メインコンテンツにスキップする

Kaspersky、サイバー犯罪組織LazarusによるスパイツールDtrackを発見

2019年9月30日

Kasperskyの調査分析チームは、インドの金融機関と研究施設で確認され、これまで知られていなかったスパイツール「Dtrack」を発見しました。Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。

[本リリースは、2019年9月23日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT)は、インドの金融機関と研究施設で確認され、これまで知られていなかったスパイツール「Dtrack」を発見しました。このスパイウェアは、Lazarusグループによって作られたと報告されており、標的のシステム上でファイルのアップロードおよびダウンロードの実行、キーボード入力情報の記録、そのほか悪意のあるリモート管理ツール(RAT)の典型的なアクションを実行するために使用されています。

2018年にKasperskyは、インドのATMに侵入して顧客のカードデータを窃取するマルウェア「ATMDtrack」を発見しました。当社のKaspersky Attribution Engineなどのツールを使用してさらに調査を進めたところ、180を超える新たな検体を見つけることができ、これらのコードシーケンスはATMDtrackと類似していましたが、ATMを標的としていないことは明らかでした。その一連の機能から、現在Dtrackとして知られるスパイツールであると考えられ、さらにDtrackとATMDtrackは、互いに類似していただけでなく、Lazarusによる2013年のDarkSeoul攻撃とも類似していました。Lazarusは、高度な技術を持つ、執拗で悪名高い犯罪組織であり、複数のサイバースパイ行為や妨害行為を実行してきています。

Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。

Dtrack RATを使用する犯罪組織の標的対象は通常、ネットワークセキュリティポリシーやパスワードポリシーが脆弱であり、かつ組織全体のトラフィック状況を追跡することもできないような組織です。このスパイウェアの実装が成功すると、利用可能なすべてのファイル、実行中のプロセス、キーボード入力情報、ブラウザーの閲覧履歴、ホストIPアドレスをすべて把握できるようになります。この中には使用可能なネットワークやアクティブな接続に関する情報も含まれます。

この新たに発見されたマルウェアはアクティブであり、当社のテレメトリデータによれば、現在もサイバー攻撃で使用されています。

Kaspersky GReATのセキュリティリサーチャー、コンスタンティン・ズィコブ(Konstantin Zykov)は次のように述べています。「Lazarusは、国家が支援するとされる、かなり珍しいグループです。ほかの多くの類似グループと同様、サイバースパイ攻撃や妨害行為を実行することに重点を置いている一方で、金銭を搾取することを明確な目的としている攻撃にも影響を及ぼしていることがわかっています。ほかの犯罪組織は攻撃に金銭的な動機がないことが一般的なので、このような知名度の高い犯罪組織としては珍しいことです。当社が発見した大量のDtrackの検体により、Lazarusが最も活動的なAPTグループの1つであり、業界に大きな影響を及ぼそうと、絶えず脅威を開発し、進化させていることがわかります。LazarusがDtrack RATの実行を成功させたことは、ある脅威が消滅しているように見えても、別のマルウェアとして復活し、新たな標的を攻撃する可能性があることを証明しています。リサーチセンターや、政府関連会社が属していない商業部門でのみ事業を展開する金融機関であっても、高度な技術を持つ犯罪組織によって攻撃される可能性を脅威モデルにおいて考慮し、それに対応できるよう準備する必要があります」

カスペルスキー製品では、Dtrackの攻撃を検知・ブロックします。

■Dtrack RATなどのマルウェアからの影響を回避するために、次のことを推奨しています。

  • トラフィック監視ソフトウェアを使用する。
  • 振る舞いベースの検知テクノロジーを備えた実証済みのセキュリティソリューションを採用する。
  • 定期的に組織のITインフラストラクチャのセキュリティ監査を実施する。
  • 定期的に従業員にセキュリティトレーニングを実施する。

Dtrack について詳しくは、Securelistブログ「Hello! My name is Dtrack」(英語)をご覧ください。

※ Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

Kaspersky、サイバー犯罪組織LazarusによるスパイツールDtrackを発見

Kasperskyの調査分析チームは、インドの金融機関と研究施設で確認され、これまで知られていなかったスパイツール「Dtrack」を発見しました。Dtrackはリモート管理ツール(RAT)として使用できるため、犯罪組織は感染したデバイスを完全にコントロールすることが可能となり、ファイルのアップロードやダウンロード、重要なプロセスの実行など、様々な操作を実行することができるようになります。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース