サイバー犯罪グループ「ScarCruft」が、接続されたBluetoothデバイスを識別するマルウェアなどで情報収集を強化
PR TIMES / 2019年5月20日 17時40分
[本リリースは、2019年5月13日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labのグローバル調査分析チーム(GReAT)※は、韓国語話者であり高度なスキルを持つサイバー犯罪グループ「ScarCruft」が、接続されたBluetoothデバイスを識別するコードなどの新しいツールによって、標的から収集する情報の種類と量をさらに拡大していることを発見しました。
国家による支援を受けているとみられるScarCruftは、主に朝鮮半島と関連がある外交機関や企業を標的とし、政治的な情報を狙っています。Kaspersky Labが観測したScarCruftの最新動向では、新たなエクスプロイトのテスト、モバイルデバイスのデータへの関心を高めているほか、正規のツールやサービスを自らのサイバースパイ活動のために改造する高い能力があることが分かりました。
ScarCruftによるAPT攻撃は、ほかの多くのAPT攻撃と同様、標的型攻撃メールまたは水飲み場型攻撃のいずれかで、エクスプロイトやそれ以外の手法を用いて特定の対象者に感染させることから始まります。これに続いてWindowsのユーザーアカウント制御(UAC)の回避を可能にする第一段階の感染が行われますが、通常は正規の侵入テストの目的で組織内に展開されるコードを使用することで、より高い権限で次の段階のペイロードを実行することが可能になります。ネットワークレベルでの検知を回避するために、このマルウェアはステガノグラフィを利用して画像ファイルに悪意あるコードを隠しています。感染の最終段階では、クラウドサービスベースのバックドア「ROKRAT」をインストールします。このバックドアは標的のシステムとデバイスからさまざまな情報を収集し、窃取した情報を4つのクラウドサービス(Box、Dropbox、pCloud、Yandex.Disk)に転送します。
またScarCruftは、モバイルデバイスからデータを窃盗することに関心を持っており、Windows Bluetooth APIを利用してBluetoothデバイスの情報を窃取するマルウェアも見つかっています。
さらに、当社のテレメトリデータから、この攻撃の標的には、北朝鮮とつながりがあると思われるベトナムとロシアの投資や貿易を行う企業、および香港と北朝鮮の外交機関が含まれることが確認されています。ScarCruftの攻撃の標的となったロシア企業は、以前にも韓国語話者のサイバー犯罪集団「DarkHotel」の攻撃を受けていたことがわかっています。
Kaspersky Lab GReATのシニアセキュリティリサーチャー、パク・ソンス(Park Seongsu)は次のように述べています。「ScarCruftとDarkHotelの共通点が確認されたのは、今回が初めてではありません。これらのグループが関心を持つ標的には共通点が見られますが、それぞれのツール、技術、手順は大きく異なります。このため私たちは、一方のグループの背後にもう一つのグループが潜んでいるのではないかと考えています。ScarCruftは慎重で、目立たないことを好みますが、このグループはツールの開発と展開における能力の高さから、高度なスキルを持ち、活発な活動を続けるグループであることが明らかです。このグループの攻撃は今後も進化し続けることはまず間違いないでしょう」
カスペルスキー製品は、ScarCruft関連の脅威を検出・ブロックします。
■既知および未知のサイバー犯罪組織による標的型攻撃から企業や組織を守るために、次のことを推奨します。
・ サイバー犯罪組織やサイバー犯罪者が使用する新しいツール、技術、手順に対処していくために、社内のセキュリティチームが最新のサイバー脅威インテリジェンスにアクセスできるようにする。
・ エンドポイントレベルでインシデントを検知および調査し、迅速に修復するために、EDRソリューションを導入する。
・ 基幹となるエンドポイント保護に加えて、ネットワークレベルへの高度な脅威を早期に検知する全社レベルのセキュリティソリューションを導入する。
・ 多くの標的型攻撃は、フィッシングやそのほかのソーシャルエンジニアリングがきっかけとなるため、セキュリティ認識トレーニングを導入し、従業員にサイバーセキュリティに対する実用的なスキルを身に付けさせる。
ScarCruftの最新の活動について詳しくは、Securelistブログ「ScarCruft continues to evolve, introduces Bluetooth harvester」(英語)をご覧ください。
https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。
[画像: https://prtimes.jp/i/11471/130/resize/d11471-130-338169-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開
PR TIMES / 2024年9月18日 16時45分
-
Kaspersky、台頭するランサムウェア「Mallox」を調査:独自運用から「サービスとしてのランサムウェア」へ変化
PR TIMES / 2024年9月11日 15時40分
-
ハクティビスト、WinRARの脆弱性を突いたサイバー攻撃実施
マイナビニュース / 2024年9月5日 10時46分
-
<Kasperskyサイバー脅威レポート: 2024年第2四半期は、脆弱性を持つドライバーを使用しWindowsを狙う攻撃が23%増加したことを確認>
PR TIMES / 2024年8月30日 16時40分
-
Kaspersky、機密情報や暗号通貨を窃取する詐欺攻撃キャンペーン「Tusk」を発見
PR TIMES / 2024年8月22日 16時15分
ランキング
-
1「コンビニは高い」払拭目指すセブン-イレブン 松竹梅の“梅”重点強化
食品新聞 / 2024年9月20日 9時57分
-
2漁業関係者、「ぬか喜びにならなければ」=歓迎も中国側の手のひら返し警戒
時事通信 / 2024年9月20日 20時55分
-
3ほっかほっか亭「コラボ依頼して賛否」への違和感 日清食品「10分どん兵衛」の成功例に倣えるか
東洋経済オンライン / 2024年9月20日 15時20分
-
4ミニストップ、外国籍の利用客に“不適切な張り紙” 「問題を重く受け止め」謝罪
ORICON NEWS / 2024年9月20日 15時53分
-
5“推しスーパー”投票 総合1位は「ヤオコー」 魚部門、品揃え部門、サービス部門も決定 それぞれの特色も【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年9月20日 22時47分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください