メインコンテンツにスキップする

Kaspersky、Telegramを使用しフィンテック関連チャンネルの参加者を標的とする世界規模の攻撃活動を発見

2024年11月6日

APT攻撃グループ「DeathStalker」による攻撃活動は、フィンテックや金融サービスの電子取引に携わる個人や企業を標的にしています。従来のフィッシング手法ではなくTelegramのチャンネルを利用することで、ユーザーを信頼させて悪意のあるファイルを開かせていました。

[本リリースは、2024年10月30日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム(GReAT)はこのたび、インスタントメッセージアプリのTelegramを使用してトロイの木馬型スパイウェアを配布する、APT(持続的標的型)攻撃グループDeathStalker(デスストーカー)」による世界規模の新たな攻撃活動を発見しました。この攻撃活動は、フィンテックや金融サービスの電子取引に携わる個人や企業を標的にしており、配布されるマルウェアは、パスワードなどの機密性の高いデータを窃取し、ユーザーのデバイスを乗っ取ってスパイ行為を行うように設計されています。従来のフィッシング手法ではなく、メッセージングアプリのチャンネルが利用されていたことは、ユーザーが送信者を信頼し、悪意のあるファイルを開く可能性が高くなり、さらに、メッセージングアプリ経由でファイルをダウンロードする場合はセキュリティ警告が表示されることが少ないことから、攻撃者にとっては好都合です。

GReATのリサーチャーは、この攻撃活動は専門的なハッキングと金融インテリジェンスのサービスを提供する悪名高いhack-for-hire(雇われハッカー)型のAPT攻撃グループであるDeathStalkerと関連があるとみています。最近観測した相次ぐ攻撃において、攻撃グループは標的をリモートアクセス型トロイの木馬(RAT)マルウェアの「DarkMe」に感染させていました。リサーチャーの解析では、このマルウェアは感染させたデバイスから情報を窃取し、サイバー犯罪者が管理するサーバーから遠隔でさまざまなコマンドを実行するように設計されていました。この攻撃活動は少なくとも2023年10月から継続しており、最新の痕跡は2024年8月に確認しています。

この攻撃活動の技術的な特徴から、DarkMeがTelegram内のフィンテックや株式、暗号資産(仮想通貨)などのトピックに特化したチャンネル経由で配布された可能性が高く、攻撃者はこのような分野に携わるユーザーを標的にしていたとみています。攻撃活動は世界規模のもので、欧州、アジア、ラテンアメリカ、中東の20カ国以上で標的となったユーザーを確認しています。現在のところ、日本での攻撃活動は確認されていません。

リサーチャーが感染チェーンを解析した結果、攻撃者はTelegramのチャンネルの投稿に悪意のあるアーカイブファイルを添付していたと推測しています。RARファイルやZIPファイルなどのアーカイブ自体は有害ではないものの、そのファイルの中に「.LNK」「.com」「.cmd」などの拡張子がついた有害なファイルが含まれていました。標的となった人がこのようなファイルを実行すると、一連の動作により最終段階のマルウェアDarkMeがインストールされます。一方で攻撃者は、感染させたデバイスが標的に値しないと判断した場合、マルウェアを終了させるキルコマンドを送信することがあり、逆にスパイ活動の対象として適していると判断した場合は、追加のツールを展開することがあります。

マルウェアの配布にTelegramを使用することに加えて、攻撃者は運用上の自身のセキュリティ確保と感染させた後のクリーンアップという点でも攻撃手法を改善しています。当マルウェアは、インストールされた後、DarkMeインプラントを展開するために使用したファイルなどを削除していました。さらなる解析を阻止し検知を回避するために、攻撃者はDarkMeインプラントのファイルサイズを増やすほか、目的を達成した後に、侵入後の展開に使用したファイルやツール、レジストリキーなどの痕跡も削除していました。

かつては「Deceptikons」という名前で知られていたDeathStalkerは、少なくとも2018年から活動しているグループで、さらにさかのぼること2012年から活動していた可能性があります。このグループは、自前のツールセットを開発する能力とAPTエコシステムへの理解を備えた能力の高いメンバーを擁する、hacke-for hireのグループであると考えられています。主な目標は、自分たちの顧客に提供するための競合情報やビジネスインテリジェンスの目的で、企業情報、金融情報、プライベートな個人情報を収集することです。多くの場合、中小規模企業、金融企業、フィンテック企業、法律事務所を標的としており、数は少ないものの、政府機関を標的とするケースもあります。しかし、このような対象を標的としながらも、DeathStalkerが資金を窃取する行為は観測していないため、当社は、DeathStalkerは民間のインテリジェンス組織であると考えています。

またこのグループには、ほかのAPT攻撃者を模倣することで「偽旗作戦」を用い、自らの活動を特定されることを回避しようとする興味深い傾向も見受けられます。

KasperskyのGReATでリードセキュリティリサーチャーを務めるマーヘル・ヤマウト(Maher Yamout)は、次のように述べています。「今回のマルウェアの配布には、従来のフィッシング手法ではなく、Telegramのチャンネルが利用されていました。以前もこのグループによる攻撃活動がSkypeなどのメッセージングプラットフォームを初期感染経路として使用していたケースを観測しており、フィッシングサイトを用いるよりも標的ユーザーが送信者を信頼し、悪意のあるファイルを開く可能性が高くなると考えられます。さらに、メッセージングアプリ経由でファイルをダウンロードする場合は、通常のインターネットからダウンロードする場合よりもセキュリティ警告が表示されることが少ないと考えられ、この点も攻撃者にとっては好都合です。まずは不審なメールやリンクに注意するようにアドバイスしていますが、TelegramやSkypeなどのインスタントメッセージアプリに対しても警戒が必要です」

※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

 

Kaspersky、Telegramを使用しフィンテック関連チャンネルの参加者を標的とする世界規模の攻撃活動を発見

APT攻撃グループ「DeathStalker」による攻撃活動は、フィンテックや金融サービスの電子取引に携わる個人や企業を標的にしています。従来のフィッシング手法ではなくTelegramのチャンネルを利用することで、ユーザーを信頼させて悪意のあるファイルを開かせていました。
Kaspersky logo

カスペルスキーについて

カスペルスキーは、1997年に設立されたグローバル企業です。サイバーセキュリティの普及と、デジタルライフにおけるプライバシーの保護を目的として活動しています。カスペルスキーは、「サイバーイミュニティ」というアプローチで業界の革新を推進し、サイバー脅威から一般ユーザー、企業、重要インフラ、政府を保護しています。これまでに保護したデバイスは、10億台を超えています。

カスペルスキーが実現するのは、「Cybersecurity True to Business」です。明確な成果の達成、収益の保護、業務負荷の軽減、ダウンタイムの防止に重点を置いています。カスペルスキーの高度な脅威インテリジェンスとセキュリティに関する専門知識は、あらゆる規模の組織に向けた革新的なソリューションやサービスという形で、絶えず具現化され続けています。小規模企業から大規模企業に至るまで、あらゆる規模をカバーする保護を、実績あるAI駆動型の保護技術と、シンプルな管理機能、エキスパートによるサポートの組み合わせで実現しています。

カスペルスキーは、独立系機関によるテストで高い評価を得ており、世界各地の数百万人の個人ユーザーや約20万の組織から信頼されています。脅威の早期検知、機動的な対応、高い信頼性と自由度が確保された運用を支援し、お客様にとって最も大切なものを守ります。詳細は、www.kaspersky.comをご覧ください。

関連記事 ウイルスニュース