Last Updated on 2024-07-06 09:15 by 門倉 朋宏
FIN7として知られる有名なサイバー犯罪グループが、米国の自動車産業を標的にしたスピアフィッシングキャンペーンを展開していることが明らかになった。このキャンペーンでは、Carbanak(別名Anunak)と呼ばれる既知のバックドアが使用されている。BlackBerryの研究と情報チームによると、FIN7はIT部門で働く、管理権限の高い従業員を特定し、無料のIPスキャンツールの提供を餌にしてAnunakバックドアを実行し、初期アクセスを確立している。このグループは、2012年以降、様々な業界を標的にして、販売時点情報(PoS)システムから情報を盗むマルウェアを配布してきた実績がある。近年では、ランサムウェア作戦に移行し、Black Basta、Cl0p、DarkSide、REvilなどの様々なランサムウェアを配布している。
2023年後半にBlackBerryが発見した最新のキャンペーンは、偽のサイト(”advanced-ip-sccanner[.]com”)へのリンクを埋め込んだスピアフィッシングメールから始まる。この偽サイトは、攻撃者が所有するDropboxにリダイレクトされ、そこから悪意のある実行ファイルWsTaskLoad.exeが被害者のマシンにダウンロードされる。このバイナリは、Carbanakの実行に至る多段階プロセスを開始し、POWERTRASHのような追加のペイロードを配布し、リモートアクセスのためにOpenSSHをインストールして持続性を確立する。攻撃者がランサムウェアの展開を計画していたかどうかは現在のところ不明であるが、感染したシステムは早期に検出され、ネットワークから削除されたため、横展開の段階には至らなかった。攻撃の対象となったのは、米国に拠点を置く大手多国籍自動車メーカーである。BlackBerryは、同じプロバイダー上に複数の類似の悪意のあるドメインを発見し、これがFIN7によるより広範なキャンペーンの一部である可能性を示唆している。このような脅威に対処するためには、フィッシング試みに注意し、多要素認証(MFA)を有効にし、すべてのソフトウェアとシステムを最新の状態に保ち、通常とは異なるログイン試みを監視することが推奨される。
【ニュース解説】
米国の自動車産業が、FIN7として知られる有名なサイバー犯罪グループによる最新の攻撃の標的になっています。このグループは、Carbanak(またはAnunakとも呼ばれる)バックドアを使用して、特にIT部門で働く管理権限の高い従業員を狙っています。攻撃は、無料のIPスキャンツールを餌にしたスピアフィッシングメールから始まり、最終的にはCarbanakの実行につながる複数段階のプロセスを経て、追加のマルウェアを配布し、リモートアクセスのための持続性を確立します。
FIN7は、2012年以降、様々な業界を標的にして情報を盗むマルウェアを配布してきた実績があり、近年ではランサムウェア作戦に移行しています。この最新のキャンペーンは、米国に拠点を置く大手多国籍自動車メーカーを標的にしており、同様の攻撃がより広範囲にわたって行われている可能性が示唆されています。
この攻撃は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、フィッシング試みに対する警戒、多要素認証(MFA)の有効化、ソフトウェアとシステムの最新状態の維持、異常なログイン試みの監視など、基本的なセキュリティ対策の徹底が求められます。
このような攻撃の背景には、サイバー犯罪者が絶えず新しい手法を開発し、既存のセキュリティ対策を回避する能力があります。そのため、企業は定期的なセキュリティトレーニングと従業員の意識向上プログラムを実施することで、内部からの脅威に対する防御力を高める必要があります。
また、この攻撃は、サイバーセキュリティの規制や基準を更新し、強化する必要性を示しています。特に、自動車産業などの重要インフラを標的とする攻撃は、社会全体に深刻な影響を及ぼす可能性があるため、国家レベルでの対策と国際的な協力が不可欠です。
長期的には、AIや機械学習などの先進技術を活用した自動化されたセキュリティシステムの開発が、サイバー攻撃の検出と防御の鍵を握ると考えられます。しかし、これらの技術自体が新たな脅威になる可能性もあるため、倫理的な使用と透明性の確保が重要になります。
from FIN7 Cybercrime Group Targeting U.S. Auto Industry with Carbanak Backdoor.
