サイバー犯罪組織Lazarusによるスパイツール「Dtrack」 Kasperskyが発見：DarkSeoul攻撃に類似

Kasperskyはスパイツール「Dtrack」を発見した。マルウェア「ATMDtrack」の調査中に見つけた。複数のサイバースパイ行為や妨害行為をしてきたLazarus Groupによる2013年のDarkSeoul攻撃に類似している。

[＠IT]

　Kasperskyは2019年9月30日、Lazarus Groupによって作られたとされ、これまで知られていなかったスパイツール「Dtrack」を発見したと発表した。同社によるとDtrackは、リモート管理ツールとして使用できるため、攻撃者は感染した機器を完全にコントロールでき、ファイルのアップロードやダウンロード、重要なプロセスの実行など、さまざまな操作が可能になるという。

　KasperskyがDtrackを発見したきっかけは、インドのATMに侵入して顧客のカードデータを窃取するマルウェア「ATMDtrack」に関する調査だ。ATMDtrackは、同社が2018年に発見したマルウェア。同社がツールを使って調査を進めていたところ、新たに180以上の検体を見つけたとしている。

　新たに発見した検体のコードシーケンスはATMDtrackと似ていたものの、標的はATMではなかった。検体の機能を調べると、Dtrackだと考えられるという。Kasperskyの解析によると、DtrackとATMDtrackは互いに似ているだけでなく、複数のサイバースパイ行為や妨害行為をしてきたLazarus Groupによる2013年のDarkSeoul攻撃とも類似している。

マルウェア回避のための4カ条

　Kasperskyは、今でもDtrackがサイバー攻撃に使われているとしている。同社ではこうしたマルウェアからの影響を回避するために、次のことを推奨している。

1. トラフィック監視ソフトウェアを使用する
2. 振る舞いを基にした検知技術を備えた実証済みのセキュリティソリューションを採用する
3. 定期的に組織のITインフラのセキュリティ監査を実施する
4. 定期的に従業員にセキュリティトレーニングを実施する

　KasperskyのGlobal Research and Analysis Team（GReAT）でセキュリティリサーチャーを務めるKonstantin Zykov氏は次のように語る。

　「Lazarusは、国家が支援するとされるグループだ。他の多くの類似グループと同様、サイバースパイ攻撃や妨害行為を実行することに重点を置いている。さらに、金銭を搾取することを明確な目的としている攻撃にも影響を及ぼしていることが分かっている。当社が発見した大量のDtrackの検体によって、Lazarusが活動的なAPT（Advanced Persistent Threat）グループであり、業界に大きな影響を及ぼそうと絶えず脅威を開発し、進化させていることが分かる。LazarusがDtrackのリモート管理ツールの実行を成功させたことは、ある脅威が消滅しているように見えても、別のマルウェアとして復活し、新たな標的を攻撃する危険性があることを証明している」