大銀行強盗 CARBANAK APT(APT: 高度かつ持続的脅威)

Carbanakの話は、ウクライナ銀行がフォレンジック調査を手伝うように依頼したときに始まりました。 お金はATMから不思議に盗まれていました。 私たちの最初の考えは、Tyupkinマルウェアに向かう傾向がありました。 しかし、ATMシステムのハードディスクを調べると、かなり奇妙なVPN構成(ネットマスクは172.0.0.0に設定されていました)以外は何も見つかりませんでした。

現時点では、これをもう1つのマルウェア攻撃とみなしていました。 数ヶ月後、同僚の一人が夜中に午前3時に電話を受けることはほとんどありませんでした。 電話では、アカウントマネージャーが、緊急の問題として特定の番号に電話するように求めました。 行末の人はロシアの銀行のCSOでした。 彼らのシステムの1つは、ドメインコントローラから中華人民共和国にデータが送信されていることを警告していました。

現地に到着したら、システム上でマルウェアをすばやく見つけることができました。 感染したPCからマルウェアを削除したバッチスクリプトを作成し、このスクリプトを銀行のすべてのコンピュータで実行しました。 これは、すべてのマシンがきれいであることを確認するまで、何度も実行されました。 もちろん、サンプルは保存され、それらを通して、初めてCarbanakマルウェアに遭遇しました。

犯罪者の手口

さらなるフォレンジック分析は、最初の感染のポイントに私たちを連れて行きました:CPL添付ファイルを持つスピアフィッシングメール。 それ以外の場合は、既知の脆弱性を悪用したWord文書が使用されていました。 シェルコードを実行すると、Carberpベースのバックドアがシステムにインストールされます。 このバックドアは、今日私たちがCarbanakとして知っているものです。 これは、スパイ、データエクスフィルトレーション、リモートコントロール用に設計されています。

攻撃者が被害者のネットワークに侵入すると、手動の偵察を行い、関連するコンピュータ(管理者のコンピュータなど)を妥協し、横方向の移動ツールを使用します。 一言で言えば、アクセスを得て、彼らは彼らの興味のポイントを見つけるまで、ネットワークを飛び越えます。 この注目点は、攻撃に応じて異なります。 しかし、彼らが共通して持っているのは、この時点から、感染したエンティティから資金を引き出すことが可能であるということです。

Carbanakの背後にいる団体は、組織ごとに異なるため、対象となる各銀行の内部の仕組みを事前に知っているとは限りません。 そのため、特定の銀行の仕組みを理解するために、感染したコンピュータを使用してビデオを記録し、それをCommand and Controlサーバーに送りました。 ビデオの品質は比較的劣っていたにもかかわらず、攻撃者にとって十分であり、犠牲者が何をしているのかをその特定のマシンが把握するためにキーロッグされたデータで武装していました。 これにより、彼らは資金を現金化するのに必要な知識を得ました。

現金を盗み出すための手続き

調査中、いくつかのキャッシュアウト方法が見つかりました:

ATMは、ATM自体とのやりとりなしに現金を分配するように遠隔から指示され、現金は小包によって回収された。 SWIFTネットワークは、組織から金銭を犯罪者の口座に移すために使用されました。 偽の口座が比較的高い残高で作成されるように口座情報を持つデータベースが変更されました。

感染と損失

このキャンペーンの調査を開始して以来、私たちはCarbanakグループを追跡している法執行機関(LEA)と緊密に協力してきました。 この協力の結果、最大100のターゲットがヒットしました。 金融機関の場合、少なくとも半分は犯罪者が感染した機関から資金を引き出すことができた。 1銀行あたりの損失額は250万ドルから約1000万ドルです。 しかし、LEAと犠牲者自身が提供した情報によれば、総財務損失は10億ドルにも上る可能性があり、今までに見た中で最も成功した犯罪サイバーキャンペーンとなっています。

私たちの調査はウクライナで始まり、モスクワに移りました。ほとんどの金融機関は東ヨーロッパにあるグループをターゲットにしていました。 しかし、KSNのデータとコマンド・コントロール・サーバから得られたデータのおかげで、カーバナクは米国、ドイツ、中国の被害者をターゲットにしていることがわかっています。 現在、グループは新しい分野に事業を拡大しています。 これらには、マレーシア、ネパール、クウェート、アフリカのいくつかの地域などがあります。

グループはまだ活動しており、すべての金融機関に対し、ネットワークを慎重にスキャンしてCarbanakの存在を検知してください。 検出された場合は、すぐに法執行機関に侵入を報告してください。

キャンペーン、IOC、感染症のリストについては、レポートをご覧ください。

あなたのネットワークでCarbanakの存在を確認するには、こちらのIOCファイルを開くこともできます。

参照:

The Great Bank Robbery: the Carbanak APT