本記事はRadwareブログ記事の抄訳です
RadwareとFBIは8月、世界中の金融機関などを標的にした世界的なランサムDDoSキャンペーンについてアラートを発した。Radwareは、世界中の組織からの新たな恐喝メールが増加していることを目撃している。
脅迫状の新トレンド
8月中旬以降、Radwareは「Fancy Bear」や「Armada Collective」、「Lazarus Group」といった攻撃者から複数の組織に送られてくる脅迫状を受け取っている。脅迫状は一般的なメールアドレスに送られており、組織の正社員にすぐに届くとは限らないという。場合によっては、間違った国にある子会社や支店が手紙を受け取っていることもある。
「Armada Collective」からの初期の脅迫状はいくつかの言語を使用しており、同時期の「Fancy Bear」や「Lazarus Group」といった攻撃者からの脅迫状とは異なる形式であった。後者は、英語で段落ごとに一致していて、一貫した形式である。手紙はキャンペーン開始以来、いくつかのタイプミスを修正したり、よりわかりやすくするためにいくつかのアクションを言い換えたりして改善されており、金融機関に影響を与えたこれまでのDDoS 攻撃の報道を追加することで、より恐怖感を植え付けようとしている。
Radwareが世界中のさまざまな組織から受け取った手紙はすべて、ターゲットが金融機関である場合、「Lazarus Group」が差出人であることを示している。Intel417(英語)は最近、「Lazarus Group」を名乗る犯罪者が、20ビットコインを支払わない限りDDoS 攻撃を仕掛けてくると、英国の外国為替取引所Travelexを脅したと報告している。
「Fancy Bear」は、テクノロジー企業と製造業のターゲットにのみ利用されている。攻撃者は身代金を支払うように説得しようとしている産業別で、グループ名(APT)を選別している。
APT38, Lazarus
犯罪グループ名、APTは攻撃者によって慎重に選ばれており、そこにはルールがある。’Lazarus’は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ機関(CISA)では「APT38」、または「BeagleBoyz」とも呼ばれ、主に金融機関を標的とした攻撃に起因しており、北朝鮮政府と密接な関係があると考えられている。
ちょうど先週、CISA は「FASTCash 2.0: 北朝鮮のBeagleBoyzによる銀行強盗」(英語)という警告を発表した。AA20-239Aという警告のタイトルからは想像が難しいが、新たな攻撃は「Lazarus Group」がスポンサーである北朝鮮政府の資金調達を実現する為に実施している(英語)とされる。こうした暗号通貨や金融組織を標的とした数々のキャンペーンを通じて、資金不足の北朝鮮は、ミサイルプログラム(英語)のための資金を調達したいと考えている。
「Lazarus」は金融業界の組織をターゲットにしているが、DDoS は資金調達のためにこのグループが通常使う戦術ではなく、通常はマルウェアのフレームワークを利用し、支払いネットワークやサーバーを危険に晒している。