サイバー犯罪
ナイジェリアのBECグループ逮捕でインターポール、ナイジェリアEFCC、トレンドマイクロが連携
ナイジェリアの経済金融犯罪委員会は、インターポールのサイバー犯罪対策活動「Operation Killer Bee」の一環としてのおとり捜査により、日本を含む世界的な詐欺キャンペーンに関与していたナイジェリア出身の容疑者3名を逮捕しました。
ナイジェリアの経済金融犯罪委員会(EFCC、Economic and Financial Crimes Commission)は、インターポールのサイバー犯罪対策活動「Operation Killer Bee」の一環としてのおとり捜査により、日本を含む世界的な詐欺キャンペーンに関与していたナイジェリア出身の容疑者3名を逮捕しました。この捜査活動は、攻撃グループと彼らの手口に関する情報を提供したトレンドマイクロの協力のもと、インターポールと各国支局、東南アジア各国の法執行機関によって主導されました。
事件の背景
2020年初頭、新型コロナウイルスの流行に伴うロシアやサウジアラビアの石油生産縮小に関する石油輸出国機構(OPEC)の合意を前に、石油・ガス業界の企業が、マルウェア「Agent Tesla」を駆使する攻撃者によって狙われた事例が確認されました。この攻撃事例で使用された検体の解析により、トレンドマイクロでは、マルウェアの背後にいる攻撃者およびエジプトの大手石油会社を装った手口を明らかにしました。
- Agent Teslaの検出名:
TrojanSpy.MSIL.NEGASTEAL.THCAFBB - SHA-256:0f67d58cb68cf3c5f95308f2542df6ff2e9
444dc3efe9dd99dc24ab0f48a4756
解析の結果、このマルウェアは、ブラウザ、メールクライアント、FTP(File Transfer Protocol)、Wi-Fiなどのアプリケーションやプロトコルで使用される認証情報などを窃取する機能を備えていたことが判明しました。さらに、キー操作情報のログを取得したり、スクリーンショットを撮影したりすることも可能でした。
Agent Teslaを駆使した攻撃者は、ロシアの検索エンジン・ポータルサイト運営会社「Yandex」のメールサービスを使用し攻撃メールを送信していました。トレンドマイクロSmart Protection Network(SPN)のデータからは攻撃メールの送信先として、中東や東南アジアの国々を多く確認しています。これらの国々では、石油を生産する企業や工場の多くが操業していることからも理にかなっていると言えます。
トレンドマイクロでは、数カ月にわたる調査の結果、このAgentTeslaを使用した攻撃がビジネスメール詐欺(BEC)キャンペーンと関連することと共に、背後の攻撃者も特定し、インターポールおよびナイジェリアの経済金融犯罪委員会(EFCC)に提示することができました。さらに、マルウェアの感染状況や金銭的損失などの詳細についても説明し、攻撃者の手口を明らかにすることができました。ナイジェリア出身とされる攻撃者は、LokiBotやAgent Teslaなどのマルウェアを使用することで知られていました。
EFCCは、地域および国際的なパートナーシップを強化するため、先日タイのプーケットで開催されたインターポールのカンファレンスでこの情報を発表しました。トレンドマイクロは、この会議に参加し、現在および将来のサイバー脅威の動向(当社の「2021年年間セキュリティラウンドアップ」で取り上げた内容)を共有できたことを嬉しく思っています。
インターポールでは、この捜査活動作戦を「Operation Killer Bee」と名付け、Agent Teslaによる窃取情報によってビジネスメール詐欺(BEC)を実行した容疑者3名の逮捕に至りました。その際、EFCCは攻撃者PCなどを押収、それらのディスクイメージを元にトレンドマイクロはフォレンジック解析でも協力しました。
今回の事例に加え、最近の逮捕事例を合わせて考えると、ナイジェリアにおいてマルウェアやBECなどを駆使する攻撃グループが多数活動していることがわかります。最近の逮捕事例としては、2022年5月のインターポールによるナイジェリア人サイバー犯罪者の逮捕、トレンドマイクロ、パロアルト、Group-IB、セキュリティ企業各社の協力による逮捕事例などがあります。
容疑者に関する詳細
最初に特定した容疑者は、主にBECの活動に関与していました。この攻撃者が利用するドロップゾーンから請求書などが入手され、BEC攻撃により、メキシコ、スペイン、米国、ドイツの複数の企業が約6,000万米ドルの損害を被ったことが判明しています。また、スペインの石油ガス会社やメキシコの金融会社でも、別の情報窃取の攻撃グループから入手された請求書などにより、巨額の金銭が要求される事例も確認されました。
2番目に特定した容疑者は、技術的に熟練した人物であり、フィッシング活動の設定、情報窃取マルウェアの展開、スパムおよびBECキャンペーンの実行を担当し、70以上のフィッシングURLを使用していました。2019年4月から2020年8月にかけて、トレンドマイクロは、これらの攻撃に使用されたフィッシングキットのディレクトリ名を示す「excelz」という単語を含む144,000件の不正URLを検出しました。このうち、中国での検出が大半を占め、その他、米国、ドイツ、日本などでも検出されていました。
検出データの中でも、Excelファイルを偽装に利用したフィッシングサイトをホストしているドメイン数は1838に及んでおり、この容疑者は、フィッシングキットのレンタルを実施していた可能性もあります。この容疑者と最初に特定した人物とが共謀し、ディレクトリから自分たちのエイリアスが見えるようなフィッシングリンクを設定していたようです。彼らの手口は、通常、フィッシングページをホストするために正規サイトのWebシェル(Xleet)を侵害することでした。これにより正規サイトを侵害した後、自分たちの設定のため、非標準のポートからコントロールパネルにアクセスします。また、中国語や韓国語など、英語以外のフィッシング活動も確認されていました。主に「DHL Express」、「WebMail Upgrade」、「SF Express(中国)」などのブランド名が偽装に利用されていました。
フィッシング攻撃とは別に、この2番目の人物は、情報窃取型のマルウェアも展開していました。トレンドマイクロの解析によると、SkypeとICQを使用して他の攻撃者と通信し、メーラーのTurbo-Mailerを用いて、マルウェアの添付ファイルを含むスパムメッセージを送信していました。また、Gmailによってメールサービスを作成し、それを窃取した認証情報の受け皿として利用していました。そして、そのメールの一つはナイジェリアのIPアドレスを経由したテストのためのものとしてログが記録されていました。
さらなる解析の結果、彼らは、国コードや「LTD. PLC」などの識別子を使用して企業を標的にしていたことも明らかになりました。識別子の他、中国やその他の国々を対象にして「pharmaceuticals」、「suppliers」、「manufacturers」といったキーワードも駆使して標的となる企業を探索していました。実際、約230万件のメールアドレスがこれらのスパム攻撃キャンペーンの標的となり、200件以上のSMTP認証情報およびメールアドレスが盗まれたり、ハイジャックされたりしていました。また、これらの攻撃キャンペーンを実行するため、15台のSMTP付き仮想プライベートサーバ(VPS)を借用していたようです。いくつかのIPサーバは、フィッシング、恐喝用スパム、Remcos RATなどのツールとの関連が確認されていました。そしてトレンドマイクロが確認したドロップゾーンと前述のAgent Teslaとの関連性を調査し、Agent Teslaに関しては、以下のハッシュ値の検体を特定することができました。
- 58b3460db527dcface80872b12eebc8385
b94e70f4703e3ea05781b7979f814a - 5fc8a7b09c8cd50542203b5292a0e3650
c38e4fc5b5ad4ffef63ecfeb9783b6c
3人目の容疑者は、詐欺書類の所持、偽計による金銭の取得、不法収益の保持、なりすましを含む4つの訴因で有罪を認めました。彼は15件のメールアドレスに関与しており、そのうちのいくつかは、ドイツ、日本、韓国などの国の企業を狙ったBEC攻撃(攻撃者がGmailを使って企業名を詐称)に使用されていました。金銭を要求する文書詐称(約10万米ドルが要求されたと推定される)などもBEC攻撃実行の際に使用されました。そしてさらなる調査の結果、この人物は、1億3,300万米ドル相当の暗号資産ウォレットに関連していることも判明しました。
犯行の手口
今回特定された容疑者たちは、Agent Teslaを用いて2018年から活動を開始し、当初はフィッシング攻撃により、LokiBotやFareitなどの情報窃取型マルウェアを展開していることが確認されました。
今回逮捕されたナイジェリアの容疑者たちが使用した手口の典型的な流れは、下図のとおりとなります。
まず、インターネット上でメールアドレスを含む公開サイトを探し出し、その情報をテキストファイルに保存することから始まります。また、Lite Email Extractorなどのツールを使って、メールアドレスのスクレイピングを実行します。さらに標的を広げるためとして、Googleで「LTD PLC」や「manufacturing」や「suppliers」などの特定のキーワードで検索します。
こうして標的となるリストを入手した後、SkypeやICQを介して他の攻撃者たちとこれらの情報を共有することもあります。そして次のステップは、SMTPを備えたVPSサーバを購入するか、場合によっては、情報窃取型マルウェアに感染したメールサーバをハイジャックするケースもあります。VPSサーバには、メーラーのGammadyneやTurbo-Mailerをインストールし、フィッシングメールや不正ファイル付きスパムメールなどを作成し、入手したメールアドレスのリストを埋め込みます。また、その前にドメインも購入してフィッシング活動用に設定した上で、企業の公式サイトを模倣するケースなどもあるようです。さらに、サイバー犯罪者アンダーグラウンド市場から情報窃取型マルウェアを(通常はSkype経由で)入手し、C&Cサーバの設定やC&Cサーバのホスティングを設定するため、Crypterサービス(検出回避を目的とした暗号化や難読化を行うサービス)やサポートを依頼する場合もあるようです。これらの一連の準備が整った上で、GammadyneやTurbo-Mailerを実行したり、実行状態のままで放置したりします。
そしてさらに、感染の痕跡を最小限に抑えるため、Almahostingなどの防弾ホスティングサービス(BPH=IPアドレス偽装などを行う匿名化されたサービス)からリースされたクリーンなVPSサーバに対して、リモートデスクトッププロトコル(RDP)経由でアクセスするという手法もとります。その後、感染端末からドロップゾーンやC&Cサーバへの情報送信を待機します。情報窃取型Agent Teslaの場合、メールサーバの認証情報、Webブラウザの動作、被害者のIPアドレスなどを記録し、場合によっては、デスクトップのスクリーンショットやキーストロークの情報なども取得できます。この段階で、窃取情報のログを集約したり、他の攻撃者と情報共有したりして、BEC攻撃の実行へと移行します。そして標的にした企業や組織の弱点の把握、メールの会話をハイジャック、銀行口座の請求書を改ざん、企業や組織のパートナーやサプライヤーの追跡調査といった活動を開始します。また、被害者の銀行口座に認証情報を使ってログインし、被害者を監視しながら「振り込め詐欺」を実行します。この場合、各種ソーシャルエンジニアリングの手法を駆使してタイミングを見計らった上で、最終的に自分たちの口座に送金させるように仕向けます。
法執行機関と民間企業のパートナーシップの成功例
「Operation Killer Bee」のような法執行機関と民間企業が協力して行う共同捜査では、セキュリティ企業および業界の専門家が、自分たちのスキルセット、リソース、長年の経験をインターポールなどの法執行機関に提供することで、悪質な攻撃者やサイバー犯罪グループへの捜査と逮捕へ大きく尽力することができます。このパートナーシップにより、過去数年にわたり、多くのサイバー犯罪者の逮捕に成功しています。
こうした中、トレンドマイクロでは、サイバー犯罪の根本解決のためインターポールに協力できることは光栄なことであると考えています。今後もサイバーセキュリティを強化し、デジタル世界の安全を守るために、法執行機関とのさらなる協力体制を進めてまいります。
参考記事:
• 「Trend Micro Partners With Interpol and Nigeria’s EFCC for Operation Killer Bee, Takes Down Nigerian BEC Actor」
By: Paul Pajares
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)