DarkGateによる攻撃、ベトナムのサイバー犯罪グループが関与 - ウィズセキュアがリサーチを発表

~ DucktailやDuckportなどの攻撃と同じ犯罪グループによるものと結論 ~

ウィズセキュア株式会社

2023-10-24 09:30

多様なユーザーベースと機能を備えているリモートアクセスのトロイの木馬 (RAT) であるDarkGateは少なくとも2018年にはサイバー攻撃に使用され始めており、現在はMaaS (Malware-as-a-Service = サービスとしてのマルウェア) として複数のサイバー犯罪グループに供給され、情報窃取、クリプトジャッキング、ランサムウェアの攻撃キャンペーンで観測されています。ウィズセキュアのリサーチチームは、これらの攻撃をトラッキングし、ベトナムを拠点に活動するサイバー攻撃グループがDarkGateに関与しているとしたリサーチ結果を発表しました。
多様なユーザーベースと機能を備えているリモートアクセスのトロイの木馬 (RAT) であるDarkGateは少なくとも2018年にはサイバー攻撃に使用され始めており、現在はMaaS (Malware-as-a-Service = サービスとしてのマルウェア) として複数のサイバー犯罪グループに供給され、情報窃取、クリプトジャッキング、ランサムウェアの攻撃キャンペーンで観測されています。

先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、ウィズセキュア) のリサーチチームは、これらの攻撃をトラッキングし、ベトナムを拠点に活動するサイバー攻撃グループがDarkGateに関与しているとしたリサーチ結果を発表しました。

ウィズセキュアのリサーチチームはイギリス、アメリカ、インドの企業/団体へのDarkGateを使用した複数の攻撃の試みを観測し、DarkGateの調査を開始しました。 ルアーファイル、テーマ、ターゲット、配信方法などの非技術的な指標に基づき、同リサーチチームが過去約1年半にわたって追跡してきたDucktailインフォスティーラーツールを使用する同じ攻撃グループによるものと特定することができました。同攻撃グループはまた、Ducktail、Duckport、Lobshot、Redline Stealerといったマルウェアを使用した攻撃にも関与していると考えられます。

ウィズセキュアでシニアスレットインテリジェンスアナリストを務めるStephen Robinson (スティーヴン・ロビンソン) は今回のリサーチについて次のように語っています。
「当社が観測したDarkGateの攻撃は、非常に強力な識別子を持っています。この識別子によって、これらの攻撃と、Ducktailを含む他のインフォスティーラーやマルウェアを使用したさまざまな攻撃との関連を特定することができました。私たちが観測した内容から、Meta Businessのアカウントを標的としたいくつかのキャンペーンの背後には、単一の攻撃グループがいる可能性が非常に高いです。」

同グループによるさまざまな攻撃キャンペーンで使用されているルアーや悪意のあるファイルには、以下のようなメタデータが含まれています:
● LNKドライブID
● Canva PDFデザインサービス アカウント詳細
● MSIファイルのメタデータ

Robinsonはまた、サイバー犯罪グループが購入可能な攻撃サービスの増加により、防御側としては、攻撃で使用されるツールの種類だけでは誰が攻撃者なのかを特定できない状況が生まれていると話しています。
「DarkGateは長期にわたり存在しており、ベトナムの攻撃グループやクラスターだけでなく、さまざまな目的のために多くのグループによって使用されています。その反面、攻撃者は1つのキャンペーンのために複数のツールを使用することがあるため、マルウェアベースの分析からのみでは、活動の真の範囲が特定できない可能性があります。防御側は常にそれを考慮して対策を講じる必要があるのです。」

リサーチの全文 (英語) は以下のWithSecure Labsブログページにてご覧いただけます:
(リンク »)

このプレスリリースの付帯情報

WitSecure-DarkGate

用語解説

WithSecureについて
ウィズセキュアは、ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社から、業務を保護し成果を出すサイバーセキュリティパートナーとして大きな信頼を勝ち取っています。私たちはAIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を検出し、当社のセキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、テクノロジーに挑戦する企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。当社は30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を活かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。
1988年に設立されたウィズセキュアは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。
詳細は www.withsecure.com をご覧ください。また、X (旧Twitter) アカウント @WithSecure_JP でも情報の発信をおこなっています。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]