ファイルがない、メモリーベースのマルウェアが140の銀行、企業に感染

ファイルレス・マルウェア

攻撃者は、よく知られた標準ユーティリティを使用して世界中の組織に攻撃を行っており、再起動する際にマシンのメモリから活動の痕跡を消し去っています。

GCMANとCarbanakグループに関連している可能性のある攻撃者は、シグネチャベースのマルウェアを使用して攻撃を実行しているのではなく、感染しているサーバーのメモリに隠れることができるファイルレスのマルウェアを使用しています。

カスペルスキーのグローバル研究分析チームの研究者は、この水曜日の攻撃をSecurelistのブログ記事で説明しました。

カスペルスキーによると、米国、フランス、エクアドルなど40カ国の銀行、政府機関、電気通信会社をはじめとする140社以上の企業が影響を受けています。

独立国家共同体(旧ソ連を構成していた国家のうち、バルト3国を除く国家の共同体)の銀行が、Metasploitで使用される拡張可能なペイロードコンポーネントであるMeterpreterを、ドメインコントローラの物理メモリ内に見つけた後で、この攻撃を明らかにしました。 カスペルスキー研究所の研究者は、ソフトウェアがPowerShellスクリプトと組み合わされて、システム管理者のパスワードを目に見えない形で吸い取っていることを確認しました。

研究者は、これらの情報が得られれば、攻撃者は本質的にマシンにリモートアクセスできると主張しています。 被害者のホストから攻撃者のコマンドと制御システムへのトラフィックを流すために、MicrosoftのコマンドラインスクリプティングユーティリティNETSHというもう1つの正当なユーティリティを使用して発見されました。

研究者らは、攻撃者がオープンソースのエクスプロイトユーティリティであるMimikatzを使用して、管理者権限を持つサービスアカウントの資格情報を取得したと考えている。 管理者権限を取得した後、NETSHと他のMicrosoftユーティリティSCを使用して、悪意のあるPowerShellスクリプトの使用を行うことができます。

研究者は攻撃に使用された技術を決定することができましたが、日常的なツールを使って実行され、攻撃者がどのように巧みに検出を回避しているのかを考えれば、それらを正確に実行した人を絞り込むことは困難です。

カスペルスキー・ラボのPrincipal Security Researcher、Sergey Golovanov氏は、「攻撃者が活動を隠して検出とインシデント対応を難しくするという決定は、アンチフォレンジック技術とメモリベースのマルウェアの最新動向を説明している。

「これは、メモリフォレンジックがマルウェアとその機能の分析にとって重要になっている理由です。これらの特定の事件では、攻撃者は考えられるすべてのアンチフォレンジック技術を使用しました。ネットワークからのデータの正常な除外のためにマルウェアファイルがどのように必要であるか、正当なオープンソースユーティリティの使用が帰属をほとんど不可能にする方法を示しています。

犠牲者企業が最初にサーバーをハッキングしたのは不明です。研究者によれば、攻撃者は未パッチの脆弱性に対する既知の攻撃を利用していました。

同社のGReATチームのもう一人の研究者であるGolovanov氏とIgor Soumenkov氏は、4月にKaspersky Labセキュリティアナリストサミットで、攻撃者がATM経由で銀行から資金を引き出した方法を含む、

研究者は攻撃の背後に誰がいるのか不明であると主張しているが、GCMANやCarbanakなどのカスペルスキー・ラボによって明らかにされたグループと類似しているという。

昨年のSecurity Analyst Summitで説明されたグループであるGCMANは、これらの攻撃と同様にMeterpreterのような正当なペンテストツールを使って銀行を標的にしていました。 ネットワーク内に入ると、銀行コンピュータから電子通貨サービスに資金を移転できるようになるまで、機械から機械に跳ね返りました。 攻撃者は1つのインスタンスで1分あたり200ドルの支払いをマネー・ミュール・アカウントに転送するように管理しました。

このキャンペーンでは、攻撃者がスピアフィッシングメールとバックドアを1対2で使用してアクセスを操作していたが、2015年にセキュリティアナリストサミットで出現した。 銀行ネットワークに接続してお金を盗みます。

この数カ月間、グループは再び変わり、ギアのシフトが見られました.2016年11月には、ホスピタリティとレストラン業界をターゲットにしました。先月には、グループは、Googleがそのコマンドおよびコントロールチャネルのためのサービスをホストされている使用していた学んだのでした。

参照:

Fileless Memory-Based Malware Plagues 140 Banks, Enterprises

Be the first to comment

コメントをお寄せください

ご登録いただいたメールアドレスは公開されません。


*