🔥 この記事の詳細
2026-05-29 更新
C
月内に

北朝鮮の攻撃グループLazarusが、メモリ上でのみ動作する高度な攻撃ツールセットを導入したこと

脆弱性🌐 英語ソース
📅 2026-05-29📰 freebuf
📌 一言でいうと
北朝鮮の攻撃グループLazarusが、メモリ上でのみ動作する高度な攻撃ツールセットを導入したことが判明しました。このツールセットはDPAPILoader、RemotePELoader、RemotePEの3つのコンポーネントで構成され、ディスクに痕跡を残さず動作します。特にEDRの検知を回避するためにHellsGate変種やEtwEventWrite関数のパッチ適用などの高度な技術が用いられています。
🔍該当判定
  • 国際的な金融機関や金融関連の取引を行っているか
  • Windows PCのシステムフォルダ内に「lassvc.dll」というファイルが存在するか
  • PCのサービス一覧に「Internet Authentication Service」という不審な名称のサービスが登録されているか
  • EDR(エンドポイント検知・対応)などの高度なセキュリティソフトを導入していないか
上記いずれにも該当しない → 静観でOK
該当時の対応
メモリ内実行を検知可能な高度なEDR/XDRの導入、不審なDLL(特にlassvc.dll等)のロード監視、およびメモリフォレンジクスの実施を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Lazarus組織による純メモリ攻撃ツールセットへの対応について

お疲れさまです。Lazarus組織による新しい攻撃手法に関する情報共有です。

■ 概要
北朝鮮のAPTグループLazarusが、ディスクにファイルを書き込まずメモリ上でのみ動作するツールセット(DPAPILoader, RemotePELoader, RemotePE)を運用していることが確認されました。HellsGate変種によるAPI解決やETW (Event Tracing for Windows) の無効化により、従来のEDR検知を回避する設計となっています。

■ 影響範囲
- Windows OS環境(特に金融機関等の標的組織)

■ 対応手順
1. エンドポイントにおいて、不審なサービス名(例: "Internet Authentication Service")やファイル名(lassvc.dll)の存在を確認してください。
2. EDRの検知ルールに、EtwEventWrite関数のパッチ適用や不審なメモリ注入(Remote Thread Injection)の監視設定を追加してください。
3. メモリ内のみで動作するマルウェアを検知するため、メモリスキャン機能の有効化を検討してください。

■ 参考情報
- Fox-IT 分析レポート

対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Lazarus Group Pure-Memory Attack Toolkit

Dear Team,

We are sharing intelligence regarding a new execution framework deployed by the Lazarus Group.

■ Overview
Lazarus has shifted to a pure-memory toolkit consisting of DPAPILoader, RemotePELoader, and RemotePE. This architecture is designed to evade detection by bypassing user-mode hooks via HellsGate variants and patching the EtwEventWrite() function to silence EDR event logging.

■ Scope
- Windows-based environments, specifically targeting international financial institutions.

■ Recommended Actions
1. Monitor for suspicious DLLs such as 'lassvc.dll' masquerading as 'Internet Authentication Service'.
2. Update EDR/XDR detection logic to identify ETW patching and anomalous memory injection patterns.
3. Perform memory forensics on high-value assets to detect resident RemotePE implants.

■ Reference
- Fox-IT Analysis Report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-29 のまとめ🔍 記事を検索