チェック・ポイント・ソフトウェア・テクノロジーズは4月9日、同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)が現在市場で最も活発なマルウェアの一つ「Agent Tesla」による最近の3つの悪質なキャンペーンについて、攻撃者の素性も含め明らかにしたことを発表した。その概要は以下のとおり。
「Agent Tesla」マルウェアは、感染したマシンに侵入し、機密情報を盗み出すことに特化した、高度なリモートアクセス型トロイの木馬。このマルウェアは、感染したマシンで使用しているブラウザーや電子メールクライアントで使用されたキーストローク、ログイン認証情報など、さまざまなタイプのデータを収集することができる。
Agent Teslaはサイバー分野において悪名高い経歴を持つマルウェアであり、2020年以降、CPRが毎月発表しているレポートにおいて、流行しているマルウェアファミリーリストのトップ10に何度もランクインしている。
CPRは、Agent Teslaキャンペーンの背後にいる「Bignosa(メインのAgent Tesla脅威アクター)」と「Gods」というサイバー脅威アクターの活動を追跡し、彼らが相互につながっていることを証明。「Bignosa」はマルウェアやフィッシングのキャンペーンを運営するグループの一部であると思われ、アメリカやオーストラリアのビジネスメールデータベースや、一般の個人をターゲットにしている。
ネット上では「Kmarshal」としても知られる「Gods」は、以前はフィッシング攻撃に関与していたが、のちにマルウェアのキャンペーンへと移行。ウェブデザインやフィッシング作戦においても能力を示している。
調査を通じて、CPRはLinkedInのページに掲載された写真などを含む、この2人の脅威アクターの身元情報を確保した。彼らはアフリカ系であると思われ、そのうち1人は自分たちのビジネスの中で合法な業務も行っていた。
2人はインスタントメッセージングなどの機能を提供するツール、Jabberを利用して連絡を取っており、GodsはBinosaへの支援を行っている。CPRは、Agent Teslaの背後にある彼らの悪意ある活動についても追跡し、発見したすべての情報を関連する法執行機関と共有した。
関連リンク