APT攻撃グループ「DeathStalker」による攻撃活動は、フィンテックや金融サービスの電子取引に携わる個人や企業を標的にしています。従来のフィッシング手法ではなくTelegramのチャンネルを利用することで、ユーザーを信頼させて悪意のあるファイルを開かせていました。
[本リリースは、2024年10月30日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのグローバル調査分析チーム(GReAT)※はこのたび、インスタントメッセージアプリのTelegramを使用してトロイの木馬型スパイウェアを配布する、APT(持続的標的型)攻撃グループ「DeathStalker(デスストーカー)」による世界規模の新たな攻撃活動を発見しました。この攻撃活動は、フィンテックや金融サービスの電子取引に携わる個人や企業を標的にしており、配布されるマルウェアは、パスワードなどの機密性の高いデータを窃取し、ユーザーのデバイスを乗っ取ってスパイ行為を行うように設計されています。従来のフィッシング手法ではなく、メッセージングアプリのチャンネルが利用されていたことは、ユーザーが送信者を信頼し、悪意のあるファイルを開く可能性が高くなり、さらに、メッセージングアプリ経由でファイルをダウンロードする場合はセキュリティ警告が表示されることが少ないことから、攻撃者にとっては好都合です。
GReATのリサーチャーは、この攻撃活動は専門的なハッキングと金融インテリジェンスのサービスを提供する悪名高いhack-for-hire(雇われハッカー)型のAPT攻撃グループであるDeathStalkerと関連があるとみています。最近観測した相次ぐ攻撃において、攻撃グループは標的をリモートアクセス型トロイの木馬(RAT)マルウェアの「DarkMe」に感染させていました。リサーチャーの解析では、このマルウェアは感染させたデバイスから情報を窃取し、サイバー犯罪者が管理するサーバーから遠隔でさまざまなコマンドを実行するように設計されていました。この攻撃活動は少なくとも2023年10月から継続しており、最新の痕跡は2024年8月に確認しています。
この攻撃活動の技術的な特徴から、DarkMeがTelegram内のフィンテックや株式、暗号資産(仮想通貨)などのトピックに特化したチャンネル経由で配布された可能性が高く、攻撃者はこのような分野に携わるユーザーを標的にしていたとみています。攻撃活動は世界規模のもので、欧州、アジア、ラテンアメリカ、中東の20カ国以上で標的となったユーザーを確認しています。現在のところ、日本での攻撃活動は確認されていません。
リサーチャーが感染チェーンを解析した結果、攻撃者はTelegramのチャンネルの投稿に悪意のあるアーカイブファイルを添付していたと推測しています。RARファイルやZIPファイルなどのアーカイブ自体は有害ではないものの、そのファイルの中に「.LNK」「.com」「.cmd」などの拡張子がついた有害なファイルが含まれていました。標的となった人がこのようなファイルを実行すると、一連の動作により最終段階のマルウェアDarkMeがインストールされます。一方で攻撃者は、感染させたデバイスが標的に値しないと判断した場合、マルウェアを終了させるキルコマンドを送信することがあり、逆にスパイ活動の対象として適していると判断した場合は、追加のツールを展開することがあります。
マルウェアの配布にTelegramを使用することに加えて、攻撃者は運用上の自身のセキュリティ確保と感染させた後のクリーンアップという点でも攻撃手法を改善しています。当マルウェアは、インストールされた後、DarkMeインプラントを展開するために使用したファイルなどを削除していました。さらなる解析を阻止し検知を回避するために、攻撃者はDarkMeインプラントのファイルサイズを増やすほか、目的を達成した後に、侵入後の展開に使用したファイルやツール、レジストリキーなどの痕跡も削除していました。
かつては「Deceptikons」という名前で知られていたDeathStalkerは、少なくとも2018年から活動しているグループで、さらにさかのぼること2012年から活動していた可能性があります。このグループは、自前のツールセットを開発する能力とAPTエコシステムへの理解を備えた能力の高いメンバーを擁する、hacke-for hireのグループであると考えられています。主な目標は、自分たちの顧客に提供するための競合情報やビジネスインテリジェンスの目的で、企業情報、金融情報、プライベートな個人情報を収集することです。多くの場合、中小規模企業、金融企業、フィンテック企業、法律事務所を標的としており、数は少ないものの、政府機関を標的とするケースもあります。しかし、このような対象を標的としながらも、DeathStalkerが資金を窃取する行為は観測していないため、当社は、DeathStalkerは民間のインテリジェンス組織であると考えています。
またこのグループには、ほかのAPT攻撃者を模倣することで「偽旗作戦」を用い、自らの活動を特定されることを回避しようとする興味深い傾向も見受けられます。
KasperskyのGReATでリードセキュリティリサーチャーを務めるマーヘル・ヤマウト(Maher Yamout)は、次のように述べています。「今回のマルウェアの配布には、従来のフィッシング手法ではなく、Telegramのチャンネルが利用されていました。以前もこのグループによる攻撃活動がSkypeなどのメッセージングプラットフォームを初期感染経路として使用していたケースを観測しており、フィッシングサイトを用いるよりも標的ユーザーが送信者を信頼し、悪意のあるファイルを開く可能性が高くなると考えられます。さらに、メッセージングアプリ経由でファイルをダウンロードする場合は、通常のインターネットからダウンロードする場合よりもセキュリティ警告が表示されることが少ないと考えられ、この点も攻撃者にとっては好都合です。まずは不審なメールやリンクに注意するようにアドバイスしていますが、TelegramやSkypeなどのインスタントメッセージアプリに対しても警戒が必要です」
※ グローバル調査分析チーム(Global Research and
Analysis Team、GReAT、グレート)
GReATは当社の研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。