銀行を標的にする新たなサイバー攻撃:Kaspersky Labが「Carbanak2.0」「Metel」「GCMAN」を発見

世界30か国の100の銀行、電子決済システムなどに攻撃を仕掛けていた「Carbanak」が「Carbanak2.0」として活動を再開し、「GCMAN」はマルウェアを一切使用せず、正規のツールと侵入テストツールだけを利用して、組織への攻撃を成功させていました。
[本リリースは、2016年2月8日にKaspersky Labが“Kaspersky Security Analyst Summit”で発表したプレスリリースの抄訳です]

Kaspersky Labは2015年のサイバー脅威の予測の中で、サイバー犯罪とAPTの融合による金融機関に対する新たな脅威の増加を予測しました。それから1年経ち、世界30か国の100の銀行、電子決済システム、そのほかの金融機関に攻撃を仕掛けていた「Carbanak」が「Carbanak2.0」として活動を再開したことを確認したほか、同じくAPTの手法で活動するグループ「Metel」と「GCMAN」を発見しました。この2つのグループは、カスタムマルウェアと正規ソフトウェアを悪用して金融機関を攻撃するほか、新しい手法で現金を窃取します。

・Metel
サイバー犯罪者グループMetelは、銀行のコールセンターやサポートセンターなどにある、現金取引にアクセス可能なコンピューターを乗っ取り、ATMの取引を操作していました。具体的には、ロールバック機能を悪用し、何度現金を引き出してもデビットカードの残高を元に戻すことで現金を窃取していました。Metelグループは夜間にロシアの都市周辺を車で回り、不正侵入した銀行で発行されたデビットカードを繰り返し使用して、一晩で多数の銀行のATMから多額の現金を引き出すことに成功しました。

Kaspersky Labの専門家がフォレンジック調査を実施したところ、Metelの初期の感染手段は、悪意あるファイルを添付した特別なスピア型フィッシングメールと、標的のブラウザーの脆弱性を悪用するNiterisエクスプロイトパックであることがわかりました。Metelは銀行のネットワーク内に侵入した後、正規ツールと侵入テストツールを使用して侵入を拡大するための諜報活動によって得た情報を使用し、ローカルのドメインコントローラーを乗っ取ります。最終的には支払いカード処理担当の銀行職員が使用するコンピューターを特定し、掌握します。

Metelグループの活動は現在も続いており調査は継続中ですが、今の所、ロシア以外の地域で活動は確認されていません。しかし、さらに広い範囲に感染が拡大しているとみられる根拠があり、世界中の銀行は事前対策として感染の有無を確認することが求められます。

・GCMAN
秘密裏の活動という点では、GCMANグループは一歩先を行っています。マルウェアを一切使用せず、正規のツールと侵入テストツールだけを利用し、組織への攻撃を成功させる場合もあります。Kaspersky Labの専門家が調査したケースでは、GCMANグループは、PuTTY、VNC、Meterpreterユーティリティなどを利用して、電子マネーのサービスに送金するコンピューターを特定していました。GCMANは金銭の窃取を開始するまで1年半にわたってネットワーク内に潜伏しており、窃取の方法は、CRONスケジューラーを用いて1分毎に悪意あるスクリプトを実行し、その都度約200ドル(ロシアでの匿名決済の上限)をマネーミュールの電子マネー口座に送金するというものでした。取引の命令は、銀行のアップストリームの支払いゲートウェイに直接送信され、銀行の内部システムには一切表示されませんでした。

・Carbanak2.0
APTグループCarbanakは2013年から活動していますが、今回発見したCarbanak2.0 は、ツールと手口は以前と同じものの、これまでと異なる標的を攻撃対象とし、現金を引き出す手法も新しくなっています。

2015年、Carbanak2.0は銀行だけでなく、組織の予算管理部門や経理部門も標的にしました。Kaspersky Labが調査したケースでは、Carbanak2.0は金融機関にアクセスし、口座保有者情報を改竄していました。そこでは企業の株主の名前がマネーミュールの名前に変わっており、そのID情報が表示されていました。

 Kaspersky Labの調査分析チーム(GReAT)(*1) のプリンシパルセキュリティリサーチャー セルゲイ・ゴロバーノフ(Sergey Golovanov)は次のように述べています。「2015年に確認された金融機関への攻撃は、サイバー犯罪者がAPT型の攻撃を積極的に利用するという憂慮すべき傾向を示しています。犯罪者は新たな手口を短期間で活動に取り入れるようになっており、今後さらに多くの犯罪者が銀行を直接狙うとみられます。犯罪者の論理は単純で、そこに現金があるからというものです。弊社は、攻撃者が金銭を窃取する可能性のある場所やその手口を具体的に示すことに注力しています。GCMANの攻撃を知った方は、自社のWebバンキングサーバーがどのように保護されているか確認しようとするでしょう。Carbanak2.0のケースでは、口座残高だけでなく、口座保有者の情報が登録されたデータベースも保護することをお勧めします」

カスペルスキー製品は、Carbanak2.0、Metel、GCMANで使用されるマルウェアを検知・ブロックします。

Kaspersky Labは重要なIOC(脅威の存在を示す痕跡)などのデータを公開することで、企業ネットワーク内における攻撃者グループの痕跡の発見を支援しています。

「Carbanak2.0」「Metel」「GCMAN」の詳細は、Securelistブログをご覧ください。
https://securelist.com/blog/research/73638/apt-style-bank-robberies-increase-with-metel-gcman-and-carbanak-2-0-attacks/

2015年のサイバー脅威の予測についてはこちらをご覧ください。
http://www.kaspersky.co.jp/about/news/virus/2014/vir12122014

(*1)GReATについて
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。

■ Kaspersky Lab について
Kaspersky Labは、世界最大の株式非公開のエンドポイント保護ソリューションベンダーです。ITセキュリティ市場におけるイノベーターとして、大企業から個人ユーザーまで幅広いお客様に効果的なITセキュリティソリューションを提供しています。現在、世界中のおよそ 200の国と地域で事業を展開し、全世界で4億人を超えるユーザーをIT上の脅威から保護しています。

 

このプレスリリースには、メディア関係者向けの情報があります。

メディア会員登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。
※内容はプレスリリースにより異なります。

  1. プレスリリースTOP
  2. >
  3. 株式会社カスペルスキー
  4. >
  5. 銀行を標的にする新たなサイバー攻撃:Kaspersky Labが「Carbanak2.0」「Metel」「GCMAN」を発見