編集部からのお知らせ
宇宙ビジネスの記事まとめダウンロード
記事まとめ「テレワーク常態化で見えたこと」

サイバー犯罪グループ「TA505」が攻撃の手法を変更--金融機関を標的に

Danny Palmer (ZDNet.com) 翻訳校正: 石橋啓一郎

2019-07-08 06:30

 世界でもっとも成功しているサイバー犯罪グループの1つがその戦術を変更し、最新の攻撃キャンペーンの一環として、新たな形態のマルウェアを配布している。今度の標的は、米国、アラブ首長国連邦、シンガポールの銀行や金融サービス企業の従業員だ。

 そのグループ「TA505」が最初に登場したのは2014年のことであり、その後遠隔操作ツール(RAT)や情報を盗むマルウェア、バンキング型トロイの木馬などを世界中の被害者に広め、もっとも大きな成果を挙げているサイバー犯罪グループの1つに数えられるようになった。

 同グループはバンキング型トロイの木馬「Dridex」やランサムウェア「Locky」を含む、近年もっとも成功したサイバー攻撃キャンペーンを実施している。TA505が成功した最大の理由はとにかく攻撃の規模が大きいことで、それに加えて常にペイロードをアップデートし続けている。

 しかし、同グループは再び戦術を変更し、2019年6月から新たな形態のマルウェアを導入するとともに、戦術をより対象を絞った標的型攻撃に切り替えてきた。

 Proofpointのサイバーセキュリティ研究者による詳細な説明によれば、このマルウェア「AndroMut」はほかの悪質なペイロードを運ぶダウンローダーとして配布されつつあり、コードや動作に「Andromeda」との類似点が見られるという。Andromedaは、2017年時点で世界最大級のマルウェアボットネットの1つだった。

 TA505が漏えいしたAndromedaのコードを使っているか、Andromedaの作者がTA505にサービスを提供している可能性もある。

 TA505は現在、AndroMutを2段階攻撃の第1段階として使用している。AndroMutは、マシンを感染させると、そのマシンに第2のペイロードを送り込む。それがリモートアクセスを可能にするトロイの木馬「FlawedAmmyy」だ。

 このマルウェアは悪質で、遠隔から感染したWindowsマシンの制御を完全に奪い、攻撃者はファイルや認証情報にアクセスできるようになる。TA505は、これを利用して銀行のネットワークに侵入している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]