Source: https://thehackernews.com/2025/09/lazarus-group-expands-malware-arsenal.html
🛡 概要
ラザルスグループは、PondRAT、ThemeForestRAT、RemotePEという3つのクロスプラットフォームマルウェアを使用したソーシャルエンジニアリングキャンペーンを展開しています。2024年にNCCグループのFox-ITによって観測されたこの攻撃は、分散型金融(DeFi)セクターの組織を標的にし、最終的に従業員のシステムが侵害されました。この攻撃の背景には、既存の従業員を装った攻撃者がTelegramで接触し、CalendlyやPicktimeを偽装したウェブサイトを通じて被害者との会議を設定する手法があります。
🔍 技術詳細
攻撃者は、初期のアクセスベクターを利用してPerfhLoaderを展開し、これによりPondRATがドロップされます。PondRATは、POOLRATの簡易版として知られ、HTTP(S)を介してハードコーディングされたコマンド&コントロール(C2)サーバーと通信します。ThemeForestRATは、PondRATまたは専用のローダーによって直接メモリ上で起動され、最大20のコマンドを取得することができます。RemotePEは、C2サーバーからRemotePELoaderによって取得され、DPAPILoaderによってロードされます。これらのマルウェアの中で、PondRATは基本的な機能しか持たない一方、ThemeForestRATはより多機能で、メモリにのみロードされるため、検知を回避しやすい特性があります。
⚠ 影響
今回の攻撃により、DeFiセクターの組織が深刻な影響を受ける可能性があります。特に、PondRATやThemeForestRATの使用により、攻撃者は内部ネットワークでの情報収集や認証情報の窃取を行うことができます。また、RemotePEのような高度なRATが高価値ターゲットに対して使用される可能性があり、これにより重要なデータや資金が危険にさらされることになります。これらのマルウェアは、従業員のシステムを侵害することで、企業の運営に大きな影響を及ぼす可能性があります。
🛠 対策
企業は、ラザルスグループのような高度な攻撃者からの防御を強化するために、まず従業員に対するセキュリティ教育を徹底する必要があります。特に、ソーシャルエンジニアリング攻撃に対する認識を高めることが重要です。また、最新のセキュリティパッチを適用し、アンチウイルスソフトウェアを導入することも不可欠です。ネットワークトラフィックを監視し、不審な動きを検知するためのSIEM(セキュリティ情報およびイベント管理)システムの導入も推奨されます。さらに、重要なデータへのアクセスを制限し、定期的にバックアップを行うことで、万が一の侵害に備えることが重要です。
