カスペルスキー、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認
- 2022/08/17 10:30
- SecurityInsight
カスペルスキーは8月16日、同社のグローバル調査分析チーム(GReAT)が悪名高い攻撃グループLazarus下のAPT(高度サイバー攻撃)グループ「Andariel」による新たな攻撃を発見したことを発表した。その概要は以下のとおり。
この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用を確認。Andarielは米国、日本、インド、ベトナム、ロシアの著名な企業や団体を標的にしていた。
Andarielは、悪名高い攻撃グループLazarus内で10年以上も活動してきたサブグループ。GReATは、ランサムウェアMauiが関係する興味深いインシデントを日本で特定していた。2022年には、Andarielがマルウェアの種類やその攻撃対象地域を拡大していることを確認している。
マルウェア「DTrack」は埋め込みシェルコードを実行して、Windowsコンピューターにインメモリペイロードを読み込む。カスペルスキーのマルウェア分析ソリューション「Kaspersky Threat Attribution Engine」では、このスパイウェアはLazarusと関連付けられており、標的システムに対するファイルのアップロード/ダウンロード、キーストロークの記録のほか、悪意のあるリモート管理ツール(RAT)特有の動作を行なう。DTrackはWindowsコマンドを介してシステム情報とブラウザー履歴を収集。また、標的ネットワーク内への侵入は、攻撃前の数カ月にさかのぼることがある。
2021年から2022年にかけて、Andarielは新しいランサムウェア「Maui」を使用している。GReATでは、「DTrack」が標的の組織内ネットワークに展開された後にMauiが起動されることを特定。「Maui」は主に米国の企業と団体を狙った複数の攻撃ケースで使用されてきており、日本企業も対象になってした。GReATでは、このグループは便宜的で、業種を問わず世界中の財務状態が良好な企業に注目しているとみている。