🔥 この記事の詳細
2026-05-26 更新
C
月内に

北朝鮮のハッキンググループLazarusが、金融機関や仮想通貨組織を標的にした新しい攻撃手法を導入しました

脆弱性🌐 英語ソース
📅 2026-05-26📰 dailysecu
📌 一言でいうと
北朝鮮のハッキンググループLazarusが、金融機関や仮想通貨組織を標的にした新しい攻撃手法を導入しました。攻撃者はTelegramで取引会社の社員を装い、偽の予約サイトへ誘導してPCを感染させます。特に「RemotePE」というメモリ常駐型(ファイルレス)の悪性コードを使用し、ディスクに痕跡を残さず長期潜伏して資産を窃取することを目的としています。
🔍該当判定
  • 自社で仮想通貨(暗号資産)の取引や管理を行っている
  • 金融業界(銀行・証券・保険など)の取引先や顧客を抱えている
  • 社員が業務連絡にTelegram(テレグラム)を利用している
  • 外部との日程調整にCalendlyやPicktimeなどの予約サイトを利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なSNS(Telegram等)経由の連絡や、外部の予約サイトへの誘導に注意し、安易にリンクをクリックしないこと。また、メモリ内実行型のマルウェアを検知できるEDR(Endpoint Detection and Response)の導入と監視体制の強化を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】SNSを介した不審な連絡と偽サイトへの誘導について

お疲れさまです。情報システム担当です。
最近、TelegramなどのSNSで取引先を装い、偽の会議予約サイトへ誘導してPCをウイルスに感染させる攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知り合いであっても、SNSで送られてきた不審なURLや予約サイトへのリンクは安易にクリックしないでください。
2. 業務上の連絡は、原則として社内で規定された公式な連絡手段(メールやチャットツール)を使用してください。
3. 万が一、不審なサイトにアクセスし、PCの動作に違和感がある場合はすぐに情報システム部へ報告してください。

対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Suspicious SNS Contacts and Fake Websites

Dear employees,
We have observed recent attacks where threat actors impersonate business partners via SNS (such as Telegram) and lure victims to fake scheduling websites to infect their computers with malware.

Requested Actions:
1. Do not click on suspicious URLs or scheduling links sent via SNS, even if the sender appears to be a known contact.
2. Please use only company-approved official communication channels for business purposes.
3. If you have accessed a suspicious site or notice any unusual behavior on your PC, report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】Lazarus Groupによるメモリ常駐型マルウェア「RemotePE」への対応について

お疲れさまです。Lazarus Groupによる新たな攻撃キャンペーンに関する情報共有です。

■ 概要
Telegramを用いた社会工学的手法で初期侵入し、DPAPILoaderおよびRemotePELoaderを経て、最終的にメモリ上で動作する「RemotePE」を配備する攻撃が確認されました。RemotePEはファイルレスで動作するため、従来のディスクベースの検知を回避し、長期潜伏を狙う設計となっています。

■ 影響範囲
- 金融・仮想通貨関連組織(特にDeFi組織)
- Windows OS環境

■ 対応手順
1. EDR等のセキュリティ製品において、不審なメモリインジェクションや異常なプロセス挙動の監視を強化してください。
2. 外部の予約サイト(Calendly, Picktime等の模倣サイト)への通信ログを確認し、不審なアウトバウンド通信がないか調査してください。
3. ユーザーに対し、SNS経由のフィッシング攻撃に関する注意喚起を徹底してください。

■ 参考情報
- Fox-IT / NCC Group 分析レポート

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Lazarus Group Memory-Resident Malware "RemotePE"

Dear Security Team,
This is a technical update regarding a new campaign by the Lazarus Group.

■ Overview
Attackers use social engineering via Telegram to lure victims to fake scheduling sites. The infection chain involves DPAPILoader and RemotePELoader, culminating in the deployment of "RemotePE." This malware executes exclusively in memory to evade disk-based forensic analysis and security tools, facilitating long-term persistence.

■ Scope
- Financial and Cryptocurrency organizations (including DeFi)
- Windows environments

■ Mitigation Steps
1. Enhance monitoring for suspicious memory injections and anomalous process behavior using EDR tools.
2. Review network logs for communications with fraudulent scheduling sites (impersonating Calendly, Picktime, etc.).
3. Conduct targeted security awareness training regarding SNS-based phishing.

■ Reference
- Fox-IT / NCC Group Analysis

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-26 のまとめ🔍 記事を検索