金融セクターを標的とする最も危険なAPTを暴く
SOC Primeプラットフォームで防御を強化
金融機関は常に追加の利益源を求めているため、国によって支援された敵対者にとって常に魅力的なターゲットとなっています。金融セクターを標的とする高度持続的脅威(APT)は、金融機関を侵害し、機密データを盗み、金融システムを混乱させることを目指すため、壊滅的な結果をもたらす可能性があります。APTは数ヶ月、場合によっては数年にわたって続く持続的かつ系統的なキャンペーンを展開します。彼らは検出を回避するために、高度な戦術を駆使し、 ゼロデイエクスプロイト や暗号化を使用して活動を隠します。
脅威の状況は常に進化しているため、新たなAPTグループが出現する可能性があり、既存のグループは戦術を適応させることがあることに留意が必要です。金融機関は、これらのAPTに効果的に対抗するために、脅威検出、従業員教育、インシデント対応計画を含む強固なサイバーセキュリティ対策を維持する必要があります。さらに、金融セクター内および法執行機関との脅威インテリジェンスの共有が、APT攻撃の早期検出と軽減に役立ちます。
集団的なサイバーセキュリティの専門知識に裏打ちされたSOC Primeプラットフォームは、金融機関に対するAPT攻撃に対するプロアクティブな防御を助ける高度な脅威検出とハンティングツールを提供します。
このセクターのAPTは、一般的に高度で資金が豊富であり、特に危険です。これらのサイバースパイグループには、国家、国家支援団体、高度なサイバー犯罪組織が含まれます。金融業界を標的とする最も危険なAPTのいくつかについて詳しく調べ、対応する脅威アクターが使用する敵対者手法に対応する関連検出コンテンツのリストを探ります。
FIN7(カルバナックグループ)
FIN7は別名カルバナックなどの名前でも知られており、世界で最も成功した犯罪ハッカーグループの一つとされています。このハッカーグループは、銀行から900億ドル以上、さらに1000を超える個人顧客から盗んだとされています。
FIN7は通常、「フィッシング」メールを企業の従業員に送信することでサイバー攻撃を開始しました。各メールにはファイルが添付されており、それは無害に見えるMicrosoft Wordドキュメントであり、埋め込まれたマルウェアが含まれていました。メール本文は、受取人の従業員が添付ファイルを開いてコンピュータに感染させるよう誘導するため、正当なビジネス関連のメッセージを模倣していました。
犯罪者たちは、それぞれの銀行ネットワークへのアクセスを操作し、さまざまな方法でお金を盗むことができました。場合によっては、ATMが地元の端末と物理的にインタラクションすることなく現金を払い出すよう指示されました。マネーミュールはその現金を受け取って、SWIFTネットワークを介して犯罪者のアカウントに送金しました。
FIN7として知られるCarbanak GroupによるTTPの検出
APT19ことDeep Panda
APT19としても知られる Deep Pandaは、国家支援の脅威グループで、中国に拠点を置いていると考えられています。このハッカーグループは2011年以降活動しており、金融業界を強い狙いとする標的型攻撃で悪名高いです。2017年には、7つの法律および投資会社を標的にしたフィッシングキャンペーンが行われました。このキャンペーンには、APT19が標的を侵害しようとする3つの異なる技術が使用されました:
- 5月初旬、このフィッシングルアーはRTF添付ファイルを利用し、CVE-2017-0199として説明されたMicrosoft Windowsの脆弱性をエクスプロイトしました。
- 5月末にかけて、このハッカーグループはマクロ有効化のMicrosoft Excel(XLSM)ドキュメントの使用に切り替えました。
- 最も最近のバージョンでは、APT19はXLSMドキュメントにアプリケーションホワイトリストを回避する機能を追加しました。観察されたフィッシングルアーの少なくとも一つはCobalt Strikeペイロードを配信しました。
Deep Pandaの主な目的は、データ盗難と経済スパイによる競争上の優位性の獲得です。
ラザルスグループ
ラザルスグループ は北朝鮮に関連すると考えられているハッカーチームで、偵察総局に結び付けられています。彼らは以下の方法で銀行に対抗して動いています。ラザルスグループが使用するマルウェアは、他の報告されたキャンペーン、例えばOperation Flame、Operation 1Mission、Operation Troy、DarkSeoul、およびTen Days of Rainと関連しています。
ラザルスグループは、銀行業界にとっていくつかの理由で危険視されています。
- 彼らは、銀行システムに侵入し、長期間にわたって検出されずに留まる高度な方法とツールを駆使しています。
- 他のサイバースパイグループが情報収集に重点を置くかもしれないのに対し、ラザルスグループは強い金銭的動機を持っています。彼らは、数件の有名な銀行強盗に関連付けられており、大量の資金移動を試み、さまざまな銀行システムに対するグローバルな影響力と理解を誇示しています。
- システムに侵入すると、長期間隠れて環境を調査し、ワークフローを理解し、綿密に計画します。
- 彼らの活動は、銀行からの数億ドルの盗みという結果になっており、特に小規模な金融機関にとって壊滅的な影響を与える可能性があります。
コバルトグループ
金融機関が直面する多くの脅威の中で、一つのグループがその洗練度と持続性で際立っています:コバルト高度持続的脅威(APT)。この組織化され、持続性のあるグループは、10年以上にわたり活動し、その戦術、技術、手順(TTP)を進化させ続けています。
コバルトAPT は主に金融機関を標的とし、世界中の銀行、保険会社、投資会社に重大なリスクを与えています。このグループは、ATMシステム、カード処理、決済システム、SWIFTシステムを標的にしてお金を盗むために侵入を行ってきました。
コバルトグループは主に東ヨーロッパ、中央アジア、東南アジアの銀行を攻撃してきました。指導者の一人は2018年初頭にスペインで逮捕されましたが、グループは依然として活動を続けているようです。コバルトは、組織のアクセスを悪用し、さらに追加の被害者を侵害するために標的にしていることで知られています。
コバルトAPTがこれほど危険なのは、非常に高度に調整された多段階攻撃を実行できる能力にあります。彼らはスピアフィッシングキャンペーン、ゼロデイエクスプロイト、マルウェアを含むドキュメントなど、さまざまな攻撃ベクトルを採用しています。ターゲットの組織内に侵入すると、広範な偵察を行い、横移動し、特権をエスカレートして貴重な金融データやシステムへのアクセスを得ます。
コージーベア
コージーベアとしても知られる APT29は、ロシアの諜報機関のひとつまたは複数に関連していると考えられるサイバースパイグループです。コージーベアは、システムに侵入して敏感な情報を盗むことに焦点を当て、即時の被害を引き起こすことはありませんが、巧妙な作戦によって認識されています。
コージーベアは、銀行業界にとって危険である理由は、他のサイバー犯罪グループとは異なる大規模なリソースと動機を持っていることです。彼らの主な焦点がスパイ活動であったとしても、彼らが得たツールとアクセスは金融窃盗や銀行業務の妨害に利用される可能性があります。特定の地域やセクターに限定されないため、彼らが世界中のエンティティをターゲットにできることで、銀行はどこでも警戒が必要です。APT29の作戦はしばしば複雑であり、彼らに攻撃を帰属させることは困難です。
これらの要因を考えると、コージーベアは銀行業界にとって重大な脅威です。国家支援と適応性を兼ね備えているため、サイバー領域での手強い敵となっています。銀行や金融機関は、コージーベアのようなグループがもたらす潜在的なリスクを認識し、適切なサイバーセキュリティ対策を講じる必要があります。
ファンシーベア
APT28 (別名 ファンシーベア)は、金融機関に対して高度で非常に効果的なサイバー攻撃を数多く仕掛けている、ロシア支援のハッカーグループです。ファンシーベアは特定の地域やセクターに限定されず、ヨーロッパ、米国の政府機関、そして非常に多くのウクライナのエンティティを標的にしています。
このサイバースパイグループは、いくつかの注目すべきサイバー攻撃に関連付けられており、2016年の米大統領選挙ハッキングや 2017 NotPetya malware attack と2016年の米国民主党全国委員会(DNC)のハッキングが含まれます。
APT28は非常に説得力のあるフィッシングメールを利用して、従業員を騙して悪意のあるリンクをクリックさせたり、マルウェアを含む添付ファイルをダウンロードさせたりします。ネットワーク内に侵入すると、横移動し、特権をエスカレートすることができます。
このグループはまた、一般に知られていない、あるいはソフトウェアベンダーによって解決されていないソフトウェアの脆弱性を悪用することでも知られています。これにより、APT28はターゲットシステムに無断でアクセスすることができます。彼らの目的は、顧客情報、取引記録、知的財産を含む機密金融データを盗むことです。彼らは持続的かつ忍耐強く、侵入したネットワークに長期間隠れていられるため、データを継続的に取り出し、アクセスを拡大することができます。
金融業界を標的とする著名なAPTアクターに関連する悪意のある活動を検出するSigmaルールの全コレクションを手に入れるには、以下の 検出を探す ボタンをクリックします。検出コンテンツパックには、28以上のSIEM、EDR、XDR、およびデータ湖技術に対応する1600以上のSigmaルールが含まれています。
日々出現する新たな悪意のある手法に対処するために、キュレートされた検出コンテンツアイテムが必要であり、膨大な数のルールを手作業で処理するのは困難かもしれません。脅威ハンティング手順を合理化し、リアルタイムでの攻撃を追跡し、組織のサイバー防御ギャップを業界や脅威プロフィールに合わせて特定するために、セキュリティ専門家はSOC PrimeのAttack Detectiveを利用することを選ぶかもしれません。 Attack Detective を今すぐ試して、急速に拡大する攻撃面をダイナミックに保護し、ログソースカバレッジで盲点をタイムリーに特定し、それらにスマートに対応して重要なデータ資産を包括的に保護し、サイバーセキュリティの姿勢に自信を持つ。
さらに、 SOC Primeプラットフォーム が提供するサイバーセキュリティソリューションは、2023年に金融セクターを保護する上で重要な役割を果たす可能性があります。 脅威検出マーケットプレイス で、APTを含む敵対者が使用する最新のTTPに関する世界最大の検出ルールフィードにアクセスし、データ侵害の金融的損失を排除します。 Uncoder AI に依存して、64のSIEM、EDR、XDR、およびデータ湖クエリ言語形式へのSigmaルールコーディングと双方向クエリ翻訳を合理化しながら、サイバーディフェンス能力を大規模に向上させ、ベンダーロックインを回避します。