特徴とテクニック
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/21 22:16 UTC 版)
ファンシーベアは国家支援型ハッカーの能力と一致する高度な手法を採用している。侵入方法は、スピアフィッシングメール、ニュースソースを装いマルウェアをダウンロードさせるサイト、およびゼロデイ脆弱性を使用する方法など。添付ファイルによるハッキングの場合には、Microsoft Word、Microsoft Excel、Adobe Flash、Adobe Readerなどの脆弱性を突いてくる。 ESETによると、2015年起きた事案では6つ以上の異なるゼロデイエクスプロイトが使用されていた。最先端の商用ソフトの脆弱性を探すのは、多数のプログラマーを必要とするかなりの偉業である。これはファンシーベアが国家によって運営されている事を物語っており、単なる犯罪集団や孤独なハッカーではないことを示唆している。 スピアフィッシング ファンシーベアはWebメールサービスへのハッキングを好んで行う。攻撃手法はシンプルで、ターゲットにパスワードの変更を緊急に要求する電子メールを送るというもの。記載されたURLアドレスをクリックすると、本物そっくりの偽サイトへ誘導され、ユーザー名やパスワードを入力させ認証情報を盗む。URLはスパムフィルターを通過するために、短縮URLのbit.lyなどに隠されていることがある。ファンシーベアは、月曜日と金曜日にフィッシングメールを送信することが多い。他に興味深いニュースタイトルのメールを送信し、ターゲットのコンピューターにマルウェアをドロップさせる手も多用する。大量のパスワードを試す総当たり攻撃や、大量のアカウントに対して一定数の共通パスワードを試すパスワードスプレー攻撃も駆使している。 なりすましサイト また有名Webサイトに酷似したドメインを登録し、なりすましサイトを作成して認証情報を盗みだす手口も使用する。ファンシーベアは、以前に侵害した被害者のプロキシネットワークを経由してコマンドトラフィックを中継することも知られている。2016年マイクロソフトはファンシーベアのサーバー70台以上を乗っ取り、サーバーネットワークの全貌を掴むことに成功し同集団を相手取り訴訟を起こした。 製作した悪意のあるソフトウェア ファンシーベアが使用した悪意のあるソフトウェアには、ADVSTORESHELL、CHOPSTICK、JHUHUGIT、およびXTunnelがなどがある。Foozer、WinIDS、 X-Agent、X-Tunnel、Sofacy、DownRangeドロッパーなどの多くのインプラントも利用する。ファイア・アイはコンパイル時間に基づき2007年以来一貫してマルウェアを更新していると結論付けた。同グループは解析されないようにコードを難読化する。符号化された文字列にジャンクデータを追加し、ジャンク除去アルゴリズムがないとデコードが困難になる。ハッキングのフォレンジック分析を防止するため、ファイルのタイムスタンプをリセットし、イベントログを定期的にクリアするなどの対策を講じている。カスペルスキーはツールのセキュリティを高いレベルに保っており、マルウェアが検出しにくく捜査も難しいとしている。アメリカの起訴状によると、X-Agentは、GRU所属の中尉によって開発された。
※この「特徴とテクニック」の解説は、「ファンシーベア」の解説の一部です。
「特徴とテクニック」を含む「ファンシーベア」の記事については、「ファンシーベア」の概要を参照ください。
- 特徴とテクニックのページへのリンク
