シマンテックは1月20日、企業の財務部門を狙うリモートアクセス型のトロイの木馬についてキュリティブログで解説した。

攻撃は、リモートアクセス型のトロイの木馬「Backdoor.Breut」「Trojan.Nancrat」を使って、企業の会計や資金振替を担当する従業員のPCから金銭情報を盗み出すというもの。

2015年頭からインド、米国、英国で確認されており、そのほとんどがインドに拠点を置く企業を狙うものであった。過去数カ月は、インドと米国を狙った活動が減り、英国における感染数が増加している。インドの企業には攻撃はBackdoor.Breut、英国の企業に対してはTrojan.Nancratを使っていた。

2015年を通じて感染活動の標的となった上位3カ国

攻撃は初歩的なソーシャルエンジニアリングの手法で、偽装したアカウントなどを使ってトロイの木馬をメールで拡散させている。メッセージのほとんどは、東部標準時(EST)の午前中に送信され、攻撃者が欧州か米国を本拠にしているものと推測されている。

件名は、企業の口座にアクセスできる従業員を欺くため、以下のように財務に関連した内容となっている。

  • Re:Invoice(請求書)
  • PO(注文書)
  • Remittance Advice(送金通知書)
  • Payment Advise(支払い通知書)
  • Quotation Required(要見積書)
  • Transfer Copy(送金控え)
  • TT Payment(電信為替支払い)
  • PAYMENT REMITTANCE(支払い送金)
  • INQUIRY(照会)
  • Qoutation(お見積もり)
  • QOUTATION(お見積もり)
  • Request for Quotation(見積もり依頼)

メールにはzipファイルが添付されており、受信者がファイルを開くとトロイの木馬に感染する。Backdoor.BreutとTrojan.Nancratのどちらの場合でも、感染させたPCを攻撃者がリモート制御できるようになる。

感染後は、攻撃者は時間をかけて調査を行い、金銭を盗み出す方法を検討する。例えば、パスワードを盗み出すためにWebカメラやマイクにアクセスし、利用者のキーストロークからパスワードでどのキーが使われているのかを読み取る。また、特定の財務処理ソフトウェアにアクセスして金銭情報を直接盗み取る。

攻撃者はC&Cサーバーのドメインに「cleintten101.no-ip.biz」「cleintten.duckdns.org」「clientten1.ddns.net」「akaros79.no-ip.biz」「mathew79.no-ip.biz」「clientten1.ddns.net」を使っていたことがわかっている。

シマンテックでは、今回の攻撃は、攻撃者のリソースが少なかったにも関わらず、「特定の従業員に対してトロイの木馬に感染に絞ることで、攻撃者は対象のコンピュータからかなりの金額と機密情報を盗み出している可能性がある」と指摘している。企業は手口に絞った攻撃があることを認識し、セキュリティ対策をすることが重要だとしている。