サイバー犯罪グループ「ScarCruft」が、接続されたBluetoothデバイスを識別するマルウェアなどで情報収集を強化
PR TIMES / 2019年5月20日 17時40分
[本リリースは、2019年5月13日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labのグローバル調査分析チーム(GReAT)※は、韓国語話者であり高度なスキルを持つサイバー犯罪グループ「ScarCruft」が、接続されたBluetoothデバイスを識別するコードなどの新しいツールによって、標的から収集する情報の種類と量をさらに拡大していることを発見しました。
国家による支援を受けているとみられるScarCruftは、主に朝鮮半島と関連がある外交機関や企業を標的とし、政治的な情報を狙っています。Kaspersky Labが観測したScarCruftの最新動向では、新たなエクスプロイトのテスト、モバイルデバイスのデータへの関心を高めているほか、正規のツールやサービスを自らのサイバースパイ活動のために改造する高い能力があることが分かりました。
ScarCruftによるAPT攻撃は、ほかの多くのAPT攻撃と同様、標的型攻撃メールまたは水飲み場型攻撃のいずれかで、エクスプロイトやそれ以外の手法を用いて特定の対象者に感染させることから始まります。これに続いてWindowsのユーザーアカウント制御(UAC)の回避を可能にする第一段階の感染が行われますが、通常は正規の侵入テストの目的で組織内に展開されるコードを使用することで、より高い権限で次の段階のペイロードを実行することが可能になります。ネットワークレベルでの検知を回避するために、このマルウェアはステガノグラフィを利用して画像ファイルに悪意あるコードを隠しています。感染の最終段階では、クラウドサービスベースのバックドア「ROKRAT」をインストールします。このバックドアは標的のシステムとデバイスからさまざまな情報を収集し、窃取した情報を4つのクラウドサービス(Box、Dropbox、pCloud、Yandex.Disk)に転送します。
またScarCruftは、モバイルデバイスからデータを窃盗することに関心を持っており、Windows Bluetooth APIを利用してBluetoothデバイスの情報を窃取するマルウェアも見つかっています。
さらに、当社のテレメトリデータから、この攻撃の標的には、北朝鮮とつながりがあると思われるベトナムとロシアの投資や貿易を行う企業、および香港と北朝鮮の外交機関が含まれることが確認されています。ScarCruftの攻撃の標的となったロシア企業は、以前にも韓国語話者のサイバー犯罪集団「DarkHotel」の攻撃を受けていたことがわかっています。
Kaspersky Lab GReATのシニアセキュリティリサーチャー、パク・ソンス(Park Seongsu)は次のように述べています。「ScarCruftとDarkHotelの共通点が確認されたのは、今回が初めてではありません。これらのグループが関心を持つ標的には共通点が見られますが、それぞれのツール、技術、手順は大きく異なります。このため私たちは、一方のグループの背後にもう一つのグループが潜んでいるのではないかと考えています。ScarCruftは慎重で、目立たないことを好みますが、このグループはツールの開発と展開における能力の高さから、高度なスキルを持ち、活発な活動を続けるグループであることが明らかです。このグループの攻撃は今後も進化し続けることはまず間違いないでしょう」
カスペルスキー製品は、ScarCruft関連の脅威を検出・ブロックします。
■既知および未知のサイバー犯罪組織による標的型攻撃から企業や組織を守るために、次のことを推奨します。
・ サイバー犯罪組織やサイバー犯罪者が使用する新しいツール、技術、手順に対処していくために、社内のセキュリティチームが最新のサイバー脅威インテリジェンスにアクセスできるようにする。
・ エンドポイントレベルでインシデントを検知および調査し、迅速に修復するために、EDRソリューションを導入する。
・ 基幹となるエンドポイント保護に加えて、ネットワークレベルへの高度な脅威を早期に検知する全社レベルのセキュリティソリューションを導入する。
・ 多くの標的型攻撃は、フィッシングやそのほかのソーシャルエンジニアリングがきっかけとなるため、セキュリティ認識トレーニングを導入し、従業員にサイバーセキュリティに対する実用的なスキルを身に付けさせる。
ScarCruftの最新の活動について詳しくは、Securelistブログ「ScarCruft continues to evolve, introduces Bluetooth harvester」(英語)をご覧ください。
https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。
[画像: https://prtimes.jp/i/11471/130/resize/d11471-130-338169-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
OpenText、2024年版「Threat Hunter Perspective」レポートを発表、国家とサイバー犯罪組織の連携による被害の拡大が明らかに
PR TIMES / 2024年10月18日 17時40分
-
Kaspersky、バックドア「PipeMagic」を使用した企業を狙う攻撃活動の再開を確認
PR TIMES / 2024年10月18日 16時40分
-
ハクティビストグループがロシア国内の組織に破壊的なサイバー攻撃
マイナビニュース / 2024年9月25日 17時54分
-
チェック・ポイント・リサーチ、イラク政府を標的とした巧妙なサイバー攻撃を発見 検出されたマルウェアにイランとの関連を確認
PR TIMES / 2024年9月25日 13時40分
-
チェック・ポイント・リサーチ、2024年8月に最も活発だったマルウェアを発表 国内・グローバルともにFakeUpdatesが再び首位に、 “新たなランサムウェア”も台頭
PR TIMES / 2024年9月24日 17時15分
ランキング
-
1「PASMO」って10年以上使わないと失効するんですか? 母がひさしぶりに上京してくるのですが、チャージしていた「残高」もなくなってしまうのでしょうか…?
ファイナンシャルフィールド / 2024年10月19日 4時30分
-
2コストコとイケアはなぜ時給が高いのか? 日本企業の「人手不足」はただの言い訳に過ぎない
ITmedia ビジネスオンライン / 2024年10月19日 6時15分
-
3「超おトクに空港でぜいたくし放題だった“神カード”」が衝撃の改悪!? それでもおすすめな理由は?
乗りものニュース / 2024年10月19日 8時42分
-
4今も1杯430円「スガキヤ」安くやってこられた理由 地元密着企業の、こんなにもある強さの秘訣
東洋経済オンライン / 2024年10月19日 8時30分
-
5携帯が毎月3GBまでのプランなので、いつも出先では「フリーWi-Fi」を使用していますが、友人から「リスク」があると聞きました。「パスワード」を入力するタイプなら問題ないですよね?
ファイナンシャルフィールド / 2024年10月17日 3時50分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください