Lazarusグループ、スピアフィッシング攻撃の急増により世界的ハッキング言及でトップに

韓国のセキュリティ企業AhnLabのレポートによると、北朝鮮が支援するLazarusグループのような国家関連ハッキング組織は、過去12ヶ月間で資金を盗み、情報を収集するためにスピアフィッシングに大きく依存していました。このグループはしばしば会議主催者、求人担当者、同僚を装い、人々にファイルを開かせたりコマンドを実行させたりする詐欺を行っていました。

Lazarusグループ：AIを使ったスピアフィッシングがより現実的に

報告によると、Kimsukyとして知られる一部隊は、人工知能を使用して軍事IDの画像を偽造し、それらをZIPファイル内に埋め込んでメッセージを正当に見せかけていました。

セキュリティ研究者によると、偽造IDは受信者が添付ファイルを開くほど説得力があり、その後隠されたコードが実行されました。この事件は2025年7月中旬に遡り、攻撃者が罠を仕掛ける方法の進化を示しているようです。

目的は単純です。ユーザーにメッセージを信頼させ、ファイルを開かせることで、攻撃者は侵入経路を得ます。このアクセスにより、認証情報の盗難、マルウェアの埋め込み、暗号資産ウォレットの資金流出につながる可能性があります。平壌に関連するグループは、金融や防衛目標などへの攻撃に関連付けられています。

Lazarusグループの被害者にコマンド実行を要求

一部のキャンペーンは隠された脆弱性だけに依存していませんでした。いくつかのケースでは、標的は自らPowerShellコマンドを入力するよう騙され、時には公式の指示に従っていると信じていました。

このステップにより、攻撃者はゼロデイを必要とせずに高い権限でスクリプトを実行できます。セキュリティ関係者は、このソーシャルトリックが広がっており、発見が難しい可能性があると警告しています。

Lazarusグループ：古いファイルタイプ、新しい手口

攻撃者はまた、Windowsのショートカットファイルや類似のフォーマットを悪用して、ファイルが開かれたときに静かに実行されるコマンドを隠していました。研究者は、より広範なキャンペーンに関連する約1,000の悪意のある.lnkサンプルを文書化しており、馴染みのあるファイルタイプが依然として好まれる配信方法であることを示しています。これらのショートカットは隠された引数を実行し、さらなるペイロードをダウンロードすることができます。

なぜ今重要なのか

これにより攻撃の阻止が難しくなります：カスタマイズされたメッセージ、AIで偽造された視覚資料、ユーザーにコードを実行させるトリック。多要素認証とソフトウェアパッチは役立ちますが、異常な要求に疑いを持つよう人々を訓練することが依然として重要です。セキュリティチームは基本的な安全対策を提唱しています：更新、検証、そして疑わしい場合は既知の連絡先に確認すること。

報告によると、LazarusグループとKimsukyは引き続き活動しています。AhnLabの調査に基づくと、Lazarusは過去12ヶ月間のサイバー犯罪分析で最も多く言及されました。このグループは金銭的動機によるハッキングで特定されている一方、Kimsukyは情報収集とカスタマイズされた欺瞞により焦点を当てているようです。

アナドル通信からの特集画像、TradingViewからのチャート