Kaspersky、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認

[本リリースは、2022年8月9日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム（GReAT）^※1はこのたび、悪名高い攻撃グループLazarus下のAPT（高度サイバー攻撃）グループ「Andariel（アンダリエル）」による新たな攻撃を発見しました。この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。Andarielは、米国、日本、インド、ベトナム、ロシアの著名な企業や団体を標的にしていました。

Andarielは、悪名高い攻撃グループ Lazarus内で10年以上も活動してきたサブグループです。GReATは、ランサムウェア Mauiが関係する興味深いインシデントを日本で特定していました。2022年には、Andarielがマルウェアの種類やその攻撃対象地域を拡大していることを確認しています。2022年7月の米国CISA（Cybersecurity and Infrastructure Security Agency）の報告では、Andarielはランサムウェア Mauiによって公的機関や医療機関に影響を及ぼしました。このCISAの発表に続き、GReATはAndarielの攻撃活動についてより深い調査結果を公表します。

今回の調査分析では、Andarielは有名なスパイウェアであるマルウェア「DTrack」を使用することが分かりました。DTrackは埋め込みシェルコードを実行して、Windowsコンピューターにインメモリペイロードを読み込みます。当社のマルウェア分析ソリューションKaspersky Threat Attribution Engineでは、このスパイウェアはLazarusと関連付けられており、標的システムに対するファイルのアップロード/ダウンロード、キーストロークの記録のほか、悪意のあるリモート管理ツール（RAT）特有の動作を行います。DTrackはWindowsコマンドを介してシステム情報とブラウザー履歴を収集します。また、標的ネットワーク内への侵入は、攻撃前の数カ月にさかのぼることがあります。

2021年から2022年にかけて、Andarielは新しいランサムウェアMauiを使用しています。GReATでは、DTrackが標的の組織内ネットワークに展開された後にMauiが起動されることを特定しました。Mauiは主に米国の企業と団体を狙った複数の攻撃ケースで使用されてきており、日本企業も対象になっていました。GReATでは、このグループは便宜的で、業種を問わず世界中の財務状態が良好な企業に注目しているとみています。

Kaspersky GReATのセキュリティエキスパート、コート・バウムガートナー（Kurt Baumgartner）は次のように述べています。「私たちは長年にわたってAndariel APTグループを追跡しており、このグループの攻撃が常に進化していることを確認しています。特に注意すべき点は、このグループが世界中でランサムウェアを展開し始めたことです。これは、金銭的なモチベーションや関心が継続していることを表しています」

■ Andarielが使用しているランサムウェアMaui、そのほかのマルウェアの詳細については、Securelistブログ（英語）「Andariel deploys DTrack and Maui ransomware」でご覧いただけます。

※1 Global Research and Analysis Team（GReAT、グレート）
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。