概要:ラザルスグループの新たな脅威
セキュリティ研究機関ENKIは、航空宇宙および防衛組織を標的とした高度なサイバー諜報活動を明らかにしました。このキャンペーンでは、悪名高いラザルスグループが、新種の「Comebacker」バックドアを武器化した文書を展開し、高価値の標的への侵入を試みています。
キャンペーンの詳細と初期段階
ラザルスグループは、少なくとも2025年3月以降、活発にフィッシング作戦を展開しています。彼らは、著名な業界組織からの正規の通信を装った悪意のある文書を配布しています。調査は2025年6月、ラザルスグループに帰属する悪意のあるドメイン「office-theme[.]com」に関する脅威インテリジェンス報告を受けて開始されました。分析の結果、このドメインでホストされている悪意のあるWord文書(.docxファイル)が、複雑な多段階感染チェーンを開始し、最終的に新種のComebackerバリアントを被害システムに送り込んでいることが判明しました。
技術的な巧妙さ:Comebackerの進化
新しいComebackerバリアントは、以前のバージョンと比較して著しい技術的進化を遂げています。感染チェーンは、被害者が悪意のある.docxファイルを開き、マクロを有効にすることで始まります。埋め込まれたVBAコードが実行され、カスタムのXORおよびビットスワップ操作を使用してローダーDLLとデコイ文書を復号・展開します。これは、古いバリアントで観察されたRC4およびHC256暗号化方式からの変更です。
多段階の感染プロセスには、洗練された永続化メカニズムとインメモリ実行技術が含まれます。ローダーは最初にコンポーネントをシステムディレクトリ(例:C:\ProgramData\WPSOffice\wpsoffice_aam.ocx)に書き込み、その後、システム再起動後も永続性を維持するためにスタートアップフォルダにショートカットを作成します。後続の段階では、ハードコードされたキーを持つChaCha20ストリーム暗号化が使用され、以前のComebackerバリアントにはなかった運用セキュリティレベルが導入されています。
このキャンペーンにおける注目すべき強化点は、暗号化されたコマンド&コントロール(C&C)通信の実装です。以前のComebackerバリアントがデータを平文で送信していたのに対し、この新しいバージョンはすべてのC&CトラフィックをAES-128-CBC暗号化で暗号化しており、防御チームによるネットワークベースの検出を著しく困難にしています。
インフラストラクチャとコマンド構造
マルウェアはHTTPSを介してC&Cサーバーにビーコンを送信し、ランダム化されたパラメータとBase64エンコードされた識別子を含む洗練されたクエリ文字列構造を使用します。復号と解凍の後、ローダーは次のステージをC:\ProgramData\USOShared\USOInfo.datに書き込み、rundll32.exeを使用して実行します。
C&Cサーバーが応答すると、プロセス終了、間隔を広げたスリープ・リトライループ、またはペイロードの直接ダウンロードと実行指示など、さまざまなコマンドを発行できます。ダウンロードされたペイロードのMD5ハッシュ検証の組み込みは、運用信頼性と改ざん防止対策への重点を示しています。
インフラストラクチャのピボットにより、2025年3月に最初に検出された関連するComebackerサンプルを持つ2番目のアクティブなC&Cドメイン「birancearea[.]com」が特定されました。この発見は、脅威アクターが複数の運用C&Cサーバーを維持しており、冗長性のため、または異なるキャンペーンフェーズやターゲットグループを区別するためである可能性が高いことを示唆しています。
推奨される対策
このキャンペーンが航空宇宙および防衛セクターに焦点を当てていることは、国家主導の諜報活動と一致する戦略的な標的設定を示しています。これらの業界の組織は、この継続的な脅威から高いリスクに直面しています。セキュリティチームは、マクロベースのマルウェアに対する堅牢な防御策を実装する必要があります。これには以下が含まれます。
- 厳格なマクロ実行ポリシー
- ネットワークセグメンテーション
- 高度な脅威検出機能
従業員は、特に業界固有の組織やイベントに言及するスピアフィッシングの試みを特定するためのトレーニングを受けるべきです。疑わしいネットワーク通信の警戒監視を維持し、エンドポイント検出および対応(EDR)ソリューションを実装することは、この執拗な敵対者から防御するために依然として不可欠です。