12月上旬、米国の捜査当局は、この10年間で最も広く知られた一連のサイバー窃盗の首謀者として、Maksim Yakubets(別名「Aqua」)を指名手配しました。
さらに米国司法省は、この男の逮捕と有罪判決につながる情報提供者に対して、500万ドルの報奨金を提供することを発表しました。
Evil Corpという名で知られる組織の首謀者とされるMaksimには、複数の国での数千もの銀行口座の認証情報窃盗に関与したという疑いがかけられています。
Evil Corpは、マルウェアである「Dridex」(「Cridex」または「Bugat」とも呼ばれる)を利用して、被害者が気付かない間に、銀行口座から数千万ドルを盗み出したと言われています。
FBIでは、被害を受けた銀行は数百行におよび、被害総額は少なくとも1億ドル以上と見積もっています。
彼らの手口は、実に華麗でシンプルなものでした。
Evil Corpは、被害者にDridexをダウンロードさせるために、フィッシングメールに埋め込まれた悪意あるリンクに巧妙に誘導し、クリックさせます。
一旦マルウェアがインストールされると、キーロガーを使用してパスワードを取得したり、偽のバンキングページを作成して、被害者自らに認証情報を入力させるなど、思い通りのことを実行できるようになります。
フィッシングメッセージは、一見疑いのなさそうな依頼内容やドメインを組み合わせたり、正しい専門用語を使用するなど、非常に巧妙に作られています。
Evil Corpは、銀行口座の認証情報を悪用して、被害者の銀行口座からいわゆるマネー・ミュールのネットワークに電子送金を行い、そこからEvil Corpの口座に還流させます。
特に注目すべきは、Evil CorpがDridexマルウェアに対して継続的に改良を加えている点です。例えば、集中的なコマンドアンドコントロールセンター(C&C) からピアツーピアのボットネットに切り替えて、その活動を追跡しにくくするなどの改良です。
米国国家安全保障局(NSA) は、最近、「Top Ten Cybersecurity Mitigation Strategies(サイバーセキュリティ緩和戦略トップ10)」を発表しました。
このNIST(国立標準技術研究所)のサイバーセキュリティフレームワークと連携した戦略では、Dridexの戦術、技術、手順(TTP: Tactics, Techniques and Procedures) など、持続的標的型攻撃(APT攻撃)に使用される不正搾取のテクニックを無効にするためのリスクベースのアプローチを提供しています。
ここでは、特に以下の2点が推奨事項として挙げられています:
予防的な手順を確立することにより、企業は基本的な検出方法を超えた継続的な監視や、緩和戦略を駆使したリアルタイムでの脅威検知と緩和が可能になります。
最近、Vectra AI社では、CognitoプラットフォームにPrivileged Access Analytics(PAA、特権アクセス分析)を追加しました。
SOCチームは、AIベースのアルゴリズムで構成されたPAAによって、異常な活動や悪意を持つ活動に悪用される可能性のある特権アカウントを使った攻撃者の行動を、高い精度で検出することができるようになります。
Vectra AI社は、実際にユーザーアカウントのパターンを学習し、フィッシング攻撃などで認証情報が悪用された場合に、インテリジェントにアラートを発信します。
PAAを利用することで、SOCチームは、これらのタイプの攻撃を監視し防御することができます。
コマンドアンドコントロールチャネルを検出する広範なモデルが加わったことによって、Cognitoプラットフォームは、進化するマルウェア攻撃に企業が対抗するための強力なツールとなります。
脅威に関する最新情報や特権ベースの攻撃に関する詳細、また実際に稼動するCognitoプラットフォームのデモをご覧になりたい方は、vectra.ai/demo にアクセスしてください。
Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。
© 2023 Vectra AI, Inc. All rights reserved.
