攻撃者をかく乱する大規模作戦 マルウェアDanaBot解体のてん末：Cybersecurity Dive

当局によると、ロシアを拠点とするサイバー犯罪グループに関連するマルウェアが世界中で30万台以上のコンピュータに感染したという。同マルウェアに対するかく乱作成の内容を確認しよう。

[David Jones，Cybersecurity Dive]

　米国当局はマルウェア「DanaBot」の背後にいるロシア系サイバー犯罪グループをかく乱する大規模な国際作戦のため、2025年5月22日（現地時間）に16人の被告を起訴した。

攻撃者をかく乱する大規模な作戦　DanaBot解体のてん末

　連邦検察官によると（注1）、DanaBotは世界中で30万台以上のコンピュータに感染し、詐欺やランサムウェア攻撃を助長して、5000万ドル以上の被害をもたらしているという。米国は複数の外国政府や民間のサイバーセキュリティ企業と連携し、botネットの運営者のインフラを解体した。

　司法省は39歳のアレクサンドル・ステパノフ氏（通称「JimmBee」）を共謀罪や電信詐欺、銀行詐欺の共謀を含む複数の罪で起訴した。34歳のアルテム・アレクサンドロヴィッチ・カリキン氏（通称「Onix」）は、不正アクセスと詐欺の共謀を含む複数の罪で起訴された。

　サイバーセキュリティ事業を営むProofpointによると、DanaBotはマルウェア・アズ・ア・サービス（MaaS）として運用されており、2018年に初めて発見された（注2）。DanaBotは「TA547」と呼ばれる脅威グループのお気に入りの不正プログラムだったが、その後、「TA571」や「TA564」を含む複数の脅威グループにも利用されるようになった。

　DanaBotは2020年半ばにほぼ姿を消したが、2023年12月に再び注目されるようになった。

　最近、DanaBotは運輸および物流企業を標的としたサイバー攻撃キャンペーンで確認されている。別の攻撃ではハッカーが旅行代理店になりすまし、ClickFixと呼ばれる技術を使ってDanaBotを利用していた。

　裁判資料によると、DanaBotは悪質な添付ファイルやハイパーリンクを含んだスパムメールを利用していたという。感染したコンピュータはbotネットの一部となり、運営者はユーザーに気付かれることなく遠隔操作できるようになるようだ。

　ハッカーたちはbotネットの第2バージョンを使って、北米や欧州の軍事組織や外交組織、政府機関をスパイしていた。

　DanaBotのかく乱は、「オペレーション・エンドゲーム」と呼ばれる大規模な作戦の一環だった。ドイツやオランダ、オーストラリアが米国と協力して捜査を実施し、AmazonやCrowdStrike、ESET、Googleなどの企業のサイバー研究者らも支援に加わった。

　Proofpointで脅威リサーチャーを務め、今回の作戦において重要な支援を提供したセレナ・ラーソン氏は声明で次のように述べた（注3）。

　「サイバー犯罪者へのかく乱や法執行機関による対応は、マルウェアの機能や利用を妨害するだけでなく、攻撃者に戦術の変更を強いる。それにより犯罪エコシステム内に不信感を生じさせ、最終的には犯罪者に別の職業を考えさせるきっかけになるのだ」

（注1）CRIMINAL COMPLAINT BY TELEPHONE OR OTHER RELIABLE ELECTRONIC MEANS（Department of Justice）
（注2）DanaBot - A new banking Trojan surfaces Down Under（Proofpoint）
（注3）A Brief History of DanaBot, Longtime Ecrime Juggernaut Disrupted by Operation Endgame（Proofpoint）

原文へのリンク