金融関連組織を狙うサイバー犯罪集団「カーバナック」が再び活動を開始

この記事をシェア

サイバー犯罪集団「カーバナック」の活動が再び活発になってきた。スピア型フィッシングメールをきっかけに金融関連組織のシステムに忍び込んで複数のマルウェアを利用して不正送金を行う手口を使う。これまでの被害総額は1,000億円以上と言われる。もちろん日本の金融機関もそのターゲットとなっている。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

金融関連組織を狙うサイバー犯罪集団「カーバナック」が再び活動を開始

金融関連組織のシステムばかりを狙うサイバー犯罪集団「カーバナック」(Carbanak)が最初に世間に知られるようになったのは、2014年12月のことだった。サイバーセキュリティ企業であるグループIB(Group-IB)とフォックスIT(Fox-IT)という2社が共同でこの集団に関する速報を発表したのである。また、その後2015年2月に今度はカスペルスキー社によって、より詳細な実態が明らかにされた。

この二つのレポートによれば、数百件に上る金融関連組織に対して総計1,000億円以上に上る盗難の被害を与えているのが、ただ一つの窃盗団だということになる。

この事件は、あまりにも深刻な被害額に及んでいるということだけではなく、技術的な面においても注目すべき点がある。彼らは、不特定多数のユーザーを攻撃して金銭をむしりと取るというのではなく、金融関連組織にはっきりと標的を定めているのである。

なお、2015年9月上旬にはセキュリティ企業のCSISが、カーバナックの新たな攻撃に関する詳細なレポートを出した。以下では、技術的な見地から、これまで判明していることをまとめてみることにする。

米カジノホテルへのクラッキング

2015年8月末、米国のとあるカジノホテルのネットワークに攻撃があった。この攻撃に用いられた感染方法はスピア型のフィッシングメールだった。不正添付ファイルで、RTF(またはSCR)ファイルが添付されており、脆弱性を狙うエクスプロイトが仕掛けられていた。攻撃者の目的は決済処理に用いられるPOSサーバーに侵入することだった。

攻撃者によって使用された主なバックドアは「タイニー・メタインタプリター」(Tiny Meterpreter)によるオープンソースのプログラムだった。ただし攻撃に用いられた際にはソースが変更されており、「svchost.exe」へのプロセス注入が機能として追加されていた。

タイニー・メタインタプリターのバックドアは、次の二つの異なるマルウェアをコンピューターに侵入させていた。

1) スパイ・セクア Win32/Spy.Sekur
カーバナックが常に用いるマルウェア(トロイの木馬、2014年12月に検知)

2) ウェモシス Win32/Wemosis
POSシステムの RAMに紛れ込むマルウェア(バックドア、2011年3月に検知)

トレンドマイクロ社によっても言及されているように、カーバナックのマルウェアであるスパイ・セクアは、POSソフトウェア大手のエピコア(Epicor)/NSB社による販売管理システムを標的にしている。つまり、産業機器を狙ったマルウェアである。またウェモシスは、メモリ上にあるカード情報を蓄積しているPOSを狙うことを想定してつくられたバックドアであり、デルファイ(Delphi)で書かれている。攻撃者は感染したコンピューターをリモートで操作することができる。

この二つの実行ファイルの証明書は同じデジタル署名になっている。

スパイ・セクアとウェモシスの証明書

スパイ・セクアとウェモシスの証明書

証明書の詳細は、以下の通りである。

名称: ブリク(Blik)
有効期間: 2014年10月2日から2015年10月3日
拇印(サムプリント): 0d0971b6735265b28f39c1f015518768e375e2a3
シリアル番号: 00d95d2caa093bf43a029f7e2916eae7fb
サブジェクト: CN = ブリク
O = ブリク
通り = バーザリナ(Berzarina), 7, 1
町 =モスクワ(Moscow)
市 = モスクワ(Moscow)
郵便番号 = 123298
国名 = ロシア(RU)

なおこの証明書は、彼らが用いる別のマルウェア「スパイ・エージェントORM」Win32/Spy.Agent.ORM(2015年6月に検知)の電子署名においても使用されている。

スパイ・エージェントORMについて

「トシュリフ」(Win32/Toshliph)とも表記されるトロイの木馬で、カーバナックが最初の段階のペイロードの一つとして利用している。テスト版のバイナリに「ブリク」(Blik)と署名されている。ほかの点においても、よく利用されるカーバナックのマルウェアのコードとの共通性が幾つか見られる。

以下の二つのブログ記事がマルウェア・ファミリーとしての「スパイ・エージェントORM」について詳しく報告している。

1) サイフォート(Cyphort)社のレポート(2015年7月)
ウクライナ向けのEU大手銀行のユニクレジットのWebサイト(unicredit.ua)とニュースサイト(rbc.ua)の不正送金被害にスパイ・エージェントORMが使用されたことを明らかにしている。

2) ブルーコート(Blue Coat)社のレポート(2015年8月)
アルメニア中央銀行の従業員を狙ったスピア型フィッシング攻撃について解析しているが、上記の攻撃と同じペイロードが用いられている。

ESETのマルウェアレーダーにこのマルウェアが現れたのは2015年6月であり、その後、動向を追跡し続けているが、スピア型のフィッシングメールを使ってロシアやウクライナにあるさまざまな企業を攻撃しようとしているのを目撃している。そのメールには拡張子が「.scr」もしくは「.rtf」となっている不正ファイルが添付されていた。

サンプルとして、外国為替取引を行う最大手サイトであるフォレックス・ドットコム(Forex.com)に送られてきたロシア語のスピア型のメールを見てみよう。

 

スピア型メールの例(ロシア語)

スピア型メールの例(ロシア語)

メールの文面を要約すると以下のようになる。

「ルーブル為替レートが著しく不安定であるため、ロシア銀行は為替相場上の取引原則を通達する。添付ファイルのパスワードは「cbr」である」

もう一例、スピア型フィッシングのメールの本文を見てみよう。こちらは、ロシアの電子決済サービス大手に送られたものだ。

スピア型フィッシングのメールの本文

内容を要約すれば、こうなる。

「クレムリンのメディア監視機関の命令に従って御社は添付にある資料をブロックしなければならない。添付の個人情報リストのパスワードは「roscomnadzor」である」
*注 パスワードの「roscomnadzor」はクレムリンのメディア監視機関の名称。

ほかに、以下の名称を持つ添付ファイルからも同じように「.scr」ファイルが見つかっている。

ほかに、以下の名称を持つ添付ファイルからも同じように「.scr」ファイルが見つかっている。

これらの添付ファイルには全て「.scr」ファイルでパスワード保護されたアーカイブが含まれていた。ファイルのアイコンはAdobe Acrobat ReaderまたはMS Wordのものが用いられていた。

ほかのケースでは、攻撃者は、さまざまなエクスプロイト攻撃が可能なRTFファイルを使用している。その一つは、最新のMicrosoft Officeの脆弱性の一つであるCVE-2015-1770を攻撃するものであった。CVE-2015-1770はMS15-059において2015年6月にMicrosoftがパッチを当てている。

攻撃に用いられたRTFファイルには以下の名称が使われている。

攻撃に用いられたRTFファイルには以下の名称が使われている。

もう一例。アラブ首長国連邦の銀行に送られたスピア型フィッシングのメッセージは以下の通り。

スピア型メールの例(アラブ首長国連邦の銀行宛)

スピア型メールの例(アラブ首長国連邦の銀行宛)

さらにもう一例。ドイツ銀行に送られたメール。

スピア型メールの例(ドイツ銀行宛)

スピア型メールの例(ドイツ銀行宛)

 

スパイ・エージェントORM の技術的説明

スパイ・エージェントORMは、サイズが小さく内容もシンプルなバックドアである。攻撃者はこのバックドアを使って標的に潜り込み、内部を見定めることができる。実行されるとC&Cサーバーに接続してコマンドを受け取り、スクリーンショットを撮ったり、実行プロセスを一通り確認したり、システムのIDについての情報を得る。そしてその情報に基づいて、マルウェアの操作者は感染させたコンピューターが有用かどうかを決定する。つまり、意図した標的ではなく、偶然に感染させた後に、内容の見定めを行っていたのである。

C&Cサーバーから受け取ることのできるコマンドのリストは以下の通りである。

スパイ・エージェントORMのコマンド一覧

スパイ・エージェントORMのコマンド一覧

実際に利用された最新のマルウェアのサンプルには、上記の証明書とは異なるデジタル署名が見いだされた。

スパイ・エージェントORMの証明書

スパイ・エージェントORMの証明書

証明書の詳細は以下の通り。

名称: 旅行中の(In travel)TOV
有効期間: 2015年7月21日から2016年7月21日まで
拇印(サムプリント): 7809fbd8d24949124283b9ff14d12da497d9c724
シリアル番号: 00dfd915e32c5f3181a0cdf0aff50f8052
サブジェクト: CN =旅行中の(In travel)TOV
O =旅行中の(In travel)TOV
通り = プラヴディ通り(prospekt Pravdi)33
町 = キエフ(Kiev)
市 = キエフ(Kievskaja)
郵便番号 = 04108
国名 = ウクライナ(UA)

また、最新のサンプルでは脆弱性攻撃によってシステム権限を乗っ取ることが可能である。「ATMFD.dll」というオープンタイプ(OpenType)の管理モジュールにおいて用いられている「CVE-2015-2426」という脆弱性に対してこのトロイの木馬は攻撃を仕掛ける。この脆弱性はMicrosoft社によって「MS15-078」としてパッチが配布されている。このエクスプロイト攻撃は「ハッキングチーム」(Hacking Team)が放出したデータから発見された。

この件で利用された「Blik」のデジタル証明書は、単に「スパイ・エージェントORM」とカーバナック・マルウェアである「スパイ・セクア」とをつないでいるばかりではない。これらはコードにも共通点が見られるのである。例えば「BOTID」の値を生成する関数は、この二つのマルウェアではそれぞれ以下のようになっている。



「BOTID」は感染したコンピューターのハードウェアのパラメータに基づいて生成される固有の値である。この値を使って攻撃者はコンピューターを識別している。スパイ・エージェントORMもスパイ・セクアも、いずれの場合も生成された値はMACアドレスとコンピューター名に基づいており、そのため、最終的に値は「wsprintf」関数を使ってフォーマットされるのである。

国別統計データ

ウェモシスによって利用された、幾つかのC&Cドメインは以下のような割合で各国に分布している。

ウェシモスが利用しているC&Cドメインの各国比率

ウェシモスが利用しているC&Cドメインの各国比率

かなりターゲットを絞った攻撃が行われており、標的の合計数は絶対数が少ない。例えば米国の被害の場合、カジノやホテルの多いネバダ(ラスベガス)、カリフォルニア、ニューヨークなど、幾つかの州に限られている。

結論

悪名高いカーバナックAPTグループは、レポートにあったように、数百万ドルを盗み出した後でさえ、一息つくということがなかった。むしろ、より活発になっているとさえ言える。銀行、外国為替取引会社、さらには米国のカジノホテルなど、金融関連組織にターゲットを限定した攻撃を続けている。

ESETでは、2015年9月上旬に、とりわけ以下の国でカーバナックのグループによって使用されるマルウェアを検出している。

  • 米国
  • ドイツ
  • アラブ首長国連邦

これまで説明してきたように、彼らは常に複数のマルウェア・ファミリーを用いて攻撃を行う。決して単一のマルウェア・ファミリーではない。

スパイ・セクアとスパイ・エージェントORM、そしてウェモシスはマルウェア・ファミリーが異なっているのでコードもそれぞれ別である。だがこれらには類似した特徴があり、場合によっては同じデジタル証明書を含んでもいる。

さらに、攻撃者たちは最新のエクスプロイトを使って攻撃パターンを常にアップデートしている。例えば、Microsoftオフィスにおけるリモートでコードが実行されてしまうという脆弱性「CVE-2015-1770」や、「ハッキングチーム」によってリークされたゼロデイ攻撃に用いられた脆弱性「CVE-2015-2426」などを悪用している。

ESETでは引き続きこれからもカーバナックの挙動を監視し続ける。このテーマに関して、問い合わせやサンプルの提供などは、次のアドレスに一報を。
threatintel@eset.com

マルウェア攻撃の痕跡

以下は、カーバナック関連のIoC、すなわち、マルウェアの攻撃を受けたコンピューターに残されている痕跡の一覧である。

1. カーバナック・マルウェア SHA-1:
A048C093C5DA06AF148CA75299960F618F878B3A
3552338D471B7A406D8F7E264E93B848075235C0
3A9A23C01393A4046A5F38FDBAC371D5D4A282F1
8D5F2BF805A9047D58309788A3C9E8DE395469A8
BCF9E4DCE910E94739728158C98578A8D145BE56
8330BC5A3DCC52A22E50187080A60D6DBF23E7E6
E838004A216E58C44553A168760100B497E514E8
CF1F97879A6EB26FEDC7207D6679DFA221DD2D45
7267791340204020727923CC7C8D65AFC18F6F5B
F8CBF647A64028CAE835A750EF3F8D1AA216E46C
33870482BA7DE041587D4B809574B458C0673E94
3927835C620058EFCADF76642489FC13AACE305B
D678BD90257CF859C055A82B4A082F9182EB3437
0B8605D0293D04BBF610103039768CBE62E2FAAE
7A9BE31078BC9B5FECE94BC1A9F45B7DBF0FCE12

2. RTFエクスプロイト SHA-1:
D71E310ADF183F02E36B06D166F8E3AD54FDBCC9
5B6ABA51215A9662987F59AEF6CAE0A9E3A720B8
1AD84A244B7D4FBB4D89D023B21715B346027E49
E8514BF4C4E1F35FB1737C2F28A4A4CED07AA649
68EA12CDCCEE01D50C23EBC29CAA96BF40925DC6
AC95F01487B4F179A1F10684B1E0A5656940A005
B4A94A214FC664B8D184154431E1C5A73CA0AE63

3. スパイ・セクア C2サーバー:
weekend-service.com:80
seven-sky.org:80
comixed.org:80
91.207.60.68:80
89.144.14.65:80
87.98.217.9:443
82.163.78.188:443
50.62.171.62:700
31.3.155.123:443
216.170.116.120:80
216.170.116.120:700
216.170.116.120:443
194.146.180.58:80
193.203.48.41:700
185.29.9.28:443
178.209.50.245:443
162.221.183.11:80
162.221.183.11:443
162.221.183.109:443
141.255.167.28:443
104.232.32.62:443
104.232.32.61:443

4. スパイ・エージェントORM  SHA-1:
2DD485729E0402FD652CF613E172EA834B5C9077
5E8B566095FD6A98949EF5C479CE290F520DD9E2
8C2C08111F76C84C7573CF07C3D319A43180E734
36093A6004A9502079B054041BADC43C69A0BDEB
6F452C76F7AC00FE1463314F5AA0A80EC4F7360C
850E9A10E6D20D33C8D2C765E22771E8919FC3EE
A09F520DDED0D5292A5FA48E80DE02F9AF718D06
3707029DC5CBBE17FD4DE34134847F92E7324C45
905D0842CC246A772C595B8CF4A4E9E517683EB7
237784574AFB8868213C900C18A114D3FA528B95
6090853934833D0814F9239E6746161491CCCB44
3672C9F4E7F647F2AF9AE6D5EA8D9C7FF16FAF40
EC5DADAACAE763D0E55CE6A78C9A5F57B01A5135
4E8EE08FF4F8DC06AFF8DE2E476AFAFBA58BDC11
A734193F550DDA5C1FFD9FEC3A0186A0A793449C
EFC0555418A6ED641047D29178D0DA3AEFA7ADEB
B79E6A21D8C2813EC2279727746BDB685180751A
4DB58E7D0FCA8D6748E17087EB34E562B78E1FDE
567749B4F2330F02DD181C6C0840191CEE2186D9
3ACEA9477B219FC6B8C0A734E67339AE2EB2AA5B
2896814E5F8860E620AC633AF53A55D9AA21F8C0
84CC02B3C10306BFCECE8BF274B57475B056C6D6
207FF65543DAC6D1D9F86DFFD891C507AD24018B
D627DD4E3850CBD571AFC4799A331054C7080B0D
DCC932B878B374D47540D43A2DEE97F37D68267F
983D33F547588A59B53D7F794768B264454446D5
19E7C7A78C5D58945B615D98FF0990389485933F
DED83A1E3B6630D69077976CC01321FBC946DCE2
170142C042BF32FF86AF680EAD86CD1AF075B0CB
A77336620DF96642691C1E5B6C91511BFA76A5BE
3CEF1CA36A78CBA308FB29A46B20E5CA22D03289
DD01331ABFF03525506CDCBAC4D76CB4EFD602A4

5. RTFエクスプロイト  SHA-1:
1F9462AA39645376C74566D55866F7921BD848F7
81E43D653ACD2B55C8D3107E5B50007870D84D76
AC68AD2E5F5802A6AB9E7E1C1EC7FAB3C6BDBAA4
F869C7EA683337A2249908C21B9D3283CC2DD780
7162BB61CD36ED8B7EE98CBD0BFFEC33D34DD3E7
5943ABCF662DC9634B714B1358164B65E5651D15
A40BDF005B4B469D2C7BED1766C9DA9823E1CFB7
833A8D88BE11807BAE966D56B28AF7B3CC34DBCD
AF7564EE7959142C3B0D9EB8129605C2AE582CB7
DCC932B878B374D47540D43A2DEE97F37D68267F
6FF3AE5BA4E9A312602CBD44A398A02AB0437378
32AA4911BC6AB8098E496CD88790FF7147EC6AC3

6. スパイ・エージェントORM C2サーバー:
192.52.166.66
84.200.4.226
78.128.92.117
176.31.157.62
clients4-google.com (192.169.82.86)
adobe-dns-3-adobe.com (78.128.92.112)
img.in-travelusa.com (192.169.82.86)

7. タイニー・メタインタプリター SHA-1:
28D514FE46D8B5720FE27C40C3889F3B45967CC7
0B0884992F28A3C1439DBA60007076B22831CE51

8. ウェモシス SHA-1:
5E31DB305A97736C0F419A3F2F8F093FF6A1F56F

9. ウェモシス C2サーバー:
198.100.119.14

この記事をシェア

金融機関のセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!