企業の財務関係者を狙ったトロイの木馬が増加 - シマンテック

 

シマンテックは1月20日、企業の財務部門を狙うリモートアクセス型のトロイの木馬についてキュリティブログで解説した。

攻撃は、リモートアクセス型のトロイの木馬「Backdoor.Breut」「Trojan.Nancrat」を使って、企業の会計や資金振替を担当する従業員のPCから金銭情報を盗み出すというもの。

2015年頭からインド、米国、英国で確認されており、そのほとんどがインドに拠点を置く企業を狙うものであった。過去数カ月は、インドと米国を狙った活動が減り、英国における感染数が増加している。インドの企業には攻撃はBackdoor.Breut、英国の企業に対してはTrojan.Nancratを使っていた。

2015年を通じて感染活動の標的となった上位3カ国

攻撃は初歩的なソーシャルエンジニアリングの手法で、偽装したアカウントなどを使ってトロイの木馬をメールで拡散させている。メッセージのほとんどは、東部標準時(EST)の午前中に送信され、攻撃者が欧州か米国を本拠にしているものと推測されている。

件名は、企業の口座にアクセスできる従業員を欺くため、以下のように財務に関連した内容となっている。

  • Re:Invoice(請求書)
  • PO(注文書)
  • Remittance Advice(送金通知書)
  • Payment Advise(支払い通知書)
  • Quotation Required(要見積書)
  • Transfer Copy(送金控え)
  • TT Payment(電信為替支払い)
  • PAYMENT REMITTANCE(支払い送金)
  • INQUIRY(照会)
  • Qoutation(お見積もり)
  • QOUTATION(お見積もり)
  • Request for Quotation(見積もり依頼)

メールにはzipファイルが添付されており、受信者がファイルを開くとトロイの木馬に感染する。Backdoor.BreutとTrojan.Nancratのどちらの場合でも、感染させたPCを攻撃者がリモート制御できるようになる。

感染後は、攻撃者は時間をかけて調査を行い、金銭を盗み出す方法を検討する。例えば、パスワードを盗み出すためにWebカメラやマイクにアクセスし、利用者のキーストロークからパスワードでどのキーが使われているのかを読み取る。また、特定の財務処理ソフトウェアにアクセスして金銭情報を直接盗み取る。

攻撃者はC&Cサーバーのドメインに「cleintten101.no-ip.biz」「cleintten.duckdns.org」「clientten1.ddns.net」「akaros79.no-ip.biz」「mathew79.no-ip.biz」「clientten1.ddns.net」を使っていたことがわかっている。

シマンテックでは、今回の攻撃は、攻撃者のリソースが少なかったにも関わらず、「特定の従業員に対してトロイの木馬に感染に絞ることで、攻撃者は対象のコンピュータからかなりの金額と機密情報を盗み出している可能性がある」と指摘している。企業は手口に絞った攻撃があることを認識し、セキュリティ対策をすることが重要だとしている。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

ミス・モノクローム、真夏の店頭抽選会ツアーの開催決定! 旧譜フェアも開催
[22:30 6/26] ホビー
【レポート】マリオと共にソニック25周年を祝う -「ソニック25周年 アニバーサリーパーティー」
[22:29 6/26] ホビー
MF文庫J、6月新刊は8タイトル! 『ハイスクール・フリート』公式スピンオフ
[22:20 6/26] ホビー
[橋本愛]熊本の復興支援に「お手伝いできた」 「うつくしいひと」チャリティー上映で
[21:35 6/26] エンタメ
夏乃あゆみ新作は、祇園祭が題材の和風バディもの「祇園祭に降る黒い花」1巻
[21:19 6/26] ホビー

求人情報