Dacls RATの目的は顧客データの盗用とランサムウェアの拡散
研究者によると、Windows、Linux、macOS環境を攻撃できるDaclsリモートアクセストロイの木馬は、VHDランサムウェアを配布したり、顧客のデータベースを標的にして、不正侵入を試みたりするために使用されているという。
カスペルスキーは水曜日、Daclsに関するこの最新の情報を、同社のブログ記事とそれに対応するプレスリリースで明らかにしました。
カスペルスキーがMATAと呼ぶDaclsの被害者には、ソフトウェア開発会社、電子商取引会社、インターネットサービスプロバイダなどが含まれている、とブログ記事は述べている。
カスペルスキーは、ポーランド、ドイツ、トルコ、韓国、日本、インドの被害者を特定している。
カスペルスキーは、以前にManuscryptと呼ばれる別のLazarusマルウェアに関連していた2つのファイル名と設定構造の存在に基づいて、Daclsが北朝鮮のAPTアクターとして有名なLazarus Group、別名Hidden Cobraの仕業であるという研究コミュニティの主張をさらに裏付けています。
Lazarusは、サイバースパイや金銭的な動機による攻撃を行うことで広く知られています。
Daclsのケースでは、カスペルスキーは、特定された被害者の1人の分析を通じて、顧客データベースの流出が攻撃者の主要な目的であることを特定しました。
「MATAマルウェアとそのプラグインを展開した後、アクターは被害者のデータベースを見つけ出し、顧客リストを取得するためにいくつかのデータベースクエリを実行しようとしました。
彼らが顧客データベースの窃盗を完了したかどうかは不明ですが、被害者からの顧客データベースが彼らの関心事の一つであることは間違いありません」とブログ記事は述べています。
カスペルスキーの報告によると、調査中に「正規の配布サイト」で「異なるMATAファイルと一連のハッキングツールを含むパッケージ」を発見し、これがマルウェアが配布された方法であることを示している可能性があります。
カスペルスキーによると、このフレームワークは、ローダー、さまざまなプラグイン、プラグインをロードしてメモリ内で実行するように設計されたオーケストレーターで構成されているという。
各プラグインは独自の機能を導入しており、プロセスの操作(リスト化、キル、作成など)、C2通信、HTTPプロキシサーバーの作成、ファイルの操作(書き込み、検索、送信、圧縮、ワイプなど)、DLLファイルの注入などが含まれている。
「この一連の攻撃は、Lazarusがこのツールセットを開発し、標的となる組織の範囲を広げるために多大なリソースを投資していたことを示しています。
さらに、LinuxやmacOSシステム用のマルウェアを作成することは、攻撃者が、圧倒的多数のデバイスが動作するWindowsプラットフォーム用のツールを十分すぎるほど持っていると感じていることを示しています」と、カスペルスキー社のシニア・セキュリティ・リサーチャーであるSeongsu Park氏は述べています。
「このアプローチは、成熟したAPTグループの間で一般的に見られます。
MATAフレームワークがさらに発展することを期待しており、データが影響を受ける可能性のある重要かつ最も価値のあるリソースの1つであることに変わりはないため、データのセキュリティにもっと注意を払うよう組織に助言します」とPark氏は続けます。
この脅威に対抗するために、カスペルスキーでは、エンドポイントセキュリティソリューションやその他の専用のサイバーセキュリティ製品を導入し、SOCチームを最新の脅威インテリジェンスで最新の状態に保ち、ビジネスデータのバックアップコピーを最新の状態に保つことを推奨しています。
Netlab と Malwarebytes は、このマルウェアに関する調査結果を発表したことのあるサイバーセキュリティ企業の 1 つです。Malwarebytesは5月に、Daclsを搭載したMacを標的としたトロイの木馬化した2要素認証アプリケーションの発見を報告しています。
—-
Dacls RATで侵入してのMATAマルウェアで情報取得か。
さらにMATAフレームワークとして強化され、ますます巧妙に、発見しづらくなる。