Kaspersky、Telegramを使用しフィンテック関連チャンネルの参加者を標的とする世界規模の攻撃活動を発見
PR TIMES / 2024年11月10日 23時40分
[本リリースは、2024年10月30日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、インスタントメッセージアプリのTelegramを使用してトロイの木馬型スパイウェアを配布する、APT(持続的標的型)攻撃グループ「DeathStalker(デスストーカー)」による世界規模の新たな攻撃活動を発見しました。この攻撃活動は、フィンテックや金融サービスの電子取引に携わる個人や企業を標的にしており、配布されるマルウェアは、パスワードなどの機密性の高いデータを窃取し、ユーザーのデバイスを乗っ取ってスパイ行為を行うように設計されています。従来のフィッシング手法ではなく、メッセージングアプリのチャンネルが利用されていたことは、ユーザーが送信者を信頼し、悪意のあるファイルを開く可能性が高くなり、さらに、メッセージングアプリ経由でファイルをダウンロードする場合はセキュリティ警告が表示されることが少ないことから、攻撃者にとっては好都合です。
--------------
GReATのリサーチャーは、この攻撃活動は専門的なハッキングと金融インテリジェンスのサービスを提供する悪名高いhack-for-hire(雇われハッカー)型のAPT攻撃グループであるDeathStalkerと関連があるとみています。最近観測した相次ぐ攻撃において、攻撃グループは標的をリモートアクセス型トロイの木馬(RAT)マルウェアの「DarkMe」に感染させていました。リサーチャーの解析では、このマルウェアは感染させたデバイスから情報を窃取し、サイバー犯罪者が管理するサーバーから遠隔でさまざまなコマンドを実行するように設計されていました。この攻撃活動は少なくとも2023年10月から継続しており、最新の痕跡は2024年8月に確認しています。
この攻撃活動の技術的な特徴から、DarkMeがTelegram内のフィンテックや株式、暗号資産(仮想通貨)などのトピックに特化したチャンネル経由で配布された可能性が高く、攻撃者はこのような分野に携わるユーザーを標的にしていたとみています。攻撃活動は世界規模のもので、欧州、アジア、ラテンアメリカ、中東の20カ国以上で標的となったユーザーを確認しています。現在のところ、日本での攻撃活動は確認されていません。
リサーチャーが感染チェーンを解析した結果、攻撃者はTelegramのチャンネルの投稿に悪意のあるアーカイブファイルを添付していたと推測しています。RARファイルやZIPファイルなどのアーカイブ自体は有害ではないものの、そのファイルの中に「.LNK」「.com」「.cmd」などの拡張子がついた有害なファイルが含まれていました。標的となった人がこのようなファイルを実行すると、一連の動作により最終段階のマルウェアDarkMeがインストールされます。一方で攻撃者は、感染させたデバイスが標的に値しないと判断した場合、マルウェアを終了させるキルコマンドを送信することがあり、逆にスパイ活動の対象として適していると判断した場合は、追加のツールを展開することがあります。
マルウェアの配布にTelegramを使用することに加えて、攻撃者は運用上の自身のセキュリティ確保と感染させた後のクリーンアップという点でも攻撃手法を改善しています。当マルウェアは、インストールされた後、DarkMeインプラントを展開するために使用したファイルなどを削除していました。さらなる解析を阻止し検知を回避するために、攻撃者はDarkMeインプラントのファイルサイズを増やすほか、目的を達成した後に、侵入後の展開に使用したファイルやツール、レジストリキーなどの痕跡も削除していました。
かつては「Deceptikons」という名前で知られていたDeathStalkerは、少なくとも2018年から活動しているグループで、さらにさかのぼること2012年から活動していた可能性があります。このグループは、自前のツールセットを開発する能力とAPTエコシステムへの理解を備えた能力の高いメンバーを擁する、hacke-for hireのグループであると考えられています。主な目標は、自分たちの顧客に提供するための競合情報やビジネスインテリジェンスの目的で、企業情報、金融情報、プライベートな個人情報を収集することです。多くの場合、中小規模企業、金融企業、フィンテック企業、法律事務所を標的としており、数は少ないものの、政府機関を標的とするケースもあります。しかし、このような対象を標的としながらも、DeathStalkerが資金を窃取する行為は観測していないため、当社は、DeathStalkerは民間のインテリジェンス組織であると考えています。
またこのグループには、ほかのAPT攻撃者を模倣することで「偽旗作戦」を用い、自らの活動を特定されることを回避しようとする興味深い傾向も見受けられます。
KasperskyのGReATでリードセキュリティリサーチャーを務めるマーヘル・ヤマウト(Maher Yamout)は、次のように述べています。「今回のマルウェアの配布には、従来のフィッシング手法ではなく、Telegramのチャンネルが利用されていました。以前もこのグループによる攻撃活動がSkypeなどのメッセージングプラットフォームを初期感染経路として使用していたケースを観測しており、フィッシングサイトを用いるよりも標的ユーザーが送信者を信頼し、悪意のあるファイルを開く可能性が高くなると考えられます。さらに、メッセージングアプリ経由でファイルをダウンロードする場合は、通常のインターネットからダウンロードする場合よりもセキュリティ警告が表示されることが少ないと考えられ、この点も攻撃者にとっては好都合です。まずは不審なメールやリンクに注意するようにアドバイスしていますが、TelegramやSkypeなどのインスタントメッセージアプリに対しても警戒が必要です」
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはhttps://www.kaspersky.co.jp/をご覧ください。
[画像: https://prcdn.freetls.fastly.net/release_image/11471/444/11471-444-f730a20e90c56dc509624d8464d6d53f-650x325.jpg?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
GmailやGoogle Drive、Outlookからデータ窃取する中国の脅威グループに注意
マイナビニュース / 2024年10月29日 18時11分
-
APT攻撃グループ「Lazarus」が、Google Chromeのゼロデイ脆弱性を悪用し暗号資産を窃取していたことを発見
PR TIMES / 2024年10月27日 22時40分
-
偽ゲームサイトでマルウェアに感染、Chromeユーザーが標的
マイナビニュース / 2024年10月24日 18時12分
-
チェック・ポイント・リサーチ、2024年9月に最も活発だったマルウェアを発表 RansomHubが猛威を振るい続ける一方、AIを活用したマルウェアが増加中
PR TIMES / 2024年10月21日 15時45分
-
Kaspersky、バックドア「PipeMagic」を使用した企業を狙う攻撃活動の再開を確認
PR TIMES / 2024年10月18日 16時40分
ランキング
-
1船井破産決定に即時抗告 原田氏、再生可能と主張
共同通信 / 2024年11月12日 22時20分
-
2“103万円の壁”見直しに「7兆円は相当厳しい」経済同友会・新浪氏…税収減で指摘
日テレNEWS NNN / 2024年11月12日 18時54分
-
3四国停電、関電と連携ミスが原因 供給力急減し、一部で送電停止
共同通信 / 2024年11月12日 17時27分
-
4物価高のなか… 無料クーポン コンビニ各社で広がるワケ、新商品の販促効果も【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年11月12日 21時11分
-
5国際課税改革が漂流危機 トランプ氏の大統領選勝利で
共同通信 / 2024年11月12日 19時43分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください