RTMの新たな攻撃:古いトロイの木馬と新種のランサムウェア

ランサムウェア、バンキング型トロイの木馬、リモートアクセスツールを使用したRTMグループの攻撃活動。

当社エキスパートは、かなり多数のツールが絡む悪意ある活動を検知しました。バンキング型トロイの木馬、ランサムウェアQuoter(当社システムでは過去に遭遇したことがなかったもの)、正規のリモートアクセスプログラム(LiteManagerおよび RMSですが、それ以外にもある可能性あり)などが使用されています。この活動に関わるサイバー犯罪者たちは、RTMグループと関連があります。

攻撃

攻撃の端緒となるのは、よくあるフィッシングメールです。攻撃者は、ドキュメントのように見えて実はバンキング型トロイの木馬(検知名:Trojan-Banker.Win32.RTM)であるファイルを、メールで送りつけます。このファイルを開かせるため、メールの件名には受信者(企業に勤める人)の目を引くような文言が入っています。当社エキスパートは以下の文言を確認しています。

  • Subpoena(召喚状)
  • Refund request(返金請求)
  • Closing documents(決算文書)
  • Copies of documents for last month(先月の書類のコピー)

このトロイの木馬自体は新しいものではなく、当社が定期的に発表する脅威レポートでは、2018年以来(英語)、常にバンキング型マルウェアファミリーのTop 10内に入っています。添付ファイルをクリックするとこのトロイの木馬がインストールされ、それがさらに別のハッキングツールをコンピューターへとダウンロードするという仕組みです。

続いて、サイバー犯罪者たちはネットワーク上で経理担当者のコンピューターを探索し、自分たちの用意したバンキング情報を正しいバンキング情報と差し替えることでリモートバンキングシステムを操作しようとします。こうしたふるまいは、RTMでは珍しくありません。興味深いことに攻撃者は、バックアッププランとしてランサムウェアQuoter(検知名:Trojan-Ransom.Win32.Quoter)を起動します。「Quoter」の名は、暗号化したファイルのコード内に映画の台詞を挿入する(quote)ことから付けられました。

最近のランサムウェア攻撃の例に漏れず、RTMも情報を抜き取り、身代金が期日までに払われなければこの情報を公開すると脅します。

標的

これまでに当社エキスパートが把握している範囲では、被害に遭ったのは数十社、いずれもロシアで操業する運輸関連および金融サービス関連の企業です。しかし、初期感染からランサムウェア発動(攻撃の存在が明らかになるとき)までの期間が数か月にわたる可能性があることから、被害者数は今後増えると考えられます。この潜伏期間の間、攻撃者は侵入先のネットワークを探索し、リモートバンキングシステムを使用するコンピューターを探します。

同様の攻撃は、他地域の企業にも及ぶ可能性があると考えられます。Quoterが引用する映画の台詞は英語であり、引用自体には特に意味はありませんが、英語での引用は攻撃者たちが国際的な視野を持っていることを示唆しています。この活動の技術的詳細および脅威存在痕跡(IoC)については、Securelistの記事(ロシア語)をご覧ください。

対策

効果的な防御は社員教育から始まります。この種の攻撃は、フィッシングメールがきっかけとなることがほとんどです。こういった攻撃や攻撃者が侵入によく使う手口に関する知識があれば、フィッシングメールにだまされる可能性は小さくなります。

企業ネットワークを通じた侵入の横展開や正規ツールの悪用をタイムリーに検知するため、複雑な攻撃を特定するためのソリューションの導入をお勧めします。

これに加え、全従業員のコンピューター(特に銀行のシステムを使用するのに使われるコンピューター)には、既知の脅威も新たに出現した脅威も検知可能なセキュリティソリューションを導入してください。

当社の製品は、バンキング型トロイの木馬RTMとランサムウェアQuoterの双方を、検知およびブロックします。

ヒント