検索:
ホーム   »   サイバー攻撃   »   標的型攻撃「Carbanak」が正規組織のIPアドレスを悪用か

標的型攻撃「Carbanak」が正規組織のIPアドレスを悪用か

  • 投稿日:2015年5月27日
  • 脅威カテゴリ:サイバー攻撃, TrendLabs Report
  • 執筆:Senior Threat Researcher - Maxim Goncharov
0

標的型サイバー攻撃キャンペーン「Carbanak」で利用されたコマンド&コントロール(C&C)サーバが「ロシア連邦保安庁(Federal Security Service of the Russian Federation、FSB)」関連の IPアドレスに名前解決されているという興味深い事象が確認されました。

「Carbanak」とは、銀行や金融機関を狙った標的型サイバー攻撃のキャンペーンです。2015年初旬に攻撃事例が確認されています。この攻撃では、標的型メールや脆弱性利用など、標的型サイバー攻撃で一般的に利用される手法が用いられていました。さらに攻撃者は、「初期潜入」のため、標的にしたネットワーク内情報を収集する「事前準備」も実施していました。標的にされた銀行や金融機関では侵入後の不正操作により、攻撃者の口座への送金が行われました。攻撃者は、送金に際して「国際銀行間通信協会(Society for Worldwide Interbank Financial Telecommunication、SWIFT)」のネットワークを利用していました。偽口座から送金するために電子決済システムを利用する場合や、ATM を指定した事例さえありました。

2015年5月、トレンドマイクロでは、「Carbanak」に関する報告の「侵入の痕跡(Indicators of Compromise、IOC)」について調査しました。その際、同報告で C&Cサーバとして特定されていたドメイン名「systemsvc.net」が IPアドレス「213.24.76.23」に名前解決されることを確認しました。さらに関連情報を調査したところ、このIPアドレスは、AS番号「AS8342 RTCOMM-AS OJSC RTComm.RU」の範囲下で、モスクワ市所在の FSB に関連することが判明しました。

図1:「systemsvc.net」上の情報
図1:「systemsvc.net」上の情報

弊社は、この興味深い事象を調べるため、別の IOC関連情報も調査してみましたが、このような不自然な事象に関する情報は得られませんでした。なぜ、標的型攻撃で使用されたC&Cサーバのドメインが、正規組織である FSB管轄の IPアドレスに解決されるような事象が発生したのか、理解に苦しみます。FSB の判断で「Carbanak」関連のドメイン名を FSBサービス関連の IPアドレスに指定したなどとは考えられません。このドメインの所有者である攻撃者が調査をかく乱する目的でやったのかもしれません。

このIPアドレスからさらに「逆引き」でドメインを検索してみると、「systemsvc.net」の他、複数のドメインがこのIPアドレスに名前解決されていることも判明しました。

図2:FSB の IPアドレスに解決されるドメイン
図2:FSB の IPアドレスに解決されるドメイン

本件について引き続き監視を続け、さらなる情報を確認した場合は、本ブログを通じてお知らせします。

参考記事:

  • 「Joke or Blunder: Carbanak C&C Leads to Russia Federal Security Service」
    by Maxim Goncharov (Senior Threat Researcher)

翻訳:臼本 将貴(Core Technology Marketing, TrendLabs)

Related posts:

  1. 脆弱性を突く文書ファイルの「ひな形」、複数の標的型攻撃で確認
  2. ネットワークを保護するために、ネットワーク上の脆弱からIT管理者が学ぶこと
  3. 暗号化型ランサムウェアの新種「JIGSAW」が仕掛ける悪質なゲーム
  4. 企業や家庭におけるルータのセキュリティ管理:Netgear製ルータの脆弱性から学ぶ
Tags: Carbanak


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.