Last Updated on 2024-08-16 06:26 by admin
メキシコの金融機関が、オープンソースのリモートアクセストロイの木馬(RAT)であるAllaKore RATの改変版を配布する新たなスピアフィッシングキャンペーンの標的になっています。この活動は、経済的動機を持つ未知のラテンアメリカ拠点の脅威アクターによって行われていると、ブラックベリーのリサーチおよびインテリジェンスチームが特定しました。キャンペーンは少なくとも2021年から活動しています。
攻撃者は、メキシコ社会保障機構(IMSS)の命名規則を使用し、インストールプロセス中に正規の無害な文書へのリンクを使用しています。AllaKore RATのペイロードは、盗まれた銀行の資格情報とユニークな認証情報をコマンドアンドコントロール(C2)サーバーに送信し、金融詐欺を目的として大幅に変更されています。特に年間売上高が1億ドルを超える大企業が狙われています。対象となる企業は小売、農業、公共部門、製造、運輸、商業サービス、資本財、銀行部門にまたがっています。
感染チェーンは、フィッシングまたはドライブバイコンプロマイズを介して配布されるZIPファイルから始まり、MSIインストーラーファイルを含んでおり、これが.NETダウンローダーをドロップし、被害者のメキシコの地理的位置を確認し、変更されたAllaKore RATを取得します。AllaKore RATは、2015年に初めて観察されたDelphiベースのRATです。
脅威アクターによってマルウェアに追加された新しい機能には、メキシコの銀行や暗号通貨取引プラットフォームを対象とした銀行詐欺に関連するコマンドのサポート、リバースシェルの起動、クリップボード内容の抽出、追加のペイロードの取得と実行が含まれます。脅威アクターがラテンアメリカと関連していることは、キャンペーンで使用されたメキシコのStarlink IPと、変更されたRATペイロードへのスペイン語の指示の追加から来ています。さらに、使用されるルアは、メキシコ社会保障機構(IMSS)部門に直接報告するほど十分に大きな企業にのみ機能します。
「この脅威アクターは、金銭的利益を目的としてメキシコの実体を執拗に標的にしています」と同社は述べています。「この活動は2年以上続いており、停止する兆しはありません。」
この発見は、IOActiveがLamassu DouroビットコインATMに存在する3つの脆弱性(CVE-2024-0175、CVE-2024-0176、CVE-2024-0177)を特定したと発表したのと同時期のものです。これらの脆弱性を悪用することで、物理的アクセスを持つ攻撃者はデバイスの完全な制御を取り、ユーザーの資産を盗むことができます。攻撃は、ATMのソフトウェア更新メカニズムと、独自の悪意のあるファイルを供給し任意のコードの実行をトリガーするためにQRコードを読み取るデバイスの能力を悪用することによって可能になります。これらの問題は、スイスの会社によって2023年10月に修正されました。
【ニュース解説】
メキシコの金融機関が、特定のリモートアクセストロイの木馬(RAT)を利用した新たなサイバー攻撃の標的になっているという報告があります。この攻撃は、経済的な利益を追求するラテンアメリカに拠点を置く未知の脅威アクターによって行われており、2021年から活動が確認されています。
攻撃の手口としては、メキシコ社会保障機構(IMSS)に関連するように見せかけたフィッシングメールを用いています。これにより、被害者が信頼してファイルを開くと、改変されたAllaKore RATがインストールされ、被害者の銀行情報や認証情報が攻撃者に送信される仕組みです。特に大企業がこの攻撃の主な標的となっており、様々な産業分野にわたっています。
感染のプロセスは、ZIPファイルを介して開始され、その中に含まれるインストーラーが.NETダウンローダーを展開します。このダウンローダーは、被害者がメキシコにいることを確認した後、改変されたAllaKore RATをダウンロードします。AllaKore RATは、キーロギング、スクリーンキャプチャ、ファイルのアップロード・ダウンロード、被害者のマシンのリモートコントロールなどの機能を持つマルウェアです。
攻撃者は、マルウェアに新たな機能を追加しており、これにはメキシコの銀行や暗号通貨取引プラットフォームを狙った詐欺コマンド、リバースシェルの起動、クリップボードの内容抽出、追加のペイロードの取得と実行などが含まれます。攻撃者がラテンアメリカと関連していることは、使用されたIPアドレスやスペイン語の指示からも明らかです。
このような攻撃は、企業のセキュリティ体制に大きな影響を与える可能性があります。特に金融情報が盗まれることによる経済的損失や、企業の信頼性の低下が懸念されます。また、攻撃が2年以上続いていることから、持続的な脅威として認識し、対策を講じる必要があります。
この報告は、ビットコインATMの脆弱性が発見されたことと時期を同じくしており、サイバーセキュリティの脅威が金融機関だけでなく、暗号通貨のインフラにも及んでいることを示しています。これらの脆弱性を悪用することで、攻撃者はATMを完全に制御し、ユーザーの資産を盗むことが可能になります。このような脆弱性は、ソフトウェアの更新メカニズムやQRコードの読み取り機能を悪用することで発生しますが、幸いにも問題は修正されています。
このニュースは、サイバーセキュリティの重要性を改めて浮き彫りにしています。企業は、フィッシング対策や従業員のセキュリティ教育、システムの定期的な更新とパッチ適用など、総合的なセキュリティ対策を強化することが求められます。また、攻撃の検出と対応を迅速化するための体制を整えることも重要です。将来的には、より高度なサイバー攻撃に対抗するために、AIや機械学習を活用したセキュリティソリューションの開発が進むことが予想されます。
from AllaKore RAT Malware Targeting Mexican Firms with Financial Fraud Tricks.