認証情報を盗難のリスクに晒すDridexが再浮上

認証情報を盗難のリスクに晒すDridexが再浮上

認証情報を盗難のリスクに晒すDridexが再浮上

By:
投稿者:
Vectra
December 17, 2019

12月上旬、米国の捜査当局は、この10年間で最も広く知られた一連のサイバー窃盗の首謀者として、Maksim Yakubets(別名「Aqua」)を指名手配しました。

さらに米国司法省は、この男の逮捕と有罪判決につながる情報提供者に対して、500万ドルの報奨金を提供することを発表しました。

Evil Corpという名で知られる組織の首謀者とされるMaksimには、複数の国での数千もの銀行口座の認証情報窃盗に関与したという疑いがかけられています。

Evil Corpは、マルウェアである「Dridex」(「Cridex」または「Bugat」とも呼ばれる)を利用して、被害者が気付かない間に、銀行口座から数千万ドルを盗み出したと言われています。

FBIでは、被害を受けた銀行は数百行におよび、被害総額は少なくとも1億ドル以上と見積もっています。

彼らの手口は、実に華麗でシンプルなものでした。

Evil Corpは、被害者にDridexをダウンロードさせるために、フィッシングメールに埋め込まれた悪意あるリンクに巧妙に誘導し、クリックさせます。

一旦マルウェアがインストールされると、キーロガーを使用してパスワードを取得したり、偽のバンキングページを作成して、被害者自らに認証情報を入力させるなど、思い通りのことを実行できるようになります。

フィッシングメッセージは、一見疑いのなさそうな依頼内容やドメインを組み合わせたり、正しい専門用語を使用するなど、非常に巧妙に作られています。

Evil Corpは、銀行口座の認証情報を悪用して、被害者の銀行口座からいわゆるマネー・ミュールのネットワークに電子送金を行い、そこからEvil Corpの口座に還流させます。

特に注目すべきは、Evil CorpがDridexマルウェアに対して継続的に改良を加えている点です。例えば、集中的なコマンドアンドコントロールセンター(C&C) からピアツーピアのボットネットに切り替えて、その活動を追跡しにくくするなどの改良です。

米国国家安全保障局(NSA) は、最近、「Top Ten Cybersecurity Mitigation Strategies(サイバーセキュリティ緩和戦略トップ10)」を発表しました。

このNIST(国立標準技術研究所)のサイバーセキュリティフレームワークと連携した戦略では、Dridexの戦術、技術、手順(TTP: Tactics, Techniques and Procedures) など、持続的標的型攻撃(APT攻撃)に使用される不正搾取のテクニックを無効にするためのリスクベースのアプローチを提供しています。

ここでは、特に以下の2点が推奨事項として挙げられています:

  • 特権とアカウントの保護。リスクエクスポージャーおよび運用の必要性に応じて、特権を割り当てるようにします。不正行為者は、付加価値の高いアセットにアクセスしたり、ネットワークを通じてラテラルムーブメントを行うために、絶えずアドミニストレータの認証情報を狙っているため、特権を持つアカウントやサービスをコントロールできる必要があります。
  • ネットワークへの侵入に対する継続的な探索。ネットワーク内にある悪意を持つ存在を検出し、阻止、排除するために事前対策を講じます。企業は侵害の発生を想定して、専任のチームによるネットワーク内の不正行為者の検出や阻止、排除を継続的に行う必要があります。

予防的な手順を確立することにより、企業は基本的な検出方法を超えた継続的な監視や、緩和戦略を駆使したリアルタイムでの脅威検知と緩和が可能になります。

最近、Vectra AI社では、CognitoプラットフォームにPrivileged Access Analytics(PAA、特権アクセス分析)を追加しました。

SOCチームは、AIベースのアルゴリズムで構成されたPAAによって、異常な活動や悪意を持つ活動に悪用される可能性のある特権アカウントを使った攻撃者の行動を、高い精度で検出することができるようになります。

Vectra AI社は、実際にユーザーアカウントのパターンを学習し、フィッシング攻撃などで認証情報が悪用された場合に、インテリジェントにアラートを発信します。

PAAを利用することで、SOCチームは、これらのタイプの攻撃を監視し防御することができます。

コマンドアンドコントロールチャネルを検出する広範なモデルが加わったことによって、Cognitoプラットフォームは、進化するマルウェア攻撃に企業が対抗するための強力なツールとなります。

脅威に関する最新情報や特権ベースの攻撃に関する詳細、また実際に稼動するCognitoプラットフォームのデモをご覧になりたい方は、vectra.ai/demo にアクセスしてください。

About the author

Vectra

Vectra® is the world leader in AI-powered network detection and response.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Achieving Threat Hunting Consistency with the MITRE ATT&CK Matrix

December 13, 2019
Read blog post
Security operations

Vectra SaaS Detections – Office 365

February 11, 2020
Read blog post
Integration

Cybereasonとの連携:完全な可視化と素早い対応を可能に

February 25, 2020
Read blog post