パロアルトネットワークスは7月23日、ナイジェリアのサイバー犯罪者がこれまで主な標的としていなかった企業に侵入するため、一般的なマルウェアを改良させていることを発見したと発表した。
この発見は、パロアルトネットワークスのセキュリティ脅威インテリジェンスチーム「Unit 42」が公表した最新の報告書「419 Evolution」(英語のみ)として公開された。
Unit 42は、熟達したサイバーセキュリティ研究者と業界の専門家で構成されており、最新の脅威に関する情報を収集、研究、分析し、組織がより良い対策を行えるように、パロアルトネットワークスの顧客、パートナー、コミュニティに情報を共有している。
Unit 42は攻撃の技術的側面だけでなく、それらが起動される経緯にも焦点を当てることにより、誰が、なぜ攻撃を実行しているのか理解を深められるよう、最高経営責任者(CEO)からセキュリティ専門家までビジネスコミュニティのメンバー全員を支援している。
今回のレポートでは、ナイジェリアを拠点とする詐欺グループが精巧な犯罪行為にツールを応用し、詐欺犯が企業の機密情報データを搾取するために展開していると解説している。ナイジェリア419フィッシング詐欺は、ナイジェリアの犯罪者が個人のクレジットカード情報や個人情報を騙し取る手法で知られているが、これまでの手口は簡単に見破れるものだった。
しかし、ここ数年間で、より高度な技術を使用してターゲットを企業に広げているという。パロアルトの研究者は今回、同社のクラウドベースの仮想サンドボックス環境でサイバー脅威を迅速に分析するWildFireを使用して、詐欺グループの犯罪活動や技術(Silver Spaniel攻撃と命名)を発見したとのこと。
調査によると、ナイジェリアの犯罪組織は、いくつかある技術(Silver Spaniel攻撃)の中で特にアングラ系フォーラムで入手できる遠隔管理ツール(RAT)を使用しているという。このツールには商用の「NetWireRAT」が含まれ、感染したシステムの操作権を奪う。Silver Spaniel攻撃は従来のアンチウイルスソフトや従来型ファイアウォールを回避できるように特別に設計されている。
Silver Spaniel攻撃と同様の攻撃が、これまでに東欧や敵対的諜報活動グループから来ている可能性があるという。これまで企業は、潜在的に影響力が高いナイジェリアのスパム攻撃に対応してこなかった。
また、NetWire RATを防ぐため、パロアルトはSilver Spaniel攻撃で盗まれたデータを解明する無料ツールをリリースした。このツールは、コマンドアンドコントロール通信を復号化してデコードする機能を持っており、こちらから入手できる。