LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サイバー救急センターレポートは、サイバー救急センターが相談を受けて対応しているインシデントレスポンスやフォレンジック調査の結果に基づいて、直前の四半期のインシデント傾向や対応方法について記載したレポートです。今回は特別編集号として、ひとつの攻撃者グループに関する調査結果に焦点を当てた内容となっています。

エグゼクティブ サマリ

わたしたちは様々なサイバー攻撃事案において、攻撃者の侵入作戦、様々な防御回避技術やプログラミング上の癖などを分析し攻撃者を推測します。今回、少なくとも2016年以降ロシア系言語を使用し活動していると推測されるHYDSEVEN(ハイドセブン)と呼べる攻撃者グループが別途存在することを推測するに至りました。

このグループに関する情報は少ないですが日本やポーランドを含む様々な国で特に仮想通貨を狙い攻撃を行っていることがわかっています。

2017年以降、サイバー攻撃による仮想通貨取引所での被害額は8億8千2百万ドルにまで拡大しているとの調査もあり、その多くが北朝鮮を本拠地に置くと推測されているLazarus(ラザルス)の仕業と指摘されています。実際に国連安全保障理事会議長への専門家パネルからの書簡でも日本で発生した大型窃取事件への北朝鮮の関与に触れていました。

今回発表するレポートで取り上げたハイドセブンはラザルスと侵入手口では類似する点が数多くあるものの、攻撃に悪用されるマルウェアが異なっています。これまでラザルスがこのレポートで紹介しているマルウェアを使用してきたという報告は確認できていません。

もちろん、何者かがラザルスにみせかけようとしているのか、或いはラザルスが他国の犯行とみせかけようとしているのかは分かりませんが少なくとも技術的観点から明らかにできたことを正確にお伝えすることでみなさまのセキュリティ対策の一助になることを目的としています。

※ Letter dated 1 February 2019 from the Panel of Experts established pursuant to resolution 1874 (2009) addressed to the Chair of the Security Council Committee established pursuant to resolution 1718 (2006)
(https://undocs.org/pdf?symbol=en/S/2019/171)

サイバー救急センターレポート 特別編集号の内容

  • 仮想通貨を狙うサイバー攻撃の背後にある影

昨今、仮想通貨(暗号通貨)への関心がますます高まっており、仮想通貨を狙うサイバー攻撃は活発に行われています。
本レポートは、仮想通貨の窃取を目的とした攻撃者グループ「HYDSEVEN」の活動に関して、2016年から2019年の期間に彼らが利用したTTPs(Tactics, Techniques and Procedures)を明らかにしたものです。弊社で確認する限り、2019年6月現在でこのHYDSEVENの活動について言及された情報は少ないですが、日本やポーランドを含む様々な国で活動を行っていることがわかっています。仮想通貨を狙うHYDSEVENへの対策を考える上で、組織内や業界内での注意喚起やセキュリティ対策、攻撃の検知等に本レポートを役立てて頂けますと幸甚です。

目次

  • はじめに
  • 仮想通貨を狙う攻撃のタイムライン
  • 攻撃の概要
  • 攻撃マルウェア
  • C2インフラ
  • 攻撃者グループの背景
  • 検出または緩和策
  • おわりに
  • Indicator-of-Compromise(IOC)
  • 編集後記

■記事訂正のお知らせ

2019年6月19日に公開した「サイバー救急センターレポート 特別編集号」PDFの内容の一部に誤りがあり差し替えました。

訂正箇所(2019年10月1日)
P10,
(訂正前)
(32bit環境のNetWire)と64bit環境のNetWireが含まれています。

(訂正後)
NetWireが含まれています。

訂正箇所(2019年6月27日)
P 5, P10,
(訂正前)
School of Economics and Political Science(LSE)

(訂正後)
London School of Economics and Political Science(LSE)

訂正箇所(2019年6月19日)
P35
(訂正前)
商用版のv1.6と比較すると、このバージョンでは、コマンドプロンプト実行時の引数に"chcp 65001"が指定されていないことがわかります。

(訂正後)
商用版のv1.6と比較すると、このバージョンでは、コマンドプロンプト実行時の引数に"chcp 65001"が指定されていることがわかります。

お詫びして訂正いたします。
なお、現在公開中の記事は訂正済みのものです。

窓口

緊急対応窓口:
サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し
迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

サービスについて

サイバー攻撃に遭ったら迷わずサイバー119へご連絡ください

この記事は役に立ちましたか?

はい いいえ