概要

シンテックとカーボンブラックの脅威ハンター・チームは、北朝鮮に関連するラザルスグループが中東および米国の医療機関を標的としたメデューサランサムウェア攻撃を行っていることを報告しました。

詳細

シンテックとカーボンブラックの脅威インテリジェンス部門は、ラザルスグループが中東の未公開組織を標的としたメデューサランサムウェア攻撃を行っていることを確認しました。同チームによると、このサイバー犯罪集団は2023年に「Spearwing」という名前で始動した。

さらに、シンテックとカーボンブラックの報告書では、ラザルスグループが米国の医療機関に対して失敗に終わった攻撃を試みたことも明らかにしています。このメデューサランサムウェアは、2025年11月以来、4つの医療および非営利組織に対する攻撃があったと報告されています。

背景

北朝鮮のハッキンググループがランサムウェアを使用することは珍しいことではありません。2021年には、ラザルス・サブクラスターである「Andariel」（別名Stonefly）が韓国、日本、および米国の組織を標的とした独自のランサムウェアファミリーSHATTEREDGLASS、Maui、H0lyGh0stを使用して攻撃を行いました。

戦略変更

シンテックとカーボンブラックは、北朝鮮のハッキンググループが既存のランサムウェア・アズ・ア・サービス（RaaS）グループのアフィリエイトとして活動するという戦術的な変化を示していると述べています。具体的には、独自にツールを開発するよりも、試験済みで確立された脅威を使用することを選択した可能性があると指摘しています。

攻撃ツール

ラザルスグループのメデューサランサムウェアキャンペーンでは、RP_Proxy（カスタムプロキシユーティリティ）、Mimikatz（公開認証情報ダンププログラム）、Comebacker（独自バックドア）、InfoHook（情報窃取ツール）、BLINDINGCAN（リモートアクセストロイ木馬）、ChromeStealer（Google Chromeブラウザから保存されたパスワードを抽出するツール）などが使用されています。

結論

シンテックとカーボンブラックは、北朝鮮のサイバー犯罪への関与が継続していることを示しています。また、ラザルスグループは米国の組織を標的とする際にも倫理的な制約を感じていない可能性があると指摘しています。

---

元記事: https://thehackernews.com/2026/02/lazarus-group-uses-medusa-ransomware-in.html