サイバー犯罪
トレンドマイクロとインターポールが作戦「Operation Synergia」で再び協力
トレンドマイクロは、他の民間企業とも合同でインターポールの作戦「Operation Synergia」に参加しました。この国際的な作戦によって1,000以上ものC&Cサーバを解体することに成功し、さらにランサムウェア、バンキングマルウェア、フィッシング活動の容疑者を特定するに至りました。
トレンドマイクロは、他の民間企業とも合同でインターポールの作戦「Operation Synergia」に参加しました。この国際的な作戦によって1,000以上ものC&Cサーバを解体することに成功し、さらにランサムウェア、バンキングマルウェア、フィッシング活動の容疑者を特定するに至りました。
トレンドマイクロは、長年に渡って法執行機関に脅威インテリジェンスを提供し、協同活動を行ってきました。最近、弊社は他の民間企業とも合同で、インターポール(国際刑事警察機構)の作戦「Operation Synergia」に参加しました。本作戦では、主に3種の脅威(ランサムウェア、バンキング型トロイの木馬、フィッシング)に対する捜査を行い、結果としてボットネットやマルウェア通信、フィッシング詐欺、ランサムウェア攻撃に使用される1,300ものコマンドコントロール(C&C:Command and Control)サーバを解体することに成功しました。この国際的な作戦には55カ国が参加し、対象サーバの約70%が撤去されるに至りました。
本作戦においてトレンドマイクロは、上記3種の脅威に関連する不正なIPアドレスを提供しました。当該の情報は、インターポールによる63件(図1)のサイバー活動レポート(Cyber Activity Reports)に寄与しました。その結果、作戦の過程で30件の家宅捜索が行われた他、フィッシング、マルウェア、ランサムウェア活動に関与する70名の容疑者が特定されました。
画像の出典:INTERPOL
2023年前半に「Trend Micro™ Smart Protection Network™」を通して検知された不正なIPアドレスの多くは、ランサムウェアに関与するものであり、全体の77.3%に達しました(図2)。こうした不正なIPアドレスを検知してインターポールなどの法執行機関(LEA:Law Enforcement Agency)に提供することは、巧妙化し続けるランサムウェアや各種サイバー犯罪の脅威に対抗する上で、大きな力になるものと考えられます。
マルウェアの種別
インターポールの作戦を支援するため、トレンドマイクロでは、個々のC&Cサーバと通信するマルウェアの種別を分析しました。結果、対象マルウェアの多くは、ランサムウェアのアクティブ化ツールや、初期アクセス用ツールとして動作することが判明しました。ランサムウェア感染を防ぐ上では、当該ツールを事前に食い止めることが重要なタスクとなります。サーバとの接続に多用されたマルウェアの種別として、情報窃取型トロイの木馬、リモートアクセス型トロイの木馬(RAT:Remote Access Trojan)、ダウンロード用ツール、ボットネットなどが見られました(図3)。
今回の作戦で捜査対象となったRATとして、主にDCRat、Cobalt Strike、Remcos、AsyncRATなどが挙げられます。また、窃取ツールとしてはArkeiStealer、Azorult、Raccoon、StealCなどが挙げられます。
Cobalt Strike
本作戦においてトレンドマイクロは、バンキング型トロイの木馬、ランサムウェア、フィッシングに関与するインフラの情報をインターポールと共有しました。これらのインフラから確認されたマルウェアの代表例として、Cobalt Strikeが挙げられます。Cobalt Strikeはもともとサイバーセキュリティチームやレッドチームによる正規なテストに使用されていたものですが、その一方で、サイバー犯罪者によるC&Cサーバとの通信や、標的端末間における水平移動・内部活動の手段としても不正利用されてきました。実際にCobalt Strikeを利用する巧妙なランサムウェアファミリとして、Black Basta、BlackCat、Royal、Rhysidaなどが挙げられます(図4)。
AsyncRAT
先述のインフラに関与するマルウェアとして、ローダの他に、AsyncRATと呼ばれるRATも特定されました。攻撃者はRATを用いることで感染システムに遠隔アクセスし、情報窃取や偵察活動、追加マルウェアの実行など、さまざまな不正行為に及ぶ可能性があります。トレンドマイクロの「Managed XDRチーム」では、2023年12月にAsyncRATの活動に関する調査結果を発表し、AsyncRATのバックドア用コマンドが設定情報に応じて変化することを示しました。コマンドの一例として、図5に示すキーロガーが挙げられます。
RedLine Stealer
作戦「Operation Synergia」においてトレンドマイクロが確認した重要なマルウェアとして、情報窃取ツール「RedLine Stealer」が挙げられます。2023年には本窃取ツールが活発に利用され、さまざまな手口が行使されました。具体的には、スピアフィッシングによる攻撃キャンペーン、EV(Extended Validation)コード署名証明書を用いたランサムウェア用ペイロードの配備、人気が高まっているAIツールを装った配布経路、などが挙げられます(図6)。
C&Cサーバの所在地
トレンドマイクロは、インターポールの「Cyber Fusion Centre(CFC)」による活動を継続的にサポートし、世界各地(図7)のC&Cサーバを特定してその情報を共有することで、脅威情報の包括的な理解に寄与してきました。弊社とCFCの提携によってボットネットサーバが広域的に駆逐され、犯罪グループが混乱に陥り、さらに複数の攻撃者が逮捕されるに至ったことは、この国際的な連携の成功を示すものです。以前にも弊社は、インターポールによるアフリカ諸国を対象とする作戦「Africa Cyber Surge I and II」に参加し、その成果に寄与しました。
さらに弊社は、クウェート、香港、シンガポール、ボリビア、ヨーロッパ諸国に配置されたC&Cサーバの所在地情報を提供しました。これらの全てが作戦の実行対象となったわけではありません(対象に含めるかどうかは、作戦への参加国に依存する)。しかし、当該のテレメトリ情報は、法執行機関が各参加国と協調して必要な援助を求める上で役立つものであり、サイバー犯罪との戦いに寄与するものと考えられます。
インターポールとの協力
トレンドマイクロはこれまで長期に渡って世界各地の法執行機関と提携し、協同活動を行ってきました。民間企業と法執行機関が提携することで、セキュリティ組織や関連業界の専門家は、持てるスキルやリソース、長年の経験を発揮し、不正な活動の調査や摘発に繋げることが可能となります。猛威を振るうスパム活動を筆頭にサイバー犯罪の手口が進化する中、法執行機関も状況に合わせて戦略を刷新しています。その中で特筆に値する戦略の1つが「smart operation」であり、サイバー犯罪のインフラに対して広大な網をしかけ、短期間のうちに作戦を敢行し、次の行動に繋がる有用な情報を取得します。
トレンドマイクロはインターポールと長年に渡って提携し、多数の犯罪活動を解体することに成功しました。例えば昨年は、作戦「Africa Cyber Surge I and II」を通してアフリカのサイバー犯罪ネットワークに打撃を与えた他、「16shop phishing kit」の解体にも寄与しました。2022年には作戦「Operation Killer Bee」に参加し、ビジネスメール詐欺(BEC:Business Email Compromise)の活動者が逮捕されるに至りました。2021年に参加した作戦「Operation Cyclone」では、ランサムウェア「REvil」や「Cl0p」のメンバーが逮捕されました。トレンドマイクロは今後も法執行機関と提携し、あらゆるものが繋がり合う今日の社会を安全に保護するミッションのために、取り組んでまいります。
参考記事:
Trend Micro and INTERPOL Join Forces Again for Operation Synergia
By: Trend Micro
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)