攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。 今回は、攻撃グループLazarusが使用するツールについて紹介します。 ネットワーク内部での横展開 まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに
![攻撃グループLazarusが侵入したネットワーク内で使用するツール - JPCERT/CC Eyes](https://cdn-ak-scissors.b.st-hatena.com/image/square/8b1cc492b818c11d7a0fec3195a911ec03576297/height=288;version=1;width=512/https%3A%2F%2Fblogs.jpcert.or.jp%2Fja%2F.assets%2Fthumbnail%2F07-800wi.jpg)