Kaspersky Lab、金融機関を標的にした新たなサイバー犯罪グループ「Silence」を発見

2017年11月07日
ウイルスニュース

~悪名高いCarbanakの攻撃手法と類似~

[本リリースは、2017年11月1日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labのグローバル調査分析チーム(GReAT) のリサーチャーは、2017年9月、ロシア、アルメニア、マレーシアを含む複数の国の少なくとも10ヶ所の金融機関を標的にした、新たなサイバー犯罪グループ「Silence(サイレンス)」による標的型攻撃を確認しました。Silenceの金銭窃取プロセスは、悪名高いサイバー犯罪グループ「Carbanak(カーバナック)」と類似した攻撃手法を利用しています。攻撃は現在も続いています。

Silenceは、金融機関から数百万ドルの金銭強奪に成功したCarbanakをはじめ、MetelやGCMANなど高度な技術を持つサイバー犯罪グループと類似した攻撃手法を用いています。これらの犯罪グループの多くは、まず銀行の内部ネットワークへの永続的なアクセス権を取得し、通常の業務を監視し、銀行ネットワークの詳細を調査した上で、条件が整ったときにそれまでに収集したすべての情報を悪用して大金を盗み出すというテクニックを使用しています。また、スピア型フィッシングメールを使って標的のインフラに侵入しています。これはSilenceの手口とまったく同じです。

電子メールに添付された悪意あるファイルは、非常に巧妙なものです。標的となった人物がメールの添付ファイルを開くと一連のダウンロードが始まり、最後にドロッパーが実行されます。次に、指令サーバーと通信して、感染した端末のIDを送信し、悪意あるペイロードをダウンロードして実行し、画面の録画、データアップロード、クレデンシャル情報の盗用、遠隔管理など様々なタスクを行います。

興味深いことに、攻撃者はすでに感染した金融機関のインフラを使ってさらに新しい攻撃を行います。実在する従業員のアドレスを使って新たな標的となる人物へメールを送信し、銀行口座を開設するよう依頼することにより、受信者に感染経路を気づかせず、怪しまれないようにします。

攻撃者がネットワークへのアクセス権を取得すると、調査を開始します。標的端末のスクリーンショットの撮影やリアルタイムビデオストリームによって、すべての活動を監視していました。このような活動は、標的となった人物の通常業務を把握して、金銭を盗むための十分な情報を入手するという目的のために使用されます。このプロセスと方法は、Carbanakの手口と酷似しています。

この攻撃で使用されたウイルスの調査で見つかった言語のアーチファクトに基づき、Kaspersky Labのリサーチャーは、Silenceによる悪意ある攻撃にはロシア語が使用されていたと結論づけました。

Kaspersky Labのエキスパートであるセルゲイ・ロズキン(Sergey Lozhkin)は、次のように述べています。「Silenceは、サイバー犯罪が銀行の利用者ではなく、銀行を直接攻撃する方向へシフトしつつある傾向を示す新たな事例です。このような攻撃は近年増加しており、より巧妙な標的型攻撃を扱うサイバー犯罪グループが登場し、成功しています。最も懸念すべき点は、攻撃者の侵入が見えないため、銀行ごとのセキュリティ設計の特性に関係なく、このような攻撃が成功してしまうことです。」

Kaspersky Labのエキスパートは、企業や組織がサイバー攻撃から身を守るため、以下の対策を実施するよう推奨しています。

  • あらゆるタイプの異常を検出し、より深いレベルで不審なファイルを精査し、複雑な攻撃を洗い出し、識別して発見するために、高度な脅威に対応している専用ソリューションを使用する。
  • 不適切なシステム設計や、固有アプリケーションにおけるエラーなど、すべてのセキュリティーホールを解消する。
  • 厳格なメール処理ルールを設定し、フィッシング、悪意ある添付ファイル、スパムに特化したセキュリティ製品を有効にする。

Silenceと脅威存在痕跡(Indicators of Compromise :IOC)についての詳細は、Securelistブログ「Silence – a new Trojan attacking financial organizations」(英語)をご覧ください。

※ Global Research and Analysis Team(GReAT、グレート
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。