2020年7月28日

Kaspersky、サイバー攻撃グループ「Lazarus」がデータ窃取とランサムウェア攻撃に、マルチプラットフォーム対応のマルウェアフレームワークを使用していることを発見

このフレームワークは、Windows、Linux、macOSの3種類のオペレーティングシステムを標的にすることが可能で、ポーランド、ドイツ、トルコ、韓国、日本、インドのソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなど、さまざまな業種を標的としていました。

[本リリースは、2020年7月22日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReATは、WindowsLinuxmacOSの各オペレーティングシステムを狙う、高度なマルウェアのツールセットを使用した一連のサイバー攻撃を発見しました。調査の結果、「MATA(マタ)」と名付けたこのフレームワークは2018年春から使用されており、活発な攻撃活動を続ける悪名高い高度サイバー攻撃(APT)グループ「Lazarus(ラザルス)」が関わっているとみています。

複数のプラットフォームを攻撃するための悪意あるツールセットは、開発元にとって多大な投資が必要であり、非常に珍しいものです。このようなツールは長期的な利用を視野に展開され、時間をかけて非常に多くの攻撃を行うことで、サイバー攻撃者の利益が増大する結果になります。今般、GReATのリサーチャーらが発見したマルウェアサンプルの解析結果から、MATAフレームワークがWindows、Linux、macOSの3種類のオペレーティングシステムを標的にすることが可能だったことが分かりました。このフレームワークは、ローダー、オーケストレーター(マルウェアの設定データやプラグインの読み込みを行い、指令サーバーとのやり取りを行う)、プラグインなど数種類のコンポーネントで構成されています。

GReATのリサーチャーらによると、MATAフレームワークに関して最初に発見した攻撃の痕跡から、当フレームワークは2018年4月ごろには使われていたことが分かりました。以後、このサイバー攻撃グループは世界中の企業に侵入するためにこのフレームワークを積極的に使用し、顧客データベースの窃取やランサムウェアの感染を狙ってきました。

Lazarus_MATA-map.png

Kasperskyの統計データによると、MATAフレームワークはポーランド、ドイツ、トルコ、韓国、日本、インドで検知しており、これは同グループが特定の地域に焦点を当てていないことを示しています。さらに、攻撃対象もソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなど、さまざまな業種を標的としていました。

調査の結果、GReATのリサーチャーらはMATAフレームワークを、北朝鮮とのつながりが疑われ、サイバースパイ活動と金銭目当てのサイバー攻撃でも知られているLazarusグループと結び付けることができました。これまでもKasperskyのリサーチャーやほかの多くのリサーチャーたちが同グループによるものとみられる、金融機関などを狙う「ATMDtrack」や「AppleJeus」などの攻撃活動について報告しています。今回の一連の攻撃活動は、Lazarusがこのような攻撃活動を継続していることを示唆しています。

Kaspersky GReATのシニアセキュリティリサーチャー、パク・ソンス(Seongsu Park)は次のように述べています。「この一連の攻撃は、Lazarusがこのツールセットに多大なリソースを投資して開発し、特に金銭とデータを狙って標的組織の範囲を広げていたことを示しています。さらに、LinuxとmacOSを対象にしたマルウェアが含まれていることは、攻撃者が圧倒的な数のWindowsプラットフォーム向けの攻撃ツールを十分すぎるほど持っていることを示しています。このアプローチは通常、十分に成熟したAPTグループにみられます。私たちは、MATAフレームワークの開発はさらに進むと予想しています。データは攻撃される可能性のある、重要で価値の高いリソースであるため、企業や組織はそのセキュリティに一層注意を払うことをお勧めします」

MATAフレームワークについての詳細は、Securelistブログ(英語)「MATA: Multi-platform targeted malware framework」、Kaspersky Dailyブログ(日本語)でご覧いただけます。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。