メインコンテンツにスキップする

Kaspersky、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認

2022年8月16日

この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。

[本リリースは、2022年8月9日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyグローバル調査分析チーム(GReAT)※1はこのたび、悪名高い攻撃グループLazarus下のAPT(高度サイバー攻撃)グループ「Andariel(アンダリエル)」による新たな攻撃を発見しました。この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。Andarielは、米国、日本、インド、ベトナム、ロシアの著名な企業や団体を標的にしていました。

Andarielは、悪名高い攻撃グループ Lazarus内で10年以上も活動してきたサブグループです。GReATは、ランサムウェア Mauiが関係する興味深いインシデントを日本で特定していました。2022年には、Andarielがマルウェアの種類やその攻撃対象地域を拡大していることを確認しています。2022年7月の米国CISA(Cybersecurity and Infrastructure Security Agency)の報告では、Andarielはランサムウェア Mauiによって公的機関や医療機関に影響を及ぼしました。このCISAの発表に続き、GReATはAndarielの攻撃活動についてより深い調査結果を公表します。

今回の調査分析では、Andarielは有名なスパイウェアであるマルウェア「DTrack」を使用することが分かりました。DTrackは埋め込みシェルコードを実行して、Windowsコンピューターにインメモリペイロードを読み込みます。当社のマルウェア分析ソリューションKaspersky Threat Attribution Engineでは、このスパイウェアはLazarusと関連付けられており、標的システムに対するファイルのアップロード/ダウンロード、キーストロークの記録のほか、悪意のあるリモート管理ツール(RAT)特有の動作を行います。DTrackはWindowsコマンドを介してシステム情報とブラウザー履歴を収集します。また、標的ネットワーク内への侵入は、攻撃前の数カ月にさかのぼることがあります。

2021年から2022年にかけて、Andarielは新しいランサムウェアMauiを使用しています。GReATでは、DTrackが標的の組織内ネットワークに展開された後にMauiが起動されることを特定しました。Mauiは主に米国の企業と団体を狙った複数の攻撃ケースで使用されてきており、日本企業も対象になっていました。GReATでは、このグループは便宜的で、業種を問わず世界中の財務状態が良好な企業に注目しているとみています。

Kaspersky GReATのセキュリティエキスパート、コート・バウムガートナー(Kurt Baumgartner)は次のように述べています。「私たちは長年にわたってAndariel APTグループを追跡しており、このグループの攻撃が常に進化していることを確認しています。特に注意すべき点は、このグループが世界中でランサムウェアを展開し始めたことです。これは、金銭的なモチベーションや関心が継続していることを表しています」

■ Andarielが使用しているランサムウェアMaui、そのほかのマルウェアの詳細については、Securelistブログ(英語)「Andariel deploys DTrack and Maui ransomware」でご覧いただけます。

※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKasperskyのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。



Kaspersky、Lazarus攻撃グループ下のAndarielが、ランサムウェア「Maui」を使用した攻撃の拡大を確認

この攻撃では、有名なマルウェア「DTrack」が改変されて使われ、さらに新種のランサムウェアである「Maui」の使用が確認できました。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース