Group-IBは7月25日(現地時間)、「GXC Team Unmasked|Group-IB Blog」において、新しいサイバー攻撃グループ「GXC Team」に関する調査結果を公開した。GXC Teamの攻撃ツールの革新的な機能は銀行セキュリティにとって深刻な脅威だという。

  • GXC Team Unmasked|Group-IB Blog

    GXC Team Unmasked|Group-IB Blog

「GXC Team」の詳細

Group-IBの調査によると、GXC Teamは2023年1月に活動を開始したスペイン語を話す犯罪組織とされる。主にAI(Artificial Intelligence)を悪用したサイバー攻撃ツールを開発し、プライベートのTelegramチャンネルやアンダーグラウンドフォーラムを通じてこれらを販売する。

攻撃ツールの主な標的はスペインの銀行顧客とされるが、他にも米国、英国、スロバキア、ブラジルの税務、政府サービス、電子商取引、銀行、暗号通貨取引所も標的とする。事業の中核は月額料金のマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)とみられる。

  • GXC Teamのプロファイル画像 - 引用:Group-IB

    GXC Teamのプロファイル画像 引用:Group-IB

GXC Teamはサービスの購入者に対し、なりすましドメイン名の登録とホスティングサービスの契約を含む、セットアップ済みのフィッシング環境を提供する。また、購入者は特別なTelegramチャットに登録され、Telegramボットで構成されたコマンド&コントロール(C2: Command and Control)サーバを利用できるようになる。

他の攻撃グループには見られない特徴とは

GXC Teamが提供するサービスは、他の脅威グループのサービスと異なり次の特徴があるとされる。

フィッシングキットとAndroidマルウェアのバンドル

フィッシング攻撃では通常の資格情報の窃取は行わない。「フィッシングを防ぐため」としてマルウェアのインストールを推奨する手法を使う。マルウェアはショートメッセージサービス(SMS: Short Message Service)のメッセージを窃取する機能があり、銀行口座の不正アクセスに必要な情報を収集する。

フィッシングキットにAI音声通話の統合

銀行の行員を装った最新の人工知能(AI: Artificial Intelligence)音声通話により、被害者から二要素認証(2FA: Two-Factor Authentication)の認証コードを聞き出したり、マルウェアをインストールしたりするよう指示する。

  • GXC Teamのフィッシングキットを使用した攻撃手順 - 引用:Group-IB

    GXC Teamのフィッシングキットを使用した攻撃手順 引用:Group-IB

対策

Group-IBはGXC Teamの攻撃を回避するため、オンラインバンキングを活用するユーザーに次の対策を推奨している。

  • メールやメッセージからの要求は必ず金融機関に確認する
  • 個人情報や金融機関との取引情報は、提供前に詐欺の可能性を確認する
  • 不審なWebサイトやリンクにはアクセスせず、非公式のWebサイトからアプリをダウンロードしない
  • 銀行およびその行員との連絡は、安全が確認されている方法(電話番号)のみを使用する

また、この手の犯罪者は被害者が沈黙することで繁栄するとして、被害に遭った場合は警察に通報することを推奨している。Group-IBは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。