カスペルスキーは9月15日、「MATAフレームワークとVHDランサムウェア:Lazarusグループによる国内での活動の観測」と題する報道機関向けのオンライン説明会を開催した。
グローバル調査分析チーム マルウェアリサーチャーの石丸傑氏によると、「MATAフレームワーク」とは、プラグインのDLL名に“MATA_”という文字列が見つかることから命名された、マルチプラットフォームを標的とした攻撃に使用されるフレームワークという。

MATAフレームワークの概要。独自のマルウェアを派生させるための“ひな形”として使われるもの
2020年7月21日時点でドイツ、ポーランド、トルコ、インド、韓国、日本の6カ国で、ソフトウェア開発企業、Eコマース(電子商取引)企業、インターネットサービスプロバイダー(ISP)などを狙った攻撃が検知されているというもの。感染した場合にはネットワーク内でデータベースを検索することから、データベースに格納されている情報を盗み出すことに高い関心を持つものと推測されている。

MATAの検知状況
MATAフレームワークは、感染すると他のモジュールのダウンロードを実行する「ローダー」、ローダーによってダウンロードされ、さまざまな機能を実行するプラグインを読み込み、実行する「オーケストレーター」、オーケストレーターによって実行されるさまざまな具体的な機能を実装した「プラグイン」のモジュールで構成されている。

MATAの構造。プロセス制御やファイルアクセスなどの機能はプラグインで実装される
具体的な機能がプラグイン(Windows上ではDLLとして実装)として提供されることから、新たなプラグインを開発することで挙動を変えられる可能性があるようだ。Windows版のほか、Linux版やmacOS版の存在も確認されており、特にLinux版はDaemonとして起動するほか、LinuxベースのOSを利用するIoT機器をターゲットにしていると推測される。
関与が疑われている“Lazarusグループ”(HiddenCobraとも呼ばれる)は、北朝鮮の支援を受けた「国家支援型攻撃グループ」と推測されている。MATAのオーケストレーターの内部で、過去に同グループが使用した「Manuscryptバックドア」に含まれていたのと同様の特徴的な文字列が含まれているのが発見されたことから、MATAフレームワークにもLazarusグループが関与しているものと推測されているという。

カスペルスキー グローバル調査分析チーム マルウェアリサーチャーの石丸傑氏
続いて、VHDランサムウェアは暗号化したファイルに「.vhd」という拡張子を付与することから命名されたランサムウェアだ。ランサムウェアとしてはシンプルに暗号化だけを行うタイプで、最近の洗練されたランサムウェアで見られるような、「暗号化する前に密かにファイルを外部に転送しておき、『情報漏えいを引き起こす』と脅迫する二段構えの攻撃」は実行しないという。
このランサムウェアの攻撃も2020年3月に日本国内で観測されているといい、SSL-VPN製品の脆弱性を悪用してVPN(仮想私設網)をバイパスして内部ネットワークに侵入、さらにSMB v1の脆弱性を悪用してファイルレス型バックドアを感染させてC&C(指揮統制)サーバーと通信、ユーザー情報や管理者の認証情報の搾取を行った例もあるという。このとき、ファイルレス型バックドアの解析でMATAプラグインが使われていることが発見されたという。ここでMATAフレームワークとVHDランサムウェアに接点が生まれ、Lazarusグループが日本を攻撃対象に含めて活動を活発化しているかもしれないという懸念が生じるわけだ。

VHDランサムウェアの感染経路の例

VHDランサムウェアの内部で発見されたMATA/Lazarusとの関連を示す情報
同氏は最後に対策として、基本となる対策を忠実に実施すること、具体的には「セキュリティアップデートの実施」「ウイルス対策製品の適切な使用」「EDR(エンドポイントの脅威検知とレスポンス)製品の導入」「ランサムウェア対策のバックアップ」「アクセスコントロールの見直し」の5項目を推奨している。