セキュリティ企業Kasperskyは、APT(持続的標的型攻撃)グループ「DeathStalker」による世界規模のサイバー攻撃を発見したと発表。
この攻撃はフィンテックや金融サービス業界に関わる企業や個人を標的とし、インスタントメッセージアプリTelegramを悪用してトロイの木馬型スパイウェア「DarkMe」を配布しているとされている。
DeathStalkerは少なくとも2018年から活動している「雇われハッカー」グループで、以前は「Deceptikons」として知られている。
主に中小規模の金融企業や法律事務所を標的とし、資金窃取ではなく、企業情報や競争情報の収集を目的に活動しているという。
DarkMeによる被害状況
攻撃の概要と手口として、DeathStalkerは手始めにTelegram内のフィンテックや暗号資産関連のチャンネルに、悪意のあるアーカイブファイルを投稿。
これらのファイルを開くと、最終的にDarkMeがデバイスにインストールされ、パスワードなどの機密情報が窃取される仕組みになっているという。
攻撃者は、感染後の痕跡を消去する技術や、侵入後のさらなるツール展開によって、セキュリティ解析を困難にしているとのことで、DarkMe自体のファイルサイズを増加させるなどして検知を回避する手法も確認されている。
Kasperskyの調査によれば、この攻撃は2023年10月以降確認されており、2024年8月に最新の痕跡が発見されている。
標的とされている国として、日本での被害事例は確認されていないものの、欧州やアジア、中南米、中東の20カ国以上に広がっている。
推奨される対策
Kasperskyのセキュリティリサーチャー、マーヘル・ヤマウト氏は、「TelegramやSkypeといったメッセージングアプリが、従来のフィッシング手法に代わる感染経路として利用されるケースが増えている」と警鐘鳴らす。
メッセージングアプリは受信者の信頼を得やすく、セキュリティ警告が表示される頻度が少ないため、攻撃者にとって都合が良いとのこと。
対策としては、知らない送信者や、不審なチャンネルから送られてきたファイルやリンクには注意し、参加しているチャンネルやグループが公式かどうか、情報源が信頼できるかを確認するなどの方法が挙げられている。
また、Telegramの「二段階認証」を有効化や、ダウンロードやプライバシー設定の見直し、デバイスに信頼できるセキュリティソフトをインストールして常に最新状態を維持するなどの方法も有効とされている。