• 2022/08/16 掲載

カスペルスキー、Lazarus下のAPTグループAndarielによる新たな攻撃を発見

カスペルスキー

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
[本リリースは、2022年8月9日にKasperskyが発表したプレスリリースに基づき作成したものです]

 Kasperskyのグローバル調査分析チーム(GReAT)(※1)はこのたび、悪名高い攻撃グループLazarus下のAPT(高度サイバー攻撃)グループ「Andariel(アンダリエル)」による新たな攻撃を発見しました。この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。Andarielは、米国、日本、インド、ベトナム、ロシアの著名な企業や団体を標的にしていました。

 Andarielは、悪名高い攻撃グループ Lazarus内で10年以上も活動してきたサブグループです。GReATは、ランサムウェア Mauiが関係する興味深いインシデントを日本で特定していました。2022年には、Andarielがマルウェアの種類やその攻撃対象地域を拡大していることを確認しています。2022年7月の米国CISA(Cybersecurity and Infrastructure Security Agency)の報告では、Andarielはランサムウェア Mauiによって公的機関や医療機関に影響を及ぼしました。このCISAの発表に続き、GReATはAndarielの攻撃活動についてより深い調査結果を公表します。

 今回の調査分析では、Andarielは有名なスパイウェアであるマルウェア「DTrack」を使用することが分かりました。DTrackは埋め込みシェルコードを実行して、Windowsコンピューターにインメモリペイロードを読み込みます。当社のマルウェア分析ソリューションKaspersky Threat Attribution Engineでは、このスパイウェアはLazarusと関連付けられており、標的システムに対するファイルのアップロード/ダウンロード、キーストロークの記録のほか、悪意のあるリモート管理ツール(RAT)特有の動作を行います。DTrackはWindowsコマンドを介してシステム情報とブラウザー履歴を収集します。また、標的ネットワーク内への侵入は、攻撃前の数カ月にさかのぼることがあります。

 2021年から2022年にかけて、Andarielは新しいランサムウェアMauiを使用しています。GReATでは、DTrackが標的の組織内ネットワークに展開された後にMauiが起動されることを特定しました。Mauiは主に米国の企業と団体を狙った複数の攻撃ケースで使用されてきており、日本企業も対象になっていました。GReATでは、このグループは便宜的で、業種を問わず世界中の財務状態が良好な企業に注目しているとみています。

 Kaspersky GReATのセキュリティエキスパート、コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「私たちは長年にわたってAndariel APTグループを追跡しており、このグループの攻撃が常に進化していることを確認しています。特に注意すべき点は、このグループが世界中でランサムウェアを展開し始めたことです。これは、金銭的なモチベーションや関心が継続していることを表しています」

■ Andarielが使用しているランサムウェアMaui、そのほかのマルウェアの詳細については、Securelistブログ(英語)「Andariel deploys DTrack and Maui ransomware」でご覧いただけます。

※1 Global Research and Analysis Team(GReAT、グレート)

 GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

関連タグ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます