シマンテックは、フィリピンの銀行があるグループの攻撃を受けていることを確認しています。これは、バングラデシュの中央銀行から 8,100 万米ドルを盗み、ベトナムの Tien Phong 銀行からも 100 万ドルを盗み出そうとしたグループです。
そのグループが使っているマルウェアが、フィリピンの銀行を狙った標的型攻撃にも使われました。それだけではなく、この攻撃に使われたツールの一部では、Lazarus として知られる脅威グループが関与する歴史的な攻撃で使われていたマルウェアと共通するコードも見つかっています。この攻撃は、2015 年 10 月までさかのぼることができますが、それはベトナムで攻撃未遂が発覚した 2 カ月前に当たります。つまり、これが確認されている最初のインシデントということです。
バングラデシュの中央銀行に対する攻撃では、攻撃者がマルウェアを使って不正取引の証拠を隠そうとしたことが判明してすぐ、決済ネットワーク SWIFT による警告が発せられました。SWIFT はさらに警戒を促し、別の銀行に対しても類似の手口でマルウェアが使われている証拠をつかんだと発表しました。それに続いてベトナムの Tien Phong 銀行も声明を出し、昨年の第 4 四半期に 100 万ドルを超える不正送金を阻止したと発表しています。SWIFT はこの第 2 の攻撃から、「広範囲で適応能力の高い攻撃活動」が、銀行を標的として進行中であると結論しました。
第 3 の銀行、エクアドルの Banco del Austro も、SWIFT の不正送金を使った攻撃で 1,200 万ドルの損害を被ったと報告していますが、今のところ、このインシデントで使われたツールの詳細と、アジアでの攻撃との関連性はわかっていません。
攻撃者が使った他のツールを特定
シマンテックは、東南アジアの金融機関を狙った限定的な標的型攻撃で使われていたマルウェアとして、Backdoor.Fimlis、Backdoor.Fimlis.B、Backdoor.Contopee の 3 種類を特定しました。当初、これらの攻撃の動機は不明でしたが、Trojan.Banswift(バングラデシュの攻撃で SWIFT の取引に悪用された)と、初期に現れた Backdoor.Contopee の亜種との間でコードが共有されていることから、つながりが判明しています。
Trojan.Banswift のサンプルを解析中に、ファイルを消去する独特のコードが見つかりました。このコードで目立つのは、たとえば以下のような特徴です。
- 関数は、上書きするファイルのパスと、イテレーションの回数(最大 6 回)の 2 つのパラメータをとる
- 最初に、ターゲットの最終バイトを 0x5F で上書きする
- 上書きプロセスでどのバイトを上書きするか指示するために、6 つの "control" バイトが指定されている
図 1. Trojan.Banswift と、Lazarus が使う他のツールで見つかった独自の消去コード
これだけでも、このコードの特徴は明らかですが、さらに注目すべき点がありました。"control" バイトを正確な組み合わせで含む他のマルウェアを探したところ、初期型の Backdoor.Contopee の亜種が見つかり、バングラデシュの攻撃を分析した先日の BAE ブログでも取り上げられていた "msoutc.exe" サンプルも見つかったのです。
マルウェアのファミリー間で特徴的なコードが共有されていることと、Backdoor.Contopee がこの地域で金融機関を狙う限定的な標的型攻撃に使われているという事実から、どのツールも同じグループのものとシマンテックは考えています。
歴史に残る攻撃
Backdoor.Contopee は以前から、Lazarus として知られる大規模な脅威グループに関係する攻撃者によって利用されています。Lazarus グループは、2009 年から続く活発な攻撃に関与しており、主として米国と韓国に狙いを絞っていました。このグループが使っていたトロイの木馬 Backdoor.Destover は攻撃力がきわめて高く、Sony Pictures Entertainment 社への攻撃に使われたことを受けて FBI が警告を発するほどでした。FBI は、北朝鮮政府がこの攻撃について有責であると結論しています。
Lazarus グループに対しては、産業横断的な Operation Blockbuster という作戦が展開され、大手セキュリティベンダーも参加するなど、民間と政府の組織が Lazarus に対する防備を固められるように、情報とリソースを共有しました。この作戦の一環として、ベンダー各社はマルウェアのシグネチャなど、この攻撃者に関する有益な情報を回覧しています。
終わらない危険
次々と攻撃が見つかるのは、それに関与するグループが東南アジアの金融機関を狙って大々的な活動を展開していることの証左です。このグループによる脅威について警戒意識は強まっているものの、最初に大きな成功例があったことで、他のグループによる類似の攻撃が誘発される恐れもあります。銀行をはじめとする金融機関は、警戒を怠らないようにしてください。
保護対策
シマンテックとノートンの製品をお使いであれば、以下の検出定義でこれらの脅威から保護されています。
ウイルス対策
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】