Silence:ガンのように静かに広がる新たな標的型攻撃

金融機関を狙う新たなトロイの木馬が発見されました。契約書に見せかけた悪意あるファイルを送りつけるという手口で、ロシアの銀行などが攻撃を受けています。

トロイの木馬を使って金融機関を狙う新たな標的型攻撃「Silence」を、Kaspersky Labのエキスパートが発見しました。最初に被弾したのはロシアの銀行ですが、マレーシアや米国の組織も感染しています。

戦術的には、金融系APT活動の標準とも言える悪名高きCarbanakと非常によく似ています。Carbanakは、銀行や金融機関の職員宛てに悪意ある添付ファイルをフィッシングメールで送信し、従業員をスパイし、突然不正な取引を実行します。実績あるこの手口はすでに10億ドルもの収益をもたらしたわけですから、採用しない手はありません。

ただし、今回の攻撃者はフィッシングメールの確度を高めてきました。組織のインフラに感染し、確実に侵入できたことを確認すると、銀行のパートナーに「契約書」メールを送信し始めます。次の標的となる人物が受け取るのは、銀行に勤務する実在人物からのフィッシングメールです。これにより、悪意ある添付ファイルがクリックされる可能性は格段に上がります。

Silenceの仕組み

標的となった金融機関の職員宛てに送られた「契約書」は、「.chm」という拡張子のMicrosoftのヘルプファイルでした。埋め込まれていたHTMLファイルには、ドロッパー(別のソフトウェアを密かにダウンロードするマルウェア)をダウンロードして起動する不正なJavaScriptコードが含まれており、そのドロッパーが、Windowsサービスとして動作するトロイの木馬Silenceのモジュール群をダウンロードします。モジュール群を調査したところ、制御と監視を担当するモジュールや、画面を記録するモジュール、指令サーバーと通信するモジュール、さらに、コンソールコマンドをリモート実行するためのプログラムもありました。

これらのモジュールを使って、攻撃者は感染ネットワークに関する情報を収集し、職員の端末画面を記録します。最初は全員を監視しますが、その後は有益な金融情報を保有していそうな職員の監視にシフトします。そして、標的の情報システムの仕組みを十分把握したところで、攻撃者の銀行口座に送金を開始します。

技術的な詳細やIOCについては、Securelistの記事(英語)をご覧ください。

Silenceの攻撃から企業を守る方法

ここまで見てきたように、外部から送られてきたメールの添付ファイルを開かないよう従業員に注意するだけでは十分な対策になりません。金融機関が最新のサイバー脅威から身を守るには、次の対策をお勧めします。

  1. トレーニング講座やワークショップを開催し、従業員の意識向上を図ります。たとえば当社では「Kaspersky Security Awareness」を提供しています。これは脅威についての座学というよりも、攻撃シミュレーションによる実践的な演習を行うトレーニング講座で、従業員の実践力の向上を支援します。
  2. ネットワーク内の異常を深いレベルで検知する製品を利用します。当社の「Kaspersky Anti Targeted Attack」は、その一例です。このセキュリティソリューションは、未知の手口を採用している標的型攻撃であっても検知することができます。

 

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?