00)
https://japan.zdnet.com/article/35101310/

◆誰が何のために?--マルウェア「Wannacry」で残る3つの謎 (ZDNet, 2017/05/19 17:59)
https://japan.zdnet.com/article/35101453/

◆攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用 (Security NEXT, 2017/05/23)
http://www.security-next.com/082012

◆北朝鮮のサイバー攻撃専門「180部隊」 各国の銀行から預金強奪? (Newsweek, 2017/05/23 08:56)
http://www.newsweekjapan.jp/stories/world/2017/05/180-2.php

◆HIDDEN COBRA – North Korea’s DDoS Botnet Infrastructure (US-CERT, 2017/06/13)
https://www.us-cert.gov/ncas/alerts/TA17-164A
http://malware-log.hatenablog.com/entry/2017/06/13/000000_2

◆「北朝鮮がサイバー攻撃」 米政府、名指しで警報発令 (毎日新聞, 2017/06/14)
https://mainichi.jp/articles/20170614/dde/007/030/022000c
http://malware-log.hatenablog.com/entry/2017/06/14/000000

◆米政府、北朝鮮のハッカー集団「ヒドゥン・コブラ」への警報 (産経新聞, 2017/06/14)
http://www.sankei.com/economy/news/170614/ecn1706140010-n1.html
http://malware-log.hatenablog.com/entry/2017/06/14/000000

◆米政府、北朝鮮のサイバー攻撃を「HIDDEN COBRA」と命名 技術詳細を公表 (ITmedia, 2017/06/16 09:30)
http://www.itmedia.co.jp/enterprise/articles/1706/15/news060.html

◆北朝鮮のサイバー攻撃、「HIDDEN COBRA」と命名される (スラド, 2017/06/16)
https://security.srad.jp/story/17/06/16/0529249/

◆北朝鮮のハッカー集団が、サイバー攻撃を世界中で繰り広げる「合理的な理由」 (WIRED, 2017/08/01 11:00)
https://wired.jp/2017/08/01/north-korea-cyberattacks/

◆ハッカー組織 北朝鮮の「金のなる木」 (大紀元, 2017/08/02 13:00)
http://www.epochtimes.jp/2017/08/28091.html

◆【経済】ハッカー組織 北朝鮮の「金のなる木」 (Kabutan, 2017/08/03 08:55)
https://kabutan.jp/news/marketnews/?b=n201708030087

◆台湾の銀行狙ったサイバー攻撃、北朝鮮が関与の可能性=BAE (ロイター, 2017/10/17 13:04)
https://jp.reuters.com/article/cyber-heist-northkorea-taiwan-idJPKBN1CM09T

◆北朝鮮ハッカー集団「ラザルス」の特徴-台湾の銀行攻撃でBAE分析 (Bloomberg, 2017/10/17 15:16)
https://www.bloomberg.co.jp/news/articles/2017-10-17/OXYCNM6K50Y901

◆【電子版】北朝鮮ハッカー集団「ラザルス」の手口、台湾の銀行攻撃でBAEが分析 (日刊工業新聞, 2017/10/17 18:30)
https://www.nikkan.co.jp/articles/view/00447095

◆台湾銀行6000万ドル流出事件、北朝鮮系ハッカー集団の犯行か (大紀元, 2017/10/20 13:00)
http://www.epochtimes.jp/2017/10/29048.html

◆サイバー攻撃、北朝鮮が関与? 過去のプログラムに類似 専門家「外貨獲得に活用」 (産経新聞, 2017/10/25 23:07)
http://www.sankei.com/world/news/171025/wor1710250044-n1.html

◆北朝鮮、サイバー攻撃加速 制裁で外貨不足、銀行狙う (日経新聞, 2017/10/29)
https://www.nikkei.com/article/DGKKZO22847220Y7A021C1EA1000/

◆北朝鮮のマルウエア、現在も多数のネットワークに潜伏 米当局が警鐘 (AFP BB News, 2017/11/15)
http://www.afpbb.com/articles/-/3150592?cx_part=latest&cx_position=13

◆FBIなど、北朝鮮による米国へのサイバーテロの詳細を公表 (Newsweek, 2017/11/15 10:42)
http://www.newsweekjapan.jp/stories/world/2017/11/fbi-27.php

◆米政府、北朝鮮によるマルウェア「FALLCHILL」を警告 (CNET, 2017/11/16 10:46)
https://japan.cnet.com/article/35110480/

◆北朝鮮のマルウェア「Volgmer」、米当局がIPアドレスなど公表 (ITmedia, 2017/11/16 10:30)
http://www.itmedia.co.jp/news/articles/1711/16/news060.html

◆Fortinet Solutions Protect Customers from FALLCHILL (Fortinet, 2017/11/17)
https://www.fortinet.com/blog/threat-research/fortinet-solutions-protects-customers-from-fallchill.html

◆韓国でモバイルマルウェア確認--ソニーへの標的型攻撃手法を応用か (ZDNet, 2017/11/21 17:33)
https://japan.zdnet.com/article/35110776/

◆北朝鮮が韓国のATMをハッキング、高まるサイバー攻撃力 (ITPro, 2017/11/21)
http://itpro.nikkeibp.co.jp/atcl/column/17/110800501/111700001/?rt=nocnt

◆セキュリティー業界が注目するサイバー犯罪集団がモバイルに進撃 (Ascii.jp, 2017/11/24 16:00)
http://ascii.jp/elem/000/001/592/1592198/

◆米警告の北朝鮮サイバー攻撃 - 国内では未確認 (Security NEXT, 2017/11/24)
http://www.security-next.com/087852

◆サイバー犯罪集団「Lazarus」、標的をモバイルに移行 - マカフィー (マイナビニュース, 2017/11/26 15:27)
https://news.mynavi.jp/article/20171126-548059/

◆北朝鮮ハッカー集団 ビットコイン取引所を狙う、資金奪取で=英メディア (THE EPOCH TIMES, 2017/12/12 17:30)
http://www.epochtimes.jp/2017/12/30099.html

◆Microsoft and Facebook disrupt ZINC malware attack to protect customers and the internet from ongoing cyberthreats (Microsoft, 2017/12/19)
https://blogs.microsoft.com/on-the-issues/2017/12/19/microsoft-facebook-disrupt-zinc-malware-attack-protect-customers-internet-ongoing-cyberthreats/


■2018年

◆Lazarus Group, Fancy Bear Most Active Threat Groups in 2017 (DARKReading, 2018/01/31)
https://www.darkreading.com/vulnerabilities---threats/lazarus-group-fancy-bear-most-active-threat-groups-in-2017/d/d-id/1330954?print=yes

◆北朝鮮、トルコにサイバー攻撃 金銭目的か (WSJ, 2018/03/09 04:17)
http://jp.wsj.com/articles/SB10885977679366383478404584089650121939362

https://www.jiji.com/jc/article?k=SB10885977679366383478404584089650121939362&g=ws (時事通信, 2018/03/09)
https://www.jiji.com/jc/article?k=SB10885977679366383478404584089650121939362&g=ws

◆仮想通貨の契約書装いサイバー攻撃 北朝鮮 (CoinTelegraph, 2018/03/09)
https://jp.cointelegraph.com/news/mcafee-suspects-north-korea-in-recent-cyberattack-on-turkish-financial-sector

◆米政府、北朝鮮製の破壊型マルウェアの情報を公開 - Windows XP向け機能も1 (Security NEXT, 2018/03/29)
http://www.security-next.com/091572

◆マカフィー、データ窃盗組織の存在を明らかに (Ascii.jp, 2018/04/26)
http://ascii.jp/elem/000/001/669/1669729/

◆北朝鮮の関与が疑われるハッカー集団が世界中のインフラや企業をハッキングする「Operation GhostSecret」の存在が明らかに (Gigazine, 2018/04/26 16:00)
https://gigazine.net/news/20180426-north-korea-global-hacking-operation/

◆米政府、北朝鮮政府関与のトロイの木馬「TYPEFRAME」を警告 - 米朝対話の裏で駆け引き (Security NEXT, 2018/06/15)
http://www.security-next.com/094544

◆北朝鮮政府関与のマルウェア「TYPEFRAME」に米国が注意喚起 (ZDNet, 2018/06/19 11:42)
https://japan.zdnet.com/article/35121051/?tag=mcol;relArticles

◆北朝鮮、世界最高のハッカー集団「ラザルス」が世界の脅威に…コインチェック事件にも関与か (@niftyニュース, 2018/07/06 19:00)
https://news.nifty.com/article/item/neta/12111-45485/

◆北朝鮮のハッカー集団が、サイバー攻撃を世界中で繰り広げる「合理的な理由」 (WIRED, 2017/08/01 11:00)
https://wired.jp/2017/08/01/north-korea-cyberattacks/

◆【経済】ハッカー組織 北朝鮮の「金のなる木」 (Kabutan, 2017/08/03 08:55)
https://kabutan.jp/news/marketnews/?b=n201708030087

◆北朝鮮関与のマルウェア「BADCALL」「HARDRAIN」が明らかに - Android向けRATも (Security NEXT, 2018/02/15)
http://www.security-next.com/090141

◆North Korean Malicious Cyber Activity (US-CERT, 2018/03/28)
https://www.us-cert.gov/ncas/current-activity/2018/03/28/North-Korean-Malicious-Cyber-Activity
http://malware-log.hatenablog.com/entry/2018/03/28/000000_2

◆北が躍起になるサイバー諜報活動 首脳会談前に情報集め?金正恩氏の焦り見え隠れ (産経新聞, 2018/04/10 07:00)
https://www.sankei.com/world/news/180410/wor1804100001-n1.html

◆北朝鮮ハッカー集団、マックOS向けマルウェアで仮想通貨取引所を攻撃=カスペルスキーがレポート (Cointelegraph, 2018/08/23)
https://jp.cointelegraph.com/news/kaspersky-lab-north-korea-hacks-cryptocurrency-exchange-with-first-macos-malware

◆北朝鮮がMac狙うマルウェア開発、仮想通貨取引所などを攻撃 (Forbes, 2018/08/25 10:30)
https://forbesjapan.com/articles/detail/22691

◆仮想通貨の窃取を目論む新たなサイバー攻撃「AppleJeus」はmacOSも標的に (仮想通貨Watch, 2018/08/31)
https://crypto.watch.impress.co.jp/docs/news/1140692.html

◆北朝鮮ハッカー集団がマックOS攻撃 ウイルス初確認、仮想通貨交換業者が感染 (産経新聞, 2018/09/02 05:00)
https://www.sankei.com/affairs/news/180902/afr1809020002-n1.html

◆HIDDEN COBRA – FASTCash Campaign (US-CERT, 2018/10/02)
https://www.us-cert.gov/ncas/alerts/TA18-275A

◆Bank Servers Hacked to Trick ATMs into Spitting Out Millions in Cash (The Hacker News, 2018/10/03)
https://thehackernews.com/2018/10/bank-atm-hacking.html

◆北朝鮮ハッカー集団「ラザルス」の特徴-台湾の銀行攻撃でBAE分析 (Bloomberg, 2017/10/17 15:16)
https://www.bloomberg.co.jp/news/articles/2017-10-17/OXYCNM6K50Y901

◆【電子版】北朝鮮ハッカー集団「ラザルス」の手口、台湾の銀行攻撃でBAEが分析 (日刊工業新聞, 2017/10/17 18:30)
https://www.nikkan.co.jp/articles/view/00447095

◆コインチェック「NEM」流出事件、北朝鮮のハッカー集団が関与? (ITmedia, 2018/10/24 13:54)
http://www.itmedia.co.jp/business/articles/1810/24/news093.html

◆世界規模のハッキング攻撃、政府機関とハイテク企業などを標的に--北朝鮮が関与か (ZDNet, 2018/12/13 12:22)
https://japan.zdnet.com/article/35130076/
http://malware-log.hatenablog.com/entry/2018/12/13/000000_2


■2019年

◆北朝鮮との関連が疑われるハッカー集団が「求人広告」を使って銀行間ネットワークを担う企業に侵入 (Gigazine, 2019/01/22 11:07)
https://gigazine.net/news/20190122-hackers-infiltrate-chiles-atm-network/
https://malware-log.hatenablog.com/entry/2019/01/22/000000_2

◆北朝鮮関与「HIDDEN COBRA」のツールに新亜種 - 米政府が情報公開 (Security NEXT, 2019/09/10)
http://www.security-next.com/108040
https://malware-log.hatenablog.com/entry/2019/09/10/000000_4

◆米、北朝鮮ハッカー集団を制裁指定=世界規模でサイバー攻撃 (時事通信, 2019/09/14 06:52)
https://www.jiji.com/jc/article?k=2019091301276&g=int&utm_source=top&utm_medium=topics&utm_campaign=edit
https://malware-log.hatenablog.com/entry/2019/09/14/000000_2

◆米政府、北朝鮮傘下のハッカー3団体を制裁対象に…世界中でサイバー攻撃 (読売新聞, 2019/09/14)
https://www.yomiuri.co.jp/world/20190914-OYT1T50000/
https://malware-log.hatenablog.com/entry/2019/09/14/000000_1

◆Busy North Korean hackers have new malware to target ATMs (Ars Technica, 2019/09/24 05:13)

Lazarus, once considered a ragtag group of hackers, is now among the world's most active.

https://arstechnica.com/information-technology/2019/09/busy-north-korean-hackers-have-new-malware-to-target-atms/
https://malware-log.hatenablog.com/entry/2019/09/24/000000_1

◆Researchers Discover Banking Malware ‘ATMDtrack’ Targeting Indian Banks (CISO MAG, 2019/09/25)
https://www.cisomag.com/researchers-discover-banking-malware-atmdtrack-targeting-indian-banks/
https://malware-log.hatenablog.com/entry/2019/09/25/000000_1

◆北朝鮮のハッカーグループ、インドのATMがターゲットのマルウェア開発 (財経新聞, 2019/09/28 16:30)
https://www.zaikei.co.jp/article/20190928/532871.html
https://malware-log.hatenablog.com/entry/2019/09/28/000000

◆北朝鮮の仮想通貨ハッカー集団、macOSを標的にした新たなマルウェア作成か (CoinPost, 2019/10/15)
https://coinpost.jp/?p=112413
https://malware-log.hatenablog.com/entry/2019/10/15/000000

◆北朝鮮ハッカー集団、次の標的は「アップル社macOS」? (幻冬舎, 2019/10/15)
https://gentosha-go.com/articles/-/23664
https://malware-log.hatenablog.com/entry/2019/10/15/000000_8

◆北朝鮮のハッカー集団が作成したマルウェアが原子力発電所のネットワークに侵入 (Gigazine, 2019/10/31 13:00)
https://gigazine.net/news/20191031-indian-nuclear-power-plant-hacked/
https://malware-log.hatenablog.com/entry/2019/10/31/000000_1

◆北朝鮮「HIDDEN COBRA」関与のトロイの木馬「HOPLIGHT」 - 米政府がIoC公開 (Security NEXT, 2019/11/01)
http://www.security-next.com/109490
https://malware-log.hatenablog.com/archive/2019/11/01


【ブログ】

◆Operation Blockbuster revealed (SECURELIST, 2016/02/24)
A glimpse at the spider web of the Lazarus Group APT campaigns
https://securelist.com/operation-blockbuster-revealed/73914/

◆WannaCryとLazarusグループ – 両者をつなぐもの (Kaspersky, 2017/05/16)
https://blog.kaspersky.co.jp/wannacry-and-lazarus-group-the-missing-link/15559/

◆The Blockbuster Saga Continues (paloalto, 2017/08/14)
https://researchcenter.paloaltonetworks.com/2017/08/unit42-blockbuster-saga-continues/

◆韓国で確認されたサイバー攻撃「OnionDog 作戦」を綿密調査 (Trendmicro, 2017/08/17)
http://blog.trendmicro.co.jp/archives/15686

◆Taiwan Heist: Lazarus Tools and Ransomware (BAY, 2017/10/16)
http://baesystemsai.blogspot.jp/2017/10/taiwan-heist-lazarus-tools.html

◆米、北朝鮮によるサイバー攻撃に警戒呼びかけ (SPUTNIK, 2017/11/15 12:30)
https://jp.sputniknews.com/asia/201711154277814/

◆サイバー犯罪集団「Lazarus」の標的がモバイル プラットフォームへ移行 (McAfee, 2017/11/22)
https://news.mynavi.jp/article/20171126-548059/

◆North Korea Bitten by Bitcoin Bug: Financially motivated campaigns reveal new dimension of the Lazarus Group (proofpoint, 2017/12/19)
https://www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new

◆Lazarus Resurfaces, Targets Global Banks and Bitcoin Users (McAfee Blog, 2018/02/12)
https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/

◆Lazarusが再び攻撃を開始、ターゲットは世界中の銀行とBitcoinユーザー (2018/02/15)
https://blogs.mcafee.jp/lazarus-attack-target-bankandbitcoin

◆OlympicDestroyer is here to trick the industry (SecureList, 2018/03/08 17:00)
https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

◆「Hidden Cobra」が新たなインプラント「Bankshot」でトルコの金融業界を狙う (McAfee, 2018/03/08)
https://blogs.mcafee.jp/hidden-cobra-targets-turkish-financial-sector

◆Olympic Destroyer:オリンピックのハッキングは誰が (Kaspersky, 2018/03/10)
https://blog.kaspersky.co.jp/olympic-destroyer/19837/

◆北朝鮮のサイバー犯罪集団「Hidden Cobra」が新しくなったインプラント「Bankshot」でトルコの金融業界を狙う (McAfee, 2018/03/16)
https://blogs.mcafee.jp/hidden-cobra-targets-turkish-financial-sector

◆平昌冬季オリンピックで暴れた「Olympic Destroyer」の正体 (THE ZERO/ONE, 2018/03/16)
https://the01.jp/p0006563/

◆Lazarus Group Targets More Cryptocurrency Exchanges and FinTech Companies (Intezer, 2018/03/28 14:39)
https://www.intezer.com/lazarus-group-targets-more-cryptocurrency-exchanges-and-fintech-companies/

◆Analyzing Operation GhostSecret: Attack Seeks to Steal Data Worldwide (McAfee, 2018/04/24)
https://securingtomorrow.mcafee.com/mcafee-labs/analyzing-operation-ghostsecret-attack-seeks-to-steal-data-worldwide

◆Global Malware Campaign Pilfers Data from Critical Infrastructure, Entertainment, Finance, Health Care, and Other Industries (McAfee, 2018/04/24)
https://securingtomorrow.mcafee.com/mcafee-labs/global-malware-campaign-pilfers-data-from-critical-infrastructure-entertainment-finance-health-care-and-other-industries

◆Operation AppleJeus: Lazarus hits cryptocurrency exchange with fake installer and macOS malware (SecureList(Kaspersky), 2018/08/23 08:00)
https://securelist.com/operation-applejeus/87553/

◆Kaspersky Lab、サイバー犯罪組織LazarusがmacOS向けマルウェアを使用し仮想通貨取引所を攻撃する「AppleJeus」を発見 (Kaspersky, 2018/08/30)
https://www.kaspersky.co.jp/about/press-releases/2018_vir30082018

◆Group-IB: 14 cyber attacks on crypto exchanges resulted in a loss of $882 million (Group iB, 2018/10/17)
https://www.group-ib.com/media/gib-crypto-summary/

◆North Korea-linked hackers stole tens of millions from ATMs across the world (The Verge, 2018/11/08)
https://www.theverge.com/2018/11/8/18075124/north-korea-lazarus-atm-fastcash-hack-millions-dollars-stolen

◆Lazarus Continues Heists, Mounts Attacks on Financial Organizations in Latin America (Trendmicro, 2018/11/20)
https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-continues-heists-mounts-attacks-on-financial-organizations-in-latin-america/

◆LAZARUS continúa los ataques contra América Latina (Secure Soft, 2018/11/21)
http://securitysummitperu.com/articulos/lazarus-continua-los-ataques-contra-america-latina/

◆サイバー犯罪集団「Lazarus」が中南米の金融機関を狙うサイバー銀行強盗を継続 (Trendmicro, 2018/12/12)
https://blog.trendmicro.co.jp/archives/19944

【公開情報】

◆Lazarus Under The Hood (SecureList, 2017/04/03 17:57)
https://securelist.com/lazarus-under-the-hood/77908/
https://securelist.com/files/2017/04/Lazarus_Under_The_Hood_PDF_final.pdf

◆North Korea Bitten by Bitcoin Bug (Proofpoint)
https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf

◆HIDDEN COBRA – North Korea’s DDoS Botnet Infrastructure (US-CERT, 2017/06/13)
https://www.us-cert.gov/ncas/alerts/TA17-164A

◆Alert (TA17-318A) HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318A

◆Alert (TA17-318B) HIDDEN COBRA – North Korean Trojan: Volgmer (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318B

◆HIDDEN COBRA – North Korean Trojan: Volgmer (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318B

◆IOCs related to HIDDEN COBRA, IP addresses linked to systems infected with Volgmer malware (US-CERT, 2017/11/14)
https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.csv
https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.xml

◆Malware Analysis Report (MAR) - 10135536-D (US-CERT, 2017/11/01)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_stix.xml

◆HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318A

◆IOCs related to HIDDEN COBRA (US-CERT, 2017/11/14)
https://www.us-cert.gov/sites/default/files/publications/TA%20FALLCHILL%20IOCs.csv

◆Malware Analysis Report (MAR) - 10135536-A (US-CERT, 2017/11/14)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-A_WHITE_S508C.pdf

◆Hidden Cobra Malicious Software Activity (CISCO, 2017/11/22)
https://tools.cisco.com/security/center/viewAlert.x?alertId=56032

◆North Korea bitten by bitcoin bug: Lazarus Group now financially motivated (SC MEDIA, 2017/12/20)
https://www.scmagazineuk.com/north-korea-bitten-by-bitcoin-bug-lazarus-group-now-financially-motivated/article/719867/

◆Malware Analysis Report (MAR) - 10135536-F (US-CERT, 2018/02/05)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-F.pdf

◆Malware Analysis Report (MAR) - 10135536-G (US-CERT, 2018/02/06)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-G.PDF

◆Alert (TA18-275A) HIDDEN COBRA – FASTCash Campaign (US-CERT, 2018/10/08)
https://www.us-cert.gov/ncas/alerts/TA18-275A


【資料】

◆ISTR 22 (Symantec, 2017/04)
https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf

◆Malware Analysis (US-CERT, 2018/03/09)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.11.WHITE.pdf


【関連情報】

f:id:tanigawa:20170731191254p:plain
f:id:tanigawa:20170731191303p:plain
出典: https://securelist.com/lazarus-under-the-hood/77908/

f:id:tanigawa:20181025041118j:plain
2017~18年にかけて仮想通貨取引所が受けたハッキング被害まとめ
出典: http://www.itmedia.co.jp/business/articles/1810/24/news093.html

f:id:tanigawa:20180812131517j:plain
US-CERTを通じて公開されたマルウェアの分析レポート
出典: http://www.security-next.com/094544

f:id:tanigawa:20180411193223j:plain
出典: https://www.sankei.com/images/news/180410/wor1804100001-p1.jpg

f:id:tanigawa:20180517214548p:plain
f:id:tanigawa:20180517214747p:plain
出典: https://the01.jp/p0006563/

f:id:tanigawa:20180317060819p:plain
出典: https://blogs.mcafee.jp/hidden-cobra-targets-turkish-financial-sector

f:id:tanigawa:20180319073816p:plain
出典: https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

f:id:tanigawa:20171121051700j:plain
サイバー攻撃の概要図
出典: http://itpro.nikkeibp.co.jp/atcl/column/17/110800501/111700001/?P=2

f:id:tanigawa:20180305201022p:plain
f:id:tanigawa:20180305201122p:plain
recent decoy documents
出典: https://researchcenter.paloaltonetworks.com/2017/08/unit42-blockbuster-saga-continues/

f:id:tanigawa:20170414204103p:plain
出典: https://blog.kaspersky.co.jp/operation-blockbuster/10500/

関連情報

【関連まとめ記事】

全体まとめ
 ◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT

◆Andariel / Silent Chollima (まとめ)
https://malware-log.hatenablog.com/entry/Andariel

【インディケータ情報】

■ハッシュ情報(MD5)

9563e2f443c3b4e1b00f25be0a30d56e
d08f1211fe0138134e822e31a47ec5d4
b27881f59c8d8cc529fa80a58709db36
3c9e71400b72cc0213c9c3e4ab4df9df
0edbad9e6041d43f97c7369439a40138
97aaf130cfa251e5207ea74b2558293d
62217af0299d6e241778adb849fd2823
0dd7da89b7d1fe97e669f8b4156067c8
61075faba222f97d3367866793f0907b

(以上は BAI の情報: 引用元は http://baesystemsai.blogspot.jp/2017/10/taiwan-heist-lazarus-tools.html )


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019