トレンドマイクロ、インターポールとの連携でバンキングトロジャン「Grandoreiro」の脅威を排除
本稿では、インターポールが主導した、ブラジルとスペインの法執行機関によるGrandreiroの共同解析調査に、トレンドマイクロがどのように貢献したかについて説明します。
2023年4月、国際刑事警察機構 (インターポール)は、バンキングトロジャン「Grandoreiro」に関連する感染の痕跡(IOC, Indicator of Compromise)や、その他の情報、特にコマンド&コントロール(C&C)サーバについて情報提供を求めました。Grandoreiroは2018年頃に初めて登場して以来、新たな機能や性能を備えながら進化しており、主に南米や欧州地域のユーザを標的にしています。インターポールは、国際的なサイバー犯罪調査の一環としてGrandoreiroの検体解析を行っていたブラジルとスペインの法執行機関(LEA, Law Enforcement Agent)を支援していました。そして、トレンドマイクロは、他の民間パートナーと共にインターポールにおけるその活動のパートナーとして貢献しました。インターポールが実施したこの活動の成果として、ブラジル当局が発表したとおり、Grandoreiroによる攻撃活動に関与したとされる管理者5名が逮捕されました。
Grandoreiroは、フィッシングメール、不正な添付ファイル、もしくは偽のWebサイトに誘導されるリンクを介して拡散します。これらが利用されるメールは、銀行や金融機関といった正規の組織になりすますことでユーザを騙し、このマルウェアをダウンロードして実行させます。Grandoreiroは、被害者のシステムにインストールされると、典型的なバンキングトロジャンとして機能し、機密の財務情報等を窃取することを目的としています。時間の経過とともに、Grandoreiroはさまざまな更新や修正が施され、セキュリティソフトやセキュリティ対策による検出を回避するための回避技術と難読化手法を強化してきました。
トレンドマイクロの貢献
トレンドマイクロが今回の作戦活動に貢献した内容を要約すると以下のとおりとなります。
- 2023年1月から4月までのトレンドマイクロのスレットインテリジェンスデータによると、Grandoreiroに関連する検出台数が最も多かった国はアルゼンチンで1,118件、次いでトルコが322件、メキシコが265件となっていました。
- トレンドマイクロは、マルウェアの検体解析から見つかった銀行名や特定の文字列等の追加リストを提供しました。これらは、ユーザがアクセスしているWebページのURLやタイトルにリストの文字列が含まれているかどうかを確認することで、ユーザのブラウジング活動を監視するために利用されました。
- 調査の過程で、GrandoreiroがC&C通信にドメイン生成アルゴリズム(DGA)を利用していることが発見されました。さらなる知見を得るために、トレンドマイクロでは、複数の検体で見つかった文字列とサブドメインのリストからすべての可能なドメインを生成しました。その結果、4,000を超えるDGAが生成され、当時Grandoreiroが使用していたC&Cサーバにピボットするための貴重な情報を提供しました。
- 185.191.228[.]227/autorizar.php (米国)
- 192.95.6[.]196/23112022new/autorizar.php (カナダ)
- 51.77.193[.]20/eliteseguros/autorizar.php (フランス)
- トレンドマイクロでは、不正なメールの添付ファイルがホストされており、アップロード者の名前が含まれていたファイルストレージサービスのDropboxを調べることも推奨しました。これらは偽名である可能性が高いものの、実行犯特定の手がかりとなります。図3と図4は、それぞれ「RITA MENDES」と「Nohemi Valdes」という名前のDropboxアカウントを示しています。
- 図5のとおり、トレンドマイクロでは、Grandoreiroが不正活動にVBScript(VBS)を利用している詳細についても提供しました。
インターポールとの協力
今回の一連の貢献は、トレンドマイクロとインターポールなどの国際法執行機関との長年にわたる協力関係における最新の成果といえます。法執行機関と民間セクターの協力により、セキュリティ企業および業界の専門家は、専門知識、リソース、長年の経験をインターポールなどの法執行機関と共有する機会を得て、サイバー犯罪対策をより効果的に行い、サイバー犯罪活動の撲滅に取り組みます。
インターポールとトレンドマイクロの継続的な協力関係は、長年にわたる数々の著名なサイバー犯罪撲滅作戦の成功に貢献してきました。その中には、2023年の16shopフィッシングキットの解体、アフリカのサイバー犯罪ネットワーク阻止を目的とした「Africa Cyber Surge I」および「Africa Cyber Surge II」作戦、2022年の「Operation Killer Bee」によるビジネスメール詐欺(BEC)犯の逮捕、2021年の「Operation Cyclone」によるランサムウェア攻撃グループREvilとCl0pのメンバー逮捕などが含まれます。トレンドマイクロは、「デジタル情報を安全に交換できる世界」の実現に向けて取り組み続けており、インターポールとのパートナーシップも今後さらに強化されていくでしょう。
検体解析により確認された銀行名や文字列のリストは、こちらからご参照ください。
参考記事:
Trend Micro Collaborated with Interpol in Cracking Down Grandoreiro Banking Trojan
By: Joshua Paul Ignacio, Paul Pajares, Paul John Bardon
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)