Kaspersky、サイバー犯罪組織LazarusによるスパイツールDtrackを発見
Kasperskyの調査分析チームは、インドの金融機関と研究施設で確認され、これまで知られていなかったスパイツール「Dtrack」を発見しました。Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。
[本リリースは、2019年9月23日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※は、インドの金融機関と研究施設で確認され、これまで知られていなかったスパイツール「Dtrack」を発見しました。このスパイウェアは、Lazarusグループによって作られたと報告されており、標的のシステム上でファイルのアップロードおよびダウンロードの実行、キーボード入力情報の記録、そのほか悪意のあるリモート管理ツール(RAT)の典型的なアクションを実行するために使用されています。
2018年にKasperskyは、インドのATMに侵入して顧客のカードデータを窃取するマルウェア「ATMDtrack」を発見しました。当社のKaspersky Attribution Engineなどのツールを使用してさらに調査を進めたところ、180を超える新たな検体を見つけることができ、これらのコードシーケンスはATMDtrackと類似していましたが、ATMを標的としていないことは明らかでした。その一連の機能から、現在Dtrackとして知られるスパイツールであると考えられ、さらにDtrackとATMDtrackは、互いに類似していただけでなく、Lazarusによる2013年のDarkSeoul攻撃とも類似していました。Lazarusは、高度な技術を持つ、執拗で悪名高い犯罪組織であり、複数のサイバースパイ行為や妨害行為を実行してきています。
Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。
Dtrack RATを使用する犯罪組織の標的対象は通常、ネットワークセキュリティポリシーやパスワードポリシーが脆弱であり、かつ組織全体のトラフィック状況を追跡することもできないような組織です。このスパイウェアの実装が成功すると、利用可能なすべてのファイル、実行中のプロセス、キーボード入力情報、ブラウザーの閲覧履歴、ホストIPアドレスをすべて把握できるようになります。この中には使用可能なネットワークやアクティブな接続に関する情報も含まれます。
この新たに発見されたマルウェアはアクティブであり、当社のテレメトリデータによれば、現在もサイバー攻撃で使用されています。
Kaspersky GReATのセキュリティリサーチャー、コンスタンティン・ズィコブ(Konstantin Zykov)は次のように述べています。「Lazarusは、国家が支援するとされる、かなり珍しいグループです。ほかの多くの類似グループと同様、サイバースパイ攻撃や妨害行為を実行することに重点を置いている一方で、金銭を搾取することを明確な目的としている攻撃にも影響を及ぼしていることがわかっています。ほかの犯罪組織は攻撃に金銭的な動機がないことが一般的なので、このような知名度の高い犯罪組織としては珍しいことです。当社が発見した大量のDtrackの検体により、Lazarusが最も活動的なAPTグループの1つであり、業界に大きな影響を及ぼそうと、絶えず脅威を開発し、進化させていることがわかります。LazarusがDtrack RATの実行を成功させたことは、ある脅威が消滅しているように見えても、別のマルウェアとして復活し、新たな標的を攻撃する可能性があることを証明しています。リサーチセンターや、政府関連会社が属していない商業部門でのみ事業を展開する金融機関であっても、高度な技術を持つ犯罪組織によって攻撃される可能性を脅威モデルにおいて考慮し、それに対応できるよう準備する必要があります」
カスペルスキー製品では、Dtrackの攻撃を検知・ブロックします。
■Dtrack RATなどのマルウェアからの影響を回避するために、次のことを推奨しています。
- トラフィック監視ソフトウェアを使用する。
- 振る舞いベースの検知テクノロジーを備えた実証済みのセキュリティソリューションを採用する。
- 定期的に組織のITインフラストラクチャのセキュリティ監査を実施する。
- 定期的に従業員にセキュリティトレーニングを実施する。
Dtrack について詳しくは、Securelistブログ「Hello! My name is Dtrack」(英語)をご覧ください。
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
Kaspersky、サイバー犯罪組織LazarusによるスパイツールDtrackを発見
Kaspersky
関連記事 ウイルスニュース
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >Kasperskyの独自調査により、企業・団体の社内開発のWebアプリケーションにはアクセス制御と機密データ保護に関する欠陥が多いことが浮き彫りに
当社が手掛けた数十件のセキュリティアセスメントのプロジェクト(2021年~2023年に実施)を対象に、社内開発のWebアプリケーションの脆弱性について調査を行った結果、大半でアクセス制御とデータ保護に関連する欠陥が見つかりました。リスクレベルの高い脆弱性で最も多かったのは、SQLインジェクションに関するものでした。詳しくはこちら >