サイバー犯罪グループ「Fin7」、リーダー逮捕後もソーシャルエンジニアリングを利用し130超の企業を標的に

[本リリースは、2019年5月8日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム（GReAT）^※は、悪名高いサイバー犯罪グループFin7/Carbanakによる、GRIFFONマルウェアを使用した新たな攻撃を発見しました。当グループは、2018年にリーダー数人が逮捕されたことで解散したと考えられていました。GReATのリサーチャーは、Fin7が傘下で活動するグループ数を増やし、手口を巧妙化させ、さらには正規のセキュリティベンダーを名乗って専門性の高い従業員を採用し、彼らをだまして金融資産の窃盗に加担させているものとみています。

Fin7は、2015年半ば以降、悪名高いCarbanakグループと密接に連携してツールや手口を共有しながら、米国の小売、飲食、ホスピタリティ分野に攻撃を仕掛けているとみられています。Carbanakの標的のほとんどが銀行である一方で、Fin7は主に一般企業を標的としており、デビッドカードの認証情報や財務部のコンピューターアカウント情報などを窃取して、数百万ドルの金融資産を盗んだ可能性があります。Fin7は電信送金を利用し、海外口座に送金していました。

今回のKaspersky Labの調査では、Fin7は2018年にリーダー格とみられるメンバーが逮捕された後も活動を続けていることが判明しています。高度なスピアフィッシング攻撃を実行し、標的ごとに特化したメールを通じてマルウェアを配信する、あるいは、標的とした組織と数週間にわたってメッセージをやり取りした後に、マルウェアを含んだドキュメントを添付して送信します。GReATのリサーチャーは、Fin7がこのようなソーシャルエンジニアリングを使って、2018年末までに130を超える企業を標的にしたと推定しています。

また、Fin7の傘下で別のサイバー犯罪グループが活動していることも明らかになりました。インフラストラクチャを共有し、同じ戦術、テクニックと手順、すなわちTTPを使用していることから、Fin7はボットネット「AveMaria」と、ヨーロッパおよび中米の銀行を標的とした窃盗に関するとみられるサイバー犯罪グループ「CobaltGoblin」および「EmpireMonkey」と連携していると考えられます。

さらに、GReATのリサーチャーは、Fin7が偽の会社を設立し、ロシア全土に事業所を展開する正規のサイバーセキュリティベンダーを名乗っていることも確認しています。この会社のWebサイトは、Fin7が指令サーバーとして使用しているものと同じサーバーに登録されています。この会社では、正規の求人サイトでリモート勤務のフリーランスの脆弱性リサーチャー、プログラム開発者や通訳者を採用しています。この会社に勤務した多くの人は、自身がサイバー犯罪ビジネスに関与したとは思いもよらずに、この組織での勤務経験を履歴書に記載しています。

Kaspersky LabのGReAT セキュリティリサーチャー、ユーリ・ナメスニコフ（Yury Namestnikov）は次のように述べています。「現代のサイバー脅威は、神話に登場するレルネー沼の怪獣ヒュドラに例えることができます。頭を1つ切り落としても、新たに2つ生えてくるのです。このようなサイバー犯罪行為から自らを守る最善の方法は、セキュリティに高度な多層型防御を導入することです。ソフトウェアパッチがリリースされたらすべてを速やかにインストールし、すべてのネットワーク、システム、デバイスでセキュリティ分析を定期的に実施することです」

詳しくは、Securelistブログ「FIN7.5:the infamous cybercrime rig"FIN7"continues its activities」（英語）をご覧ください。

※ Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。