フィンランドに拠点を置くセキュリティ企業WithSecureの日本法人ウィズセキュアは10月24日、リモートアクセスのトロイの木馬(RAT)「DarkGate」の攻撃を追跡し、ベトナムを拠点に活動するサイバー攻撃グループが関与しているとのリサーチ結果を発表した。
DarkGateは、多様なユーザーベースと機能を備えているRAT。少なくとも2018年にはサイバー攻撃に使用され始めており、現在はサービスとしてのマルウェア(MaaS)として複数のサイバー犯罪グループに供給され、情報窃取、クリプトジャッキング、ランサムウェアの攻撃キャンペーンで観測されているという。
WithSecureは、英国、米国、インドの企業・団体へのDarkGateを使用した攻撃の試みを観測し、調査を開始したという。ルアーファイル、テーマ、ターゲット、配信方法などの非技術的な指標に基づき、インフォスティーラーツール「Ducktail」を使用する同一攻撃グループによるものと特定できたと同社は説明する。この攻撃グループは、「Duckport」「Lobshot」「Redline Stealer」といったマルウェアを使用した攻撃にも関与していると考えられるという。
WithSecureでシニアスレットインテリジェンスアナリストを務めるStephen Robinson氏によると、同社が観測したDarkGateの攻撃は、非常に強力な識別子を持っており、この識別子によって、これらの攻撃と、Ducktailを含む他のインフォスティーラーやマルウェアを使用したさまざまな攻撃との関連を特定できたという。「Meta Businessのアカウントを標的とした幾つかのキャンペーンの背後には、単一の攻撃グループがいる可能性が非常に高い」(同氏)
同グループによるさまざまな攻撃キャンペーンで使用されているルアーや悪意のあるファイルには、「LNKドライブID」「Canva PDFデザインサービスアカウント詳細」「MSIファイルのメタデータ」といったメタデータが含まれているという。
サイバー犯罪グループが購入可能な攻撃サービスの増加により、防御側としては、攻撃で使用されるツールの種類だけでは誰が攻撃者なのかを特定できない状況が生まれているとRobinson氏は話す。
「DarkGateは長期にわたり存在しており、ベトナムの攻撃グループやクラスターだけでなく、さまざまな目的のために多くのグループによって使用されている。その反面、攻撃者は1つのキャンペーンのために複数のツールを使用することがあるため、マルウェアベースの分析からのみでは、活動の真の範囲が特定できない可能性がある。防御側は常にそれを考慮して対策を講じる必要がある」(同氏)
