編集部からのお知らせ
PickUp! オンラインストレージの進化と課題
HCIの記事をまとめた資料ダウンロード

サイバー犯罪グループ「TA505」が攻撃の手法を変更--金融機関を標的に

Danny Palmer (ZDNet.com) 翻訳校正: 石橋啓一郎

2019-07-08 06:30

 世界でもっとも成功しているサイバー犯罪グループの1つがその戦術を変更し、最新の攻撃キャンペーンの一環として、新たな形態のマルウェアを配布している。今度の標的は、米国、アラブ首長国連邦、シンガポールの銀行や金融サービス企業の従業員だ。

 そのグループ「TA505」が最初に登場したのは2014年のことであり、その後遠隔操作ツール(RAT)や情報を盗むマルウェア、バンキング型トロイの木馬などを世界中の被害者に広め、もっとも大きな成果を挙げているサイバー犯罪グループの1つに数えられるようになった。

 同グループはバンキング型トロイの木馬「Dridex」やランサムウェア「Locky」を含む、近年もっとも成功したサイバー攻撃キャンペーンを実施している。TA505が成功した最大の理由はとにかく攻撃の規模が大きいことで、それに加えて常にペイロードをアップデートし続けている。

 しかし、同グループは再び戦術を変更し、2019年6月から新たな形態のマルウェアを導入するとともに、戦術をより対象を絞った標的型攻撃に切り替えてきた。

 Proofpointのサイバーセキュリティ研究者による詳細な説明によれば、このマルウェア「AndroMut」はほかの悪質なペイロードを運ぶダウンローダーとして配布されつつあり、コードや動作に「Andromeda」との類似点が見られるという。Andromedaは、2017年時点で世界最大級のマルウェアボットネットの1つだった。

 TA505が漏えいしたAndromedaのコードを使っているか、Andromedaの作者がTA505にサービスを提供している可能性もある。

 TA505は現在、AndroMutを2段階攻撃の第1段階として使用している。AndroMutは、マシンを感染させると、そのマシンに第2のペイロードを送り込む。それがリモートアクセスを可能にするトロイの木馬「FlawedAmmyy」だ。

 このマルウェアは悪質で、遠隔から感染したWindowsマシンの制御を完全に奪い、攻撃者はファイルや認証情報にアクセスできるようになる。TA505は、これを利用して銀行のネットワークに侵入している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]