[本リリースは、2019年5月13日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labのグローバル調査分析チーム(GReAT)※ は、韓国語話者であり高度なスキルを持つサイバー犯罪グループ「ScarCruft」が、接続されたBluetoothデバイスを識別するコードなどの新しいツールによって、標的から収集する情報の種類と量をさらに拡大していることを発見しました。
国家による支援を受けているとみられるScarCruftは、主に朝鮮半島と関連がある外交機関や企業を標的とし、政治的な情報を狙っています。Kaspersky Labが観測したScarCruftの最新動向では、新たなエクスプロイトのテスト、モバイルデバイスのデータへの関心を高めているほか、正規のツールやサービスを自らのサイバースパイ活動のために改造する高い能力があることが分かりました。
ScarCruftによるAPT攻撃は、ほかの多くのAPT攻撃と同様、標的型攻撃メールまたは水飲み場型攻撃のいずれかで、エクスプロイトやそれ以外の手法を用いて特定の対象者に感染させることから始まります。これに続いてWindowsのユーザーアカウント制御(UAC)の回避を可能にする第一段階の感染が行われますが、通常は正規の侵入テストの目的で組織内に展開されるコードを使用することで、より高い権限で次の段階のペイロードを実行することが可能になります。ネットワークレベルでの検知を回避するために、このマルウェアはステガノグラフィを利用して画像ファイルに悪意あるコードを隠しています。感染の最終段階では、クラウドサービスベースのバックドア「ROKRAT」をインストールします。このバックドアは標的のシステムとデバイスからさまざまな情報を収集し、窃取した情報を4つのクラウドサービス(Box、Dropbox、pCloud、Yandex.Disk)に転送します。
またScarCruftは、モバイルデバイスからデータを窃盗することに関心を持っており、Windows Bluetooth APIを利用してBluetoothデバイスの情報を窃取するマルウェアも見つかっています。
さらに、当社のテレメトリデータから、この攻撃の標的には、北朝鮮とつながりがあると思われるベトナムとロシアの投資や貿易を行う企業、および香港と北朝鮮の外交機関が含まれることが確認されています。ScarCruftの攻撃の標的となったロシア企業は、以前にも韓国語話者のサイバー犯罪集団「DarkHotel」の攻撃を受けていたことがわかっています。
Kaspersky Lab GReATのシニアセキュリティリサーチャー、パク・ソンス(Park Seongsu)は次のように述べています。「ScarCruftとDarkHotelの共通点が確認されたのは、今回が初めてではありません。これらのグループが関心を持つ標的には共通点が見られますが、それぞれのツール、技術、手順は大きく異なります。このため私たちは、一方のグループの背後にもう一つのグループが潜んでいるのではないかと考えています。ScarCruftは慎重で、目立たないことを好みますが、このグループはツールの開発と展開における能力の高さから、高度なスキルを持ち、活発な活動を続けるグループであることが明らかです。このグループの攻撃は今後も進化し続けることはまず間違いないでしょう」
カスペルスキー製品は、ScarCruft関連の脅威を検出・ブロックします。
■ 既知および未知のサイバー犯罪組織による標的型攻撃から企業や組織を守るために、次のことを推奨します。
ScarCruftの最新の活動について詳しくは、Securelistブログ「ScarCruft continues to evolve, introduces Bluetooth harvester」(英語)をご覧ください。
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。