FIN7関係者は逮捕されるも、悪意ある活動は続く

2019年5月16日

昨年、サイバー犯罪グループ「FIN7」および「Carbanak」の主犯格とみられる犯罪者数名が、欧州刑事警察機構(ユーロポール)と米司法省に逮捕されました。当該グループの活動に終止符が打たれたと各種報道機関が報じましたが、当社のエキスパートは現在も活動の兆候を検知しています。それだけでなく、類似のツールキットおよび同一のインフラを使用する、相互に関連性のあるグループも数を増やしています。この記事では、そうしたグループが主に使用するツールや手口を紹介し、ビジネスを守るためのアドバイスをお届けします。

FIN7

FIN7は、企業を攻撃して財務データやPoSシステムにアクセスすることを専門にしています。同グループは、高度なソーシャルエンジニアリングの手法を用いたスピアフィッシングを通じて活動します。たとえば、あらかじめ標的と普通のメッセージを何度もやりとりして、警戒を緩めさせた上で、悪意あるドキュメントを送りつけます。

大半のケースでは、マクロを仕込んだ悪意あるドキュメントを使用して標的のコンピューターにマルウェアをインストールし、指定のスケジュールで実行するタスクを設定してマルウェアを持続させます。このマルウェアはモジュールを受信し、システムメモリ内で実行します。当社では、情報を収集するモジュール、追加のマルウェアをダウンロードするモジュール、スクリーンショットを撮影するモジュール、同じマルウェアの別インスタンスを(最初に感染したマルウェアが検知された場合に備えて)レジストリ内に保存するモジュールを検知しています。当然ながら、犯罪者たちが別のモジュールを作成する可能性はあります。

CobaltGoblin/Carbanak/EmpireMonkeyグループ

使用するツールや手法が似ていても、標的が異なる犯罪グループもいます。このグループが標的とするのは、銀行と、バンキングや決済処理のソフトウェアの開発会社です。Carbanak(またはCobaltGoblin、EmpireMonkey)グループは主に、標的のネットワーク内部に足がかりを作り、その上で金銭目的に利用できる情報を所有するエンドポイントを見つけるという戦略をとっていました。

AveMariaボットネット

AveMariaは、情報窃取に使用される新しいボットネットです。感染したマシンは、ブラウザー、メールクライアント、メッセンジャーといったさまざまなソフトウェアから認証情報を集められるだけ集め、キーロガーとしても動作します。

このボットネットを操る犯罪者グループは、ペイロードを送り込むためにスピアフィッシング、ソーシャルエンジニアリング、悪意ある添付ファイルを利用します。当社のエキスパートは、用いる手法とコマンドアンドコントロールシステムの類似性から、このグループとFin7の間につながりがあるのではないかと考えています。また、標的の分布からも両者のつながりが推測されます。標的の30%は大企業に物品やサービスを納入する中小企業で、21%は各種製造業でした。

CopyPaste

当社のエキスパートは、アフリカ某国の金融機関や企業を標的とした「CopyPaste」というコードネームで呼ばれる一連の活動を発見しました。この活動に関わる者たちは、Fin7と似た手法やツールをいくつか使用していました。ただし、オープンソースのツールを使用していただけで、FIN7と実質的なつながりはないという可能性もあります。

脅威存在痕跡(IoC)など、技術情報の詳細については、Securelistの記事(英語)をご覧ください。

対策

  • フィッシング攻撃を検知しブロックすることに特化した機能を持つセキュリティ製品を使用しましょう。Kaspersky Endpoint Security for Businessには、企業のオンプレミスのメールシステムを保護するアプリケーションが含まれています。
  • セキュリティに対する認知向上と実践的スキル習得のトレーニングを導入しましょう。Kaspersky Security Awarenessなどのプログラムは、スキルの強化やフィッシング攻撃のシミュレーションに役立ちます。
  • 今回取り上げた犯罪グループはいずれも、企業のIT環境の中でパッチが未適用になっていたシステムを大いに活用しています。そのような悪用の余地を減らすため、しっかりとしたパッチ適用戦略を持ち、重要なソフトウェアに自動的にパッチを適用できるKaspersky Endpoint Security for Businessなどのセキュリティ製品を利用しましょう。