Kasperskyの報告によると以前から北朝鮮政府の関与が疑われている「Lazarus」の攻撃ツール「Dtrack」が新たに判明した。報告によれば標的にされたのは金融機関や研究施設の様だ。

「Lazarus」は有名なサイバー攻撃集団で2017年に大問題となったWannaCryやソニーへの攻撃に関与したとされている。以前より北朝鮮政府との関与が指摘されており、これによりアメリカは経済制裁を行っている。

今回あらたにインドの金融機関や研究施設にてLazarusが作ったとされる新種の「リモートアクセスツール（RAT）」である「Dtrack」が確認された。、

同社によれば、同マルウェアは無害な実行ファイルの中に暗号化したコードを埋め込むことで配布され2019年9月に入ってからも同マルウェアを用いた活動が確認されているという。

感染後は、入力したデータを盗聴するキーロガーの役目を持つと共に、デバイスの制御まで可能にするという。また亜種によっても様々な動作が確認されておりC＆Cサーバへ送信するものもあるという。

報告によれば今回の事件はインドのATMを狙って同グループが展開したマルウェア「ATMDtrack」の分析により判明した

「ATMDtrack」は、ATMへ挿入されたカード情報を盗み出すマルウェアでKasperskyは2018年より同マルウェアの調査を進めていたが、関連する180超のあらたなサンプルを解析した際、類似点とATMを標的にしていない行動を確認したとのこと。

同社は、「ATMDtrack」や今回発見した「Dtrack」は、「DarkSeoul」とも類似点が見られた点についても指摘している。同社はこれにより「Lazarus」が未だに活発に活動しており警戒していかなければならないとしている。