ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

ハイブリッドサイバー犯罪の調査

本日、主にソビエト連邦崩壊以降の銀行を対象とした主要なサイバー攻撃を詳述する SpiderLabs の高度脅威レポートを発行しました。すべての攻撃は共通のプロファイルを持ち、 操作全体の細かく調整されたオーケストレーションは、お金を盗むための革新的な新しい手法 を示しています。

この攻撃の背後にある戦略は、デビットカードの重要な属性である「当座貸越限度額(OD)」を 操作することです。当座貸越限度額は、所有者が実際の口座残高を超えてアクセスできるク レジット額を指定します。すべてのデビットカードが OD を提供するわけではありません。これ は、リスクプロファイルや口座保有者のその他の属性に依存します。この攻撃の背景にある考 え方は、次のようになります。

  • 不正なアイデンティティを使って「ミュール」(ラバ:運び屋の例え)と呼ばれる人たちを支 店に送って新しい銀行口座を開設させ、デビットカードを作成させる
  • これらのデビットカードの OD 制限を「操作」し、コアカード処理システム/サービスの制 限を取り除く
  • それらの最近入手したカードを海外に送付する
  • ATM から大量の資金を引き出すための他の「ミュール」を参加させる

このハイブリッド攻撃はサイバー活動と物理的活動の両方を組み合わせ、標的の銀行から金 銭を盗みます。人やミュールは銀行口座を開設し、サイバーチームは銀行インフラストラクチャ を攻撃し、別のチームは外国にある ATM から資金を集めるために使用されました。全体の運 用には、多くのリソースとこれらのリソースの慎重な調整が必要です。正当なデビットカード(盗 まれたカードと比較して)が ATM トランザクションを実行するために使用され、攻撃者がそれら のアカウントの不正防止制御を取り除いたため、現金の引き出しは銀行システムに何のアラ ームも引き起こさせませんでした。攻撃の平均期間は、新しいアカウントの設定、サイバー攻 撃の実施、ATM マシンからの資金の引き出しなど、6 ヶ月間でした。注目すべき重要な機能 は、攻撃の最終段階では、デビットカードの OD 制限と引出しの操作はほぼ同時に行われたこ とです。最初のカードの OD 限度が変更されたのと同じ分、物理カードは別の国で引き出しを 実行するために使用されました。かなりの数のカードを修正するには約 4〜6 時間が必要でしたが、同時にこれらのカードはすべて海外で使用されていました。この洗練された調整は、組 織犯罪活動の強力な指標となります。

私はこの作戦の最後の段階の後に使用されたツールの 1 つを強調したいと思います。フォレ ンジック捜査では、余計な証拠などにつながる証拠や証拠を探すのに多くの時間を費やしま す。これにより、フォレンジック調査員は、サイバー犯罪の一連のイベントを関連するタイムラ インと共に構築することができます。この調査では、トランザクションの分析を開始した後、悪 意のある行為のために侵入され使用されたすべてのシステムを 1 つずつ特定するためにバッ クトラックを行いました。敵を検出するために使用される銀行インフラストラクチャの外にある 1 つ以上のエンドポイントにヒットするまで繰り替えます。ある時点で、カード処理インフラストラク チャとは関係がないものの、ラテラルムーブメント(横方向の移動)のために使用され、すべて の内部接続の起点と思われる内部システムを特定しました。

私たちはすぐにこのエンドポイントのコピーを依頼しました。IT チームはコピーを提供すること に同意しましたが、攻撃の直後にこのシステムが「使用不可能」になったため、あまり期待しな いようにと言いました。攻撃とそのシステムの障害との間に明確な相関関係がないため、その システムとの間に関連が見られるとは誰も予想していませんでした。そのシステムのコピーを 受け取ったときに、ファイルシステムが壊れていて、OS のブートやファイルの表示が不可能で あることが判明しました。

Code1
OS not found! (OS が見つかりません!)

いくつかのツールを試した結果、 MBRが壊れているか破壊されていることが明らかになりまし た。現時点では、パーティションテーブルを修正または回復できる強力なオープンソースのデ ータリカバリソフトウェアである TestDiskツールを使用しました。TestDisk を使用して、ファイル システムをさらに検査する準備ができました。イベントのタイムラインとファイルシステムの破 損を引き起こした一連のアクションとを関連付けることで、オペレーティングシステムの最後の 終了直前に「dropper.exe」というプロセスが数秒実行されることを突き止めました。このファイ ルも実行時に削除されましたが、簡単に復元されました。

より深い調査で、疑わしいファイルが犯行現場から証拠を消すために使用された可能性が高 いことがわかりました。この特殊なマルウェア「dropper.exe」は、OS を起動不能にするように設 計されています。実行時に、マルウェアはシステムの MBR を破壊し、自身を削除してからすぐ にシステムを再起動します。

この実行可能ファイルは、Windows System32 ディレクトリに「xuidll.dll」という名前の DLL ファイ ルを作成し、永続性のための Winlogon レジストリキーを追加します。ドロップされた DLL の目 的は、特定のトリガ条件が満たされたときにマスタブートレコード(MBR)を消去することです。

この実行可能ファイルは、まず xuidll.dll ファイルを %windir%\ System32 ディレクトリにドロッ プします。この DLL は 2 つの関数をエクスポートします。

  1. install: この関数は、次のレジストリキーを使用してターゲットシステムに永続性をイン ストールする役割を担います。
  2. on_load:この関数は、特定の条件が満たされているかどうかをチェックします。これらの 条件には、レジストリに特定のキーが存在し、11 月 25 日の 10:30:00(またはそれ以 降)の日付と時刻が満たされていることが含まれます。これらの条件が満たされると、 システムの MBR が消去されます。そのような条件がコードに組み入れられたのは謎の ままです。

次のコードは、特定の日付と時刻の条件が満たされているかどうかをチェックします。

Code 2
MBR を消去するかどうかを確認するコード

Code 3
システム MBR を消すためのコード

このファイルは、VirusTotal や他の同様のサービスではまだ一般に知られていません。これ は、標的とされた操作や組織犯罪行為者のもう一つの強力な指標となります。このツールを使 用することで、攻撃者は調査手続きのための追加の障害を作り出すことによって、トラックをき れいに拭き取ることに強い意欲を持っていたことがわかります。

下記が提供されたファイルのハッシュ:

Hash Type

Value

MD5

7617dcef38fc5a2a6d6c31a7ef91961d

SHA-1

95180c3ec55775d5fa007a51593e29f9416bb6ef

SHA256

DF8948696BB8759EDE500A6A27CE788F1438D1A57F114709D7239865C728B22C

SSDeep

48:ZttGHldpS2oJ+seovteNJzMXEVmXmh7zp00J6CzW3d95gSjiaqqRD9SdoBM:ZDmkb5eo1ekEVmXOzxJLW3qsiaRUqe

 

クロージングの思考

この一連の攻撃は、サイバー犯罪者が絶え間なく革新し続けていることを示しています。この ケースでは、犯罪組織が新しいアカウントの作成などのプロセスの弱点を迅速に特定し、それ らを秘密にして効率的に活用していることが明確に示されました。

攻撃者がインフラストラクチャにアクセスするとすぐに、低特権のインサイダーの役割を果たす ためのネットワークマッピングと特権エスカレーション(昇格)アクティビティを実行しました。組 織は、「すでに侵害されている」と想定し、被害を検出し最小限に抑えるための脅威を積極的 に検索するために、防衛セキュリティ戦略を拡張する必要があります。これはスレットハンティ ングと呼ばれ、企業がインフラストラクチャ内で横方向に動いている既存の敵を検出し、潜在 力を最大限に発揮する前にこれらの脅威を軽減するのに役立ちます。

完全なレポートを読むには、ここをクリックしてください。