12月初旬、米国は過去10年間で最も著名なサイバー窃盗キャンペーンを行ったとされるアクアことマクシム・ヤクベッツを起訴した。さらに米司法省は、彼の逮捕と有罪判決につながる情報に対して500万ドルの懸賞金を提供した。
Maksim は、Evil Corp として知られるグループの創設メンバーであり、複数の国の被害者から数千の銀行口座情報を盗んだとされている。Dridexとして知られるマルウェア(CridexまたはBugatとも呼ばれる)を活用することで、Evil Corpは無意識のうちに被害者から数千万ドルを吸い上げることに成功したと報告されている。FBIは、Dridexが数百の銀行で1億ドル以上の損失をもたらしたと推定している。
その攻撃は、単純であると同時にエレガントであった。Evil Corpは、被害者にフィッシングメールの悪質なリンクをクリックさせ、Dridexをダウンロードさせたと言われている。いったんインストールされると、このマルウェアはキーロガーを使ってパスワードを取得したり、偽のバンキング・ページを作成したりして、誰かを騙して自発的に認証情報を入力させる。フィッシング・メッセージは、正規の企業名やドメイン名、正しい専門用語を組み合わせて巧妙に作られていることが多かった。
イービルコープは銀行口座の認証情報を手に入れ、被害者の銀行口座からいわゆるマネーミュールのネットワークへの電子送金を手配し、そのマネーミュールがイービルコープに送金を送り返すと報じられている。
特に注目すべきは、Evil CorpがDridexマルウェアを継続的に改良している点で、例えば、中央集中型のコマンド&コントロール・センターからピアツーピアのボットネットに切り替えることで、活動を追跡しにくくしている。
米国家安全保障局(NSA)はこのほど、「サイバーセキュリティ緩和戦略トップ10」を発表した。NIST のサイバーセキュリティフレームワークに沿ったこの戦略は、Dridex の戦術、技術、手順(TTP)など、APT(Advanced Persistent Threat:持続的脅威)アクターが使用する悪用テクニックを軽減するためのリスクベースのアプローチを提供しています。
特に注目すべきは、以下の2つの提言である:
- 特権とアカウントを守る。 リスク・エクスポージャーに基づき、運用を維持するために必要な権限を割り当てる。脅威者は、高価値の資産にアクセスし、ネットワーク内を横方向に移動するために、管理者認証情報を狙い続けているため、特権アカウントとサービスを制御する必要がある。
- ネットワークへの侵入を継続的に探す。 検知 、ネットワーク内の悪意のある存在を封じ込め、除去するための積極的な措置を講じる。企業組織は、侵害が発生したことを想定し、専門のチームを使用して、ネットワーク内の脅威アクターを継続的に探し出し、封じ込め、排除する必要があります。
プロアクティブ・ステップを確立することで、基本的な検知方法を超えて、継続的なモニタリングとミティゲーション戦略によるリアルタイムの脅威検知と修正が可能になる。
当社は最近、Vectra のCognitoプラットフォームにPrivileged Access Analyticsを追加しました。PAAはAIベースのアルゴリズムで構成され、セキュリティ・オペレーション・センター(SOC)チームに、通常とは異なる悪意のある潜在的な行動で活用される特権アカウントを含む攻撃者の行動を忠実に検知します。事実上、Vectra はユーザーアカウントのパターンを学習し、フィッシング攻撃のように認証情報が悪用された場合にインテリジェントに警告を発します。
PAAは、SOCチームがこの種の攻撃を監視し、防御することを可能にします。コマンド&コントロール・チャネルを検知する広範なモデルに加えて、Cognitoプラットフォームは、企業に対する進化するマルウェア攻撃に対抗する強力なツールとなります。
脅威の行動と特権ベースの攻撃に関する詳細、またはCognitoプラットフォームの動作については、vectra.ai/demoをご覧ください。