Operation SyncHole：北朝鮮ハッカー集団Lazarusによる韓国標的の高度なサプライチェーン攻撃

2025年4月24日17:53

サイバーセキュリティニュース

Operation SyncHole：北朝鮮ハッカー集団Lazarusによる韓国標的の高度なサプライチェーン攻撃 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-24 17:53 by admin

Kasperskyの研究チームは、北朝鮮のハッカー集団Lazarusによる新たな攻撃キャンペーン「Operation SyncHole」を2023年11月から追跡してきました。この攻撃では、韓国の組織を標的に、ウォーターホール攻撃と韓国製ソフトウェアの脆弱性を組み合わせた高度な手法が使用されました。

攻撃は韓国のソフトウェア、IT、金融、半導体製造、通信業界の少なくとも6つの組織に影響を与え、実際にはさらに多くの企業が侵害されたと考えられています。Kasperskyは発見後すぐに韓国インターネット振興院（KrCERT/CC）に情報を提供し、迅速な対応を促しました。現在、このキャンペーンで悪用されたソフトウェアはすべてパッチ適用済みのバージョンに更新されています。

この攻撃では、Cross EXというソフトウェアの脆弱性を悪用し、さらにInnorix Agentの1日脆弱性を横方向移動に利用していました。また、ThreatNeedle、Agamemnonダウンローダー、wAgent、SIGNBT、COPPERHEDGEなど、Lazarusの悪意あるツールの新しいバリアントが発見されました。

攻撃は2つのフェーズに分かれており、第1フェーズ（2023年11月〜2025年2月）ではThreatNeedleとwAgentを中心とした実行チェーン、第2フェーズではSIGNBTとCOPPERHEDGEを使用していました。

韓国のインターネット環境では、オンラインバンキングや政府ウェブサイトで特定のセキュリティソフトウェアのインストールが必要とされており、Lazarusグループはこの特性を理解し、そのようなソフトウェアの脆弱性とウォーターホール攻撃を組み合わせた戦略を採用しています。

攻撃者は、韓国のオンラインメディアサイトを訪問したユーザーを攻撃者が管理するウェブサイト（www.smartmanagerex[.]comなど）にリダイレクトし、Cross EXの潜在的な欠陥を標的とする悪意のあるスクリプトを実行させました。このスクリプトは最終的に正規のSyncHost.exeを実行し、ThreatNeedleのバリアントをそのプロセスに注入しました。

また、研究者たちはInnorix Agentに追加の任意ファイルダウンロード脆弱性（KVE-2025-0014）を発見し、2025年3月にパッチが適用されました。

Lazarusグループのマルウェアは、軽量化とモジュール化に向けて急速に進化しており、非対称暗号化の使用、プラグインのロード機能、コアとローダーバージョンへの分割などの特徴が見られます。

C2（コマンド＆コントロール）サーバーのほとんどは韓国内の正規だが侵害されたウェブサイトで、これはこの作戦が韓国に高度に焦点を当てていたことをさらに示しています。

Kasperskyの研究者Sojun RyuとVasily Berdnikovは、この攻撃がLazarusグループによる韓国のサプライチェーンを標的とした継続的な戦略の一部であり、2020年のBookcodeクラスター、2022年のDeathNoteクラスター、2023年のSIGNBTマルウェアに関する過去の分析と一致していると指摘しています。

from:Operation SyncHole: Lazarus APT goes back to the well

【編集部解説】

「Operation SyncHole」は、北朝鮮のハッカー集団Lazarusによる韓国を標的とした最新の攻撃キャンペーンです。この事例は、国家支援型サイバー攻撃の進化と、特定国のデジタルインフラの特性を理解した上で仕掛けられる高度な攻撃の実態を示しています。

まず注目すべきは、この攻撃が韓国の独特なインターネット環境を熟知した上で計画されている点です。韓国では、オンラインバンキングや電子政府サービスを利用する際に、キーロギング対策や証明書ベースのデジタル署名をサポートするための特定のセキュリティソフトウェアのインストールが必須となっています。これは日本のマイナンバーカード関連ソフトウェアに似ていますが、韓国ではより広範囲に導入されており、常時バックグラウンドで実行されるという特性があります。

Lazarusグループはこの特性を巧みに利用し、「ウォーターホール攻撃」という手法を組み合わせました。この手法は、標的となる組織や個人が頻繁に訪問するウェブサイト（今回は韓国のオンラインメディアサイト）を侵害し、訪問者を攻撃者が管理するサイトにリダイレクトさせるというものです。水飲み場に獲物が集まるのを待つ捕食者のように、攻撃者は標的が自然と集まる場所で待ち構えるのです。

今回の「Operation SyncHole」では、Cross EXとInnorix Agentという2つの韓国製ソフトウェアの脆弱性が悪用されました。特に注目すべきは、Kasperskyの研究者たちがInnorix Agentに新たなゼロデイ脆弱性（KVE-2025-0014）を発見し、攻撃者が使用する前に対処できた点です。これは、セキュリティ研究者と脅威アクターの間の「いたちごっこ」の一例と言えるでしょう。

Lazarusグループのマルウェアは急速に進化しています。軽量化とモジュール化が進み、非対称暗号化の採用やプラグイン機能の実装など、より高度な機能を備えるようになっています。例えば、ThreatNeedleはCurve25519アルゴリズムに基づく鍵ペア生成とChaCha20アルゴリズムによるデータ暗号化を実装し、SIGNBTはRSA暗号化を使用しています。

この攻撃の影響範囲は、現在確認されている6つの組織（ソフトウェア、IT、金融、半導体製造、通信業界）を超えて広がっている可能性が高いです。悪用されたソフトウェアの普及度を考えると、韓国の多くの企業や組織が潜在的なリスクにさらされていたと考えられます。

日本企業にとっての教訓は、サプライチェーンセキュリティの重要性です。特に、業務上必須となるソフトウェアの脆弱性は、攻撃者にとって格好の標的となります。また、国や地域特有のデジタルインフラの特性を理解した攻撃が増加していることから、自社が属する環境特有のリスクを認識することが重要です。

長期的な視点では、国家支援型サイバー攻撃はより洗練され、特定地域や産業に特化したものになっていくでしょう。Kasperskyの研究者たちが指摘するように、韓国の多くのソフトウェア開発ベンダーがすでに攻撃を受けており、製品のソースコードが侵害されている場合、他のゼロデイ脆弱性が引き続き発見される可能性があります。

このような状況に対処するためには、正確な検出と迅速な対応が不可欠です。企業や組織は、ソフトウェアを常に最新の状態に保ち、信頼できるセキュリティソリューションを導入し、従業員に対するセキュリティ意識向上トレーニングを実施することが重要となるでしょう。

最後に、この事例は国際的なサイバーセキュリティ協力の重要性も示しています。韓国国家サイバーセキュリティセンターは2023年に英国政府と協力して共同セキュリティ勧告を発表しており、国境を越えた情報共有と協力が効果的な対策につながることを示唆しています。

【用語解説】

Lazarusグループ：
北朝鮮政府が支援する最も活発なハッカー集団の一つ。2009年頃から活動を開始し、ソニー・ピクチャーズへの攻撃（2014年）、バングラデシュ中央銀行からの8,100万ドルの盗難（2016年）、WannaCryランサムウェアの世界的流行（2017年）など、数々の大規模なサイバー攻撃に関与している。

ウォーターホール攻撃：
野生動物が水を飲みに集まる場所（ウォーターホール）を捕食者が狙うという自然界の現象になぞらえた攻撃手法。標的となる組織や個人が頻繁に訪問するウェブサイトを侵害し、そこを訪れたユーザーを攻撃するという手法である。

ThreatNeedle：
Lazarusグループの主力マルウェアツールの一つ。今回の攻撃では暗号化通信機能が強化されたバージョンが使用された。Curve25519アルゴリズムを用いた鍵ペアの生成やChaCha20アルゴリズムによるデータ暗号化など、高度な暗号技術を採用している。

Cross EX：
韓国で開発された正規のソフトウェアで、様々なブラウザ環境でセキュリティソフトウェアの使用を可能にするために設計されている。今回の攻撃で悪用された。

Innorix Agent：
韓国で開発されたファイル転送ソフトウェアツール。韓国のインターネット環境で一部の金融および管理タスクに必須のソフトウェア製品である。

KrCERT/CC：
韓国インターネット振興院（Korea Internet & Security Agency）のコンピュータ緊急対応チーム。韓国のサイバーセキュリティインシデントに対応する政府機関である。

ゼロデイ脆弱性：
ソフトウェアベンダーが把握していない、または対策パッチがリリースされていない脆弱性のこと。攻撃者がこれを悪用すると、防御側は「ゼロ日目」から対応を始めなければならないためこう呼ばれる。

サプライチェーン攻撃：
製品やサービスの供給プロセス（サプライチェーン）の弱点を悪用する攻撃。広く使われているソフトウェアの脆弱性を悪用することで、一度に多くの組織を標的にすることが可能になる。

【参考リンク】

Kaspersky Lab（外部）
ロシアを拠点とする世界的なサイバーセキュリティ企業。アンチウイルスソフトウェアなどのセキュリティ製品を提供している。

Innorix（外部）
韓国のファイル転送ソリューションを提供する企業。Innorix Agentは大容量ファイル転送を効率化するクライアントソフトウェア。

韓国インターネット振興院（KISA）（外部）
韓国のインターネットセキュリティを担当する政府機関。サイバーセキュリティインシデントへの対応やセキュリティ勧告を行っている。

ESET（外部）
スロバキアを拠点とするセキュリティソフトウェア企業。Lazarusグループの活動に関する調査レポートを発表している。

【参考動画】

【編集部後記】

サイバーセキュリティの世界は日々進化しています。今回のLazarusグループによる攻撃は、特定の国のデジタルインフラの特性を理解した上で仕掛けられる高度な手法を示しています。皆さんの組織では、業務に必須のソフトウェアの脆弱性対策はどのように行っていますか？定期的なアップデートや、セキュリティ意識の向上トレーニングなど、今すぐできる対策もあります。日本でも同様の攻撃が起きる可能性を考え、今一度セキュリティ対策を見直してみてはいかがでしょうか。最新のサイバーセキュリティ動向に関心を持ち、共に学んでいきましょう。