世界でもっとも成功しているサイバー犯罪グループの1つがその戦術を変更し、最新の攻撃キャンペーンの一環として、新たな形態のマルウェアを配布している。今度の標的は、米国、アラブ首長国連邦、シンガポールの銀行や金融サービス企業の従業員だ。
そのグループ「TA505」が最初に登場したのは2014年のことであり、その後遠隔操作ツール(RAT)や情報を盗むマルウェア、バンキング型トロイの木馬などを世界中の被害者に広め、もっとも大きな成果を挙げているサイバー犯罪グループの1つに数えられるようになった。
同グループはバンキング型トロイの木馬「Dridex」やランサムウェア「Locky」を含む、近年もっとも成功したサイバー攻撃キャンペーンを実施している。TA505が成功した最大の理由はとにかく攻撃の規模が大きいことで、それに加えて常にペイロードをアップデートし続けている。
しかし、同グループは再び戦術を変更し、2019年6月から新たな形態のマルウェアを導入するとともに、戦術をより対象を絞った標的型攻撃に切り替えてきた。
Proofpointのサイバーセキュリティ研究者による詳細な説明によれば、このマルウェア「AndroMut」はほかの悪質なペイロードを運ぶダウンローダーとして配布されつつあり、コードや動作に「Andromeda」との類似点が見られるという。Andromedaは、2017年時点で世界最大級のマルウェアボットネットの1つだった。
TA505が漏えいしたAndromedaのコードを使っているか、Andromedaの作者がTA505にサービスを提供している可能性もある。
TA505は現在、AndroMutを2段階攻撃の第1段階として使用している。AndroMutは、マシンを感染させると、そのマシンに第2のペイロードを送り込む。それがリモートアクセスを可能にするトロイの木馬「FlawedAmmyy」だ。
このマルウェアは悪質で、遠隔から感染したWindowsマシンの制御を完全に奪い、攻撃者はファイルや認証情報にアクセスできるようになる。TA505は、これを利用して銀行のネットワークに侵入している。
