メインコンテンツにスキップする

Kaspersky、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認

2022年8月16日

この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。

[本リリースは、2022年8月9日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyグローバル調査分析チーム(GReAT)※1はこのたび、悪名高い攻撃グループLazarus下のAPT(高度サイバー攻撃)グループ「Andariel(アンダリエル)」による新たな攻撃を発見しました。この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。Andarielは、米国、日本、インド、ベトナム、ロシアの著名な企業や団体を標的にしていました。

Andarielは、悪名高い攻撃グループ Lazarus内で10年以上も活動してきたサブグループです。GReATは、ランサムウェア Mauiが関係する興味深いインシデントを日本で特定していました。2022年には、Andarielがマルウェアの種類やその攻撃対象地域を拡大していることを確認しています。2022年7月の米国CISA(Cybersecurity and Infrastructure Security Agency)の報告では、Andarielはランサムウェア Mauiによって公的機関や医療機関に影響を及ぼしました。このCISAの発表に続き、GReATはAndarielの攻撃活動についてより深い調査結果を公表します。

今回の調査分析では、Andarielは有名なスパイウェアであるマルウェア「DTrack」を使用することが分かりました。DTrackは埋め込みシェルコードを実行して、Windowsコンピューターにインメモリペイロードを読み込みます。当社のマルウェア分析ソリューションKaspersky Threat Attribution Engineでは、このスパイウェアはLazarusと関連付けられており、標的システムに対するファイルのアップロード/ダウンロード、キーストロークの記録のほか、悪意のあるリモート管理ツール(RAT)特有の動作を行います。DTrackはWindowsコマンドを介してシステム情報とブラウザー履歴を収集します。また、標的ネットワーク内への侵入は、攻撃前の数カ月にさかのぼることがあります。

2021年から2022年にかけて、Andarielは新しいランサムウェアMauiを使用しています。GReATでは、DTrackが標的の組織内ネットワークに展開された後にMauiが起動されることを特定しました。Mauiは主に米国の企業と団体を狙った複数の攻撃ケースで使用されてきており、日本企業も対象になっていました。GReATでは、このグループは便宜的で、業種を問わず世界中の財務状態が良好な企業に注目しているとみています。

Kaspersky GReATのセキュリティエキスパート、コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「私たちは長年にわたってAndariel APTグループを追跡しており、このグループの攻撃が常に進化していることを確認しています。特に注意すべき点は、このグループが世界中でランサムウェアを展開し始めたことです。これは、金銭的なモチベーションや関心が継続していることを表しています」

■ Andarielが使用しているランサムウェアMaui、そのほかのマルウェアの詳細については、Securelistブログ(英語)「Andariel deploys DTrack and Maui ransomware」でご覧いただけます。

※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。



Kaspersky、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認

この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。
Kaspersky logo

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバル企業です。サイバーセキュリティの普及と、デジタルライフにおけるプライバシーの保護を目的として活動しています。カスペルスキーは、「サイバーイミュニティ」というアプローチで業界の革新を推進し、サイバー脅威から一般ユーザー、企業、重要インフラ、政府を保護しています。これまでに保護したデバイスは、10億台を超えています。

カスペルスキーが実現するのは、「Cybersecurity True to Business」です。明確な成果の達成、収益の保護、業務負荷の軽減、ダウンタイムの防止に重点を置いています。カスペルスキーの高度な脅威インテリジェンスとセキュリティに関する専門知識は、あらゆる規模の組織に向けた革新的なソリューションやサービスという形で、絶えず具現化され続けています。小規模企業から大規模企業に至るまで、あらゆる規模をカバーする保護を、実績あるAI駆動型の保護技術と、シンプルな管理機能、エキスパートによるサポートの組み合わせで実現しています。

カスペルスキーは、独立系機関によるテストで高い評価を得ており、世界各地の数百万人の個人ユーザーや約20万の組織から信頼されています。脅威の早期検知、機動的な対応、高い信頼性と自由度が確保された運用を支援し、お客様にとって最も大切なものを守ります。詳細は、www.kaspersky.comをご覧ください。

関連記事 ウイルスニュース