チェック・ポイント・リサーチ、国内企業も狙うマルウェア「Agent Tesla」の攻撃者の正体を暴く

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（リンク ») ">Check Point Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、現在市場で最も活発なマルウェアの1つ、Agent Teslaによる最近の3つの悪質なキャンペーンについて、攻撃者の素性も含め明らかにしました。

ハイライト
- Agent TeslaはCPRが発表したリンク ») ">2024年2月版 Global Threat Index（世界脅威インデックス）にて示された「国内で最も活発だったマルウェアランキング」でも、3位にランクインしています。今回、CPRが明らかにしたキャンペーンはアメリカやオーストラリアの組織を標的として、商品の購入や注文の配送に関する表題をおとりに利用して被害者を誘導していたことが明らかになっています。
- 調査の中で、脅威アクターは62,000件もの電子メールのデータベースを持っており、その中には様々な領域の個人や組織が含まれていることが分かりました。
- 被害者となった企業から発信されるキャンペーンとは別に、この脅威アクターの集団は多数のサーバーを保持しており、それらは彼ら自身の身元を隠すために使用されています。
- 脅威アクターは匿名性を保つ対策をしていましたが、CPRは彼らの正体と出所を明らかにし、その活動を継続的に監視しながら、彼らが実施した攻撃の手順の再現に成功しました。

国内企業にも影響を与えているマルウェア 「Agent Tesla」
リンク ») ">Agent Teslaマルウェアは、感染したマシンに侵入し、機密情報を盗み出すことに特化した、高度なリモートアクセス型トロイの木馬（RAT）です。このマルウェアは、感染したマシンで使用しているブラウザ（Google ChromeやMozilla Firefoxなど）や電子メールクライアントで使用されたキーストローク、ログイン認証情報など、様々なタイプのデータを収集することができます。Agent Teslaはサイバー分野において悪名高い経歴を持つマルウェアであり、2020年以降、CPRが毎月発表しているレポートにおいて、流行しているマルウェアファミリーリストのトップ10に何度もランクインしています。

2人のサイバー犯罪アクター
CPRは、Agent Teslaキャンペーンの背後にいる、「Bignosa （メインのAgent Tesla脅威アクター）」と「Gods」というサイバー脅威アクターの活動を追跡し、彼らが相互につながっていることを証明しました。Agent Teslaの主要な脅威アクターである「Bignosa」は、マルウェアやフィッシングのキャンペーンを運営するグループの一部であると思われ、アメリカやオーストラリアのビジネスメールデータベースや、一般の個人をターゲットにしています。また、ネット上では「Kmarshal」としても知られる「Gods」は、以前はフィッシング攻撃に関与していましたが、のちにマルウェアのキャンペーンへと移行しています。この脅威アクターは、ウェブデザインやフィッシング作戦においても能力を示しています。

調査を通じて、CPRはLinkedInのページに掲載された写真などを含む、この2人の脅威アクターの身元情報を確保しました。彼らはアフリカ系であると思われ、そのうち1人は自分たちのビジネスの中で合法な業務も行っていました。二人はインスタントメッセージングなどの機能を提供するツール、Jabberを利用して連絡を取っており、GodsはBinosaへの支援を行っています。CPRは、Agent Teslaの背後にある彼らの悪意ある活動についても追跡し、発見したすべての情報を関連する法執行機関と共有しました。

直近のキャンペーン
直近のマルウェアキャンペーンでは、非常に綿密な準備が行われたことが伺えます。攻撃者たちは、商品の購入や注文の配送に関する題名のフィッシングメールを利用し、被害者のマルウェアへの感染が開始されるよう、ソーシャルエンジニアリングを試みました。これらの電子メールは、匿名性を確保するため脅威アクターがキャンペーン直前に設置したサーバーから送信されていました。マルウェア自体はデータベース「Apache Cassandra」の分散型ネットワークセキュリティである「Cassandra Protector」の難読化によって保護されており、検知防止機能が追加され、捕捉を困難にしています。
[画像1: (リンク ») ]
（画像１）脅威アクター「Bignosa」の活動。攻撃の準備期間から実行までのステップを示す
CPRは、Agent Teslaによる最近の3つの悪質なキャンペーンについて明らかにしました。以下の図は主なスキームを表します。
[画像2: (リンク ») ]
（画像２）最初に行われた2つのキャンペーンの主なスキーム
第3のキャンペーンの主要な攻撃スキームは、攻撃のためのマシンで利用されているIPアドレスが異なること以外は、最初の2つのキャンペーンと同様のものです。
[画像3: (リンク ») ]
（画像３）2023年11月29日～30日のキャンペーンの攻撃スキーム
まとめと推奨事項
今回の調査は、サイバーセキュリティにおける警戒態勢の重要性を浮き彫りにしています。これらの脅威アクターの特定は、デジタルフットプリントの詳細な分析によって可能になったものであり、デジタルフォレンジクスの能力を実証しています。

こうした脅威からのリスクを軽減するためには、以下のことが重要です。

- 適時パッチを当てるなどの方法で、オペレーティングシステムやアプリケーションを常に最新の状態に保つ
- リンクを含む予期せぬメール、特に見知らぬ送信者からのメールには注意する
- 従業員のサイバーセキュリティに対する意識を向上させる
- 少しでも疑いや不明な点があれば、セキュリティの専門家に相談する

チェック・ポイントのお客様は、今回の調査で報告された脅威から、引き続き保護されています。Check Point Threat リンク ») ">EmulationとHarmony リンク ») ">Endpointは、攻撃の手口、ファイルタイプ、オペレーティングシステムを包括的にカバーし、本レポートで説明されたタイプの攻撃や脅威からの保護を提供します。
- Spyware.Win32.Tesla.TC.*
- AgentTesla.TC.*

さらに詳しい情報や、これらの脅威アクターに関して発見された詳細な調査結果についてご覧になりたい方は、CPRのリサーチブログのリンク ») ">専用ページをご覧ください。

本プレスリリースは、米国時間2024年4月2日に発表されたリンク ») ">ブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: (リンク »)
X: (リンク »)

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（ (リンク ») ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、ワークスペースを保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（ (リンク ») ）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: (リンク »)
・Check Point Research Blog: (リンク »)
・YouTube: (リンク »)
・LinkedIn: (リンク »)
・X: (リンク »)
・Facebook: (リンク ») 本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp

プレスリリース提供：PR TIMES (リンク »)