CARBANAK APT – 大銀行強盗団についてのレポート抜粋

APT(Advanced Persistent Threats)によく見られる技術を利用している攻撃者の動機は、スパイ活動ではなく金銭的利益であると考えられます。

このキャンペーンの分析では、Microsoft Word 97 – 2003(.doc)およびコントロールパネルアプレット(.CPL)ファイルが添付された正当な銀行通信と思われるスピアフィッシングメールを使用して、最初の感染が達成されたことが明らかになりました。 攻撃者が金融活動に関連するウェブサイト・トラフィックをエクスプロイトキットにリダイレクトしたと考えています。

電子メール添付ファイルは、Microsoft Office 2003,2007および2010(CVE-2012-0158およびCVE-2013-3906)およびMicrosoft Word(CVE-2014-1761)の脆弱性を悪用します。 脆弱性が悪用されると、シェルコードはカルバマックと呼ばれるバックドアを復号化して実行します。

Carbanakは、スパイ活動、データの流出、感染したマシンへのリモートアクセスを提供するために設計されたリモートバックドア(当初Carberpベース)です。

アクセスが達成されると、攻撃者は被害者のネットワークを手動で偵察します。 この操作の結果に基づいて、攻撃者は被害者のインフラストラクチャ内の重要なシステムにアクセスするために、さまざまな横方向の移動ツールを使用します。

その後、Ammyy Remote Administration Toolなどの追加ソフトウェアをインストールしたり、SSHサーバーを侵害したりします。 特に、分析されたカルバマックマルウェアの最新バージョンの中には、Carberpソースコードを使用していないものがあります。

一旦、攻撃者が被害者のネットワークを正常に侵害すると、主要な内部の宛先は、貨幣処理サービス、ATM(Automated Teller Machine)、および財務勘定です。

場合によっては、インターバンク金融通信協会(SWIFT)ネットワークを使用して、ハッカーが管理している口座に金銭を振り込みました。

他の企業では、Oracleデータベースを操作して、同じ銀行で支払またはデビットカード口座を開封したり、オンラインバンキングシステムを使用して口座間で送金したりしました。 ATMネットワークはまた、特定のATMから現金を分配するために使用されていました。

攻撃の偵察段階の一環として、銀行従業員、特にシステム管理者の活動のビデオ録画が行われました。ビデオはC2サーバーに送られました。

攻撃者は、正当な権限を持つローカルユーザーになりすますことによって、前述のサービスを悪用したことに注意してください。私たちの知る限りでは、前述のサービスが攻撃されたり、特定の脆弱性が悪用されたりしませんでした。

この報告書の作成時点で影響を受けた100の銀行組織のうち、少なくとも半分が財政的損失を被っています。感染IPのジオロケーションに基づく犠牲者のほとんどは、ロシア、米国、ドイツ、中国、ウクライナにあります。

それは必ずしもすべてのこれらの犠牲者が銀行事業体であることを意味するものではありません。損失の大きさは重要です。例えば、一つの銀行はATM詐欺のために約730万ドル(USD)を失いました。別の銀行は、オンラインバンキングプラットフォームの利用による1,000万ドルの損失を被りました。

参照:

CARBANAK APT THE GREAT BANK ROBBERY (KASPERSKY Lab)

日本語の資料:

CARBANAK サイバー銀行強盗