米CISAが北朝鮮(朝鮮民主主義人民共和国)にリンクするマウイランサムウェアへの注意喚起を行ったことを先日、お伝えしましたが、ロシアのサイバーセキュリティ企業、カスペルスキーによると、マウイランサムウェアはAndariel(アンダリエル)と関係している可能性があり、最初に攻撃されたのは日本の会社だということです。
DTrackの亜種が展開した10時間後に
Andarielは、北朝鮮のハッカーグループとして知られているLazarusのサブグループだと言われています。2009年から活動をしていて、ATM、銀行、仮想通貨取引所などにサイバー攻撃を行ってきました。攻撃の対象は主に韓国の組織で、Operation Black Mine、Operation GoldenAxe、Campaign Rifleなどの活動が知られています。Andarielは北朝鮮軍の偵察総局に属していると言われています。
カスペルスキーによると、2021年4月15日に日本の会社がマウイランサムウェアの標的になったということです。その際、マウイランサムウェアが展開する前にDTrackマルウェアの亜種が展開し、その10時間後にDTrackランサムウェアの亜種からマウイランサムウェアが検出されたということです。また、2020年12月25日に3Proxyツールが展開されていたということです。
DTrackはリモート管理ツール(RAT)機能を有し、Lazarusのスパイツールとして知られています。DTrackが感染したデバイスは完全にLazarusのコントロール下に置かれ、ファイルのアップロードやダウンロード、重要なプロセスの実行など様々な操作が外部より実行可能になるということです。さらにカスペルスキーはインドで新たな被害者を発見、日本での攻撃と同様にDTrack、3Proxyが展開されていました。
「過去のAndarielの活動と非常に似ている」
カスペルスキーによると、これら被害者のDTrackマルウェアと、既知のDTrackマルウェアとはコードに高い類似性が認められ、また、これらDTrackマルウェアにはシマンテックが北朝鮮のスパイ活動を報告したレポートで明らかにしている「Backdoor.Preft」マルウェアと同じシェルコードローダーが使用されていたということです。さらに、使用されていた3Proxyツールは以前、Andarielが使用していたということです。カスペルスキーは攻撃の手口から、マウイランサムウェアの攻撃は過去のAndarielの活動と非常に似ていると結論付けています。
米CISAはマウイランサムウェアについて、医療や公衆衛生部門をターゲットにしているとしていますが、カスペルスキーは、「特定の業界をターゲットにはしておらず、その活動範囲はグローバル」と指摘し、2020年末から2021年初めにかけて日本、インド、ベトナム、ロシアで被害が認められているということです。カスペルスキーは「この攻撃者はかなり日和見主義者であり、財務状況が良好な世界中のあらゆる企業を危険にさらす可能性がある」として、攻撃の目的は金銭的な利益だとしています。
国家支援の北ハッカーが副業でランサム攻撃?
一方、マウイランサムウェアと直接関係はなさそうですが、マイクロソフトの脅威インテリジェントセンター(MSTIC)は、2021年6月以降、ランサムウェアを開発し金銭目的でランサムウェアキャンペーンを展開している北朝鮮のアクターグループ、DEV-0530がAndarielと関係があるとするレポートを最近、発表しました。このレポートによると、DEV-0530は複数の国で中小企業のランサムウェア攻撃に成功しており、このグループとAndarielとの間には通信でのやりとりが認められるということです。また、DEV-0530の攻撃でAndarielが作成したツールが使用されている実態もあるようです。
マイクロソフトは、DEV-0530の活動の規模などから、個人的な利益を目的とした副業の可能性を指摘しています。国家の支援を受けているみられるAndarielのハッカーが副業で個人的にランサムウェア攻撃を行っているのでしょうか?
■出典
https://securelist.com/andariel-deploys-dtrack-and-maui-ransomware/107063/