Kaspersky、サイバー犯罪組織LazarusによるスパイツールDtrackを発見
[19/09/30]
提供元:PRTIMES
提供元:PRTIMES
Kasperskyのグローバル調査分析チーム(GReAT)※は、インドの金融機関と研究施設で確認され、これまで知られていなかったスパイツール「Dtrack」を発見しました。このスパイウェアは、Lazarusグループによって作られたと報告されており、標的のシステム上でファイルのアップロードおよびダウンロードの実行、キーボード入力情報の記録、そのほか悪意のあるリモート管理ツール(RAT)の典型的なアクションを実行するために使用されています。
[本リリースは、2019年9月23日にKasperskyが発表したプレスリリースに基づき作成したものです]
2018年にKasperskyは、インドのATMに侵入して顧客のカードデータを窃取するマルウェア「ATMDtrack」を発見しました。当社のKaspersky Attribution Engineなどのツールを使用してさらに調査を進めたところ、180を超える新たな検体を見つけることができ、これらのコードシーケンスはATMDtrackと類似していましたが、ATMを標的としていないことは明らかでした。その一連の機能から、現在Dtrackとして知られるスパイツールであると考えられ、さらにDtrackとATMDtrackは、互いに類似していただけでなく、Lazarusによる2013年のDarkSeoul攻撃とも類似していました。Lazarusは、高度な技術を持つ、執拗で悪名高い犯罪組織であり、複数のサイバースパイ行為や妨害行為を実行してきています。
Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。
Dtrack RATを使用する犯罪組織の標的対象は通常、ネットワークセキュリティポリシーやパスワードポリシーが脆弱であり、かつ組織全体のトラフィック状況を追跡することもできないような組織です。このスパイウェアの実装が成功すると、利用可能なすべてのファイル、実行中のプロセス、キーボード入力情報、ブラウザーの閲覧履歴、ホストIPアドレスをすべて把握できるようになります。この中には使用可能なネットワークやアクティブな接続に関する情報も含まれます。
この新たに発見されたマルウェアはアクティブであり、当社のテレメトリデータによれば、現在もサイバー攻撃で使用されています。
Kaspersky GReATのセキュリティリサーチャー、コンスタンティン・ズィコブ(Konstantin Zykov)は次のように述べています。
「Lazarusは、国家が支援するとされる、かなり珍しいグループです。ほかの多くの類似グループと同様、サイバースパイ攻撃や妨害行為を実行することに重点を置いている一方で、金銭を搾取することを明確な目的としている攻撃にも影響を及ぼしていることがわかっています。ほかの犯罪組織は攻撃に金銭的な動機がないことが一般的なので、このような知名度の高い犯罪組織としては珍しいことです。当社が発見した大量のDtrackの検体により、Lazarusが最も活動的なAPTグループの1つであり、業界に大きな影響を及ぼそうと、絶えず脅威を開発し、進化させていることがわかります。
LazarusがDtrack RATの実行を成功させたことは、ある脅威が消滅しているように見えても、別のマルウェアとして復活し、新たな標的を攻撃する可能性があることを証明しています。リサーチセンターや、政府関連会社が属していない商業部門でのみ事業を展開する金融機関であっても、高度な技術を持つ犯罪組織によって攻撃される可能性を脅威モデルにおいて考慮し、それに対応できるよう準備する必要があります」
カスペルスキー製品では、Dtrackの攻撃を検知・ブロックします。
■ Dtrack RATなどのマルウェアからの影響を回避するために、次のことを推奨しています。
・ トラフィック監視ソフトウェアを使用する。
・ 振る舞いベースの検知テクノロジーを備えた実証済みのセキュリティソリューションを採用する。
・ 定期的に組織のITインフラストラクチャのセキュリティ監査を実施する。
・ 定期的に従業員にセキュリティトレーニングを実施する。
Dtrack について詳しくは、Securelistブログ「Hello! My name is Dtrack」(英語)をご覧ください。
https://securelist.com/my-name-is-dtrack/93338/
Lazarusによる2013年のDarkSeoul攻撃については、こちらをご覧ください(英語)。
https://securelist.com/operation-blockbuster-revealed/73914/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、27万の企業や組織の重要な資産を守る力になっています。詳しくは www.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/158/resize/d11471-158-901480-0.jpg ]
[本リリースは、2019年9月23日にKasperskyが発表したプレスリリースに基づき作成したものです]
2018年にKasperskyは、インドのATMに侵入して顧客のカードデータを窃取するマルウェア「ATMDtrack」を発見しました。当社のKaspersky Attribution Engineなどのツールを使用してさらに調査を進めたところ、180を超える新たな検体を見つけることができ、これらのコードシーケンスはATMDtrackと類似していましたが、ATMを標的としていないことは明らかでした。その一連の機能から、現在Dtrackとして知られるスパイツールであると考えられ、さらにDtrackとATMDtrackは、互いに類似していただけでなく、Lazarusによる2013年のDarkSeoul攻撃とも類似していました。Lazarusは、高度な技術を持つ、執拗で悪名高い犯罪組織であり、複数のサイバースパイ行為や妨害行為を実行してきています。
Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。
Dtrack RATを使用する犯罪組織の標的対象は通常、ネットワークセキュリティポリシーやパスワードポリシーが脆弱であり、かつ組織全体のトラフィック状況を追跡することもできないような組織です。このスパイウェアの実装が成功すると、利用可能なすべてのファイル、実行中のプロセス、キーボード入力情報、ブラウザーの閲覧履歴、ホストIPアドレスをすべて把握できるようになります。この中には使用可能なネットワークやアクティブな接続に関する情報も含まれます。
この新たに発見されたマルウェアはアクティブであり、当社のテレメトリデータによれば、現在もサイバー攻撃で使用されています。
Kaspersky GReATのセキュリティリサーチャー、コンスタンティン・ズィコブ(Konstantin Zykov)は次のように述べています。
「Lazarusは、国家が支援するとされる、かなり珍しいグループです。ほかの多くの類似グループと同様、サイバースパイ攻撃や妨害行為を実行することに重点を置いている一方で、金銭を搾取することを明確な目的としている攻撃にも影響を及ぼしていることがわかっています。ほかの犯罪組織は攻撃に金銭的な動機がないことが一般的なので、このような知名度の高い犯罪組織としては珍しいことです。当社が発見した大量のDtrackの検体により、Lazarusが最も活動的なAPTグループの1つであり、業界に大きな影響を及ぼそうと、絶えず脅威を開発し、進化させていることがわかります。
LazarusがDtrack RATの実行を成功させたことは、ある脅威が消滅しているように見えても、別のマルウェアとして復活し、新たな標的を攻撃する可能性があることを証明しています。リサーチセンターや、政府関連会社が属していない商業部門でのみ事業を展開する金融機関であっても、高度な技術を持つ犯罪組織によって攻撃される可能性を脅威モデルにおいて考慮し、それに対応できるよう準備する必要があります」
カスペルスキー製品では、Dtrackの攻撃を検知・ブロックします。
■ Dtrack RATなどのマルウェアからの影響を回避するために、次のことを推奨しています。
・ トラフィック監視ソフトウェアを使用する。
・ 振る舞いベースの検知テクノロジーを備えた実証済みのセキュリティソリューションを採用する。
・ 定期的に組織のITインフラストラクチャのセキュリティ監査を実施する。
・ 定期的に従業員にセキュリティトレーニングを実施する。
Dtrack について詳しくは、Securelistブログ「Hello! My name is Dtrack」(英語)をご覧ください。
https://securelist.com/my-name-is-dtrack/93338/
Lazarusによる2013年のDarkSeoul攻撃については、こちらをご覧ください(英語)。
https://securelist.com/operation-blockbuster-revealed/73914/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立された世界的なサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスと専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、27万の企業や組織の重要な資産を守る力になっています。詳しくは www.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/158/resize/d11471-158-901480-0.jpg ]