世界中の銀行の顧客が標的:メキシコの Neo_Net が eCrime キャンペーンを実施

Neo_Net runs eCrime campaign targeting clients of banks globally

2023/07/04 SecurityAffairs — 先日に vx-underground と SentinelOne が実施した共同調査により、Neo_Net というメキシコの脅威アクターが、世界中の金融機関を標的とした Android マルウェア・キャンペーンを仕掛けていることが明らかになった。この件は、セキュリティ研究者の Pol Thill により報告された。Neo_Net の eCrime キャンペーンは、2021年6月〜2023年4月にスペインとチリの銀行を中心に、世界中の銀行の顧客を標的としていたと報告されている。この脅威アクターは、比較的洗練されていないツールを使用しているが、このキャンペーンが成功した背景には、攻撃インフラを特定のターゲットに合わせて調整する能力があるためだと、専門家は推測している。


この脅威アクターは、被害者の銀行口座から 350,000 EUR 以上を盗み、数千人分の個人識別情報 (PII:Personally Identifiable Information) を漏洩させたと、推定されている。

SentinelOne の Pol Thill は、「このキャンペーンは、多段階の攻撃戦略を採用している。まず、スペインなどの国々に配信される標的型 SMS フィッシング・メッセージから始まり、送信者 ID (SID:Sender ID) を使用して信憑性を錯覚させ、評判の良い金融機関を模倣して被害者を騙すという手口である。Neo_Net はフィッシング・パネルや Android 型トロイの木馬を含む広範なインフラを確立し、それを複数のアフィリエイトに貸し出し、漏洩した被害者データを第三者に販売するための、世界各国をターゲットとした SaaS (Smishing-as-a-Service) を立ち上げて成功を収めている」と説明している。

標的となった 50件の金融機関のうち、30件はスペイン/チリにあり、標的リストにはサンタンデール銀行/BBVA 銀行/カイシャ銀行などが含まれている。この脅威アクターは、ドイツ銀行/クレディ・アグリコル/ING など、他の地域の銀行も標的にしていた。

Neo_Net がアフィリエイトのネットワークに貸し出している、フィッシング・パネル/スミッシング・ソフトウェア/Android 型トロイの木馬などであり、そのための幅広いインフラを構築している。この犯罪者は、盗んだ被害者データを販売し、Ankarex と名付けられた SaaS (Smishing-as-a-Service) を立ち上げ、成功を収めている。2022年5月に開始された、Ankarex プラットフォームには 約 1,700人のサブスクライバーがいる。Neo_Net は、この SaaS プラットフォームを Telegram で宣伝している。

このキャンペーンは、Ankarex を使用してスペイン全土に配信された、SMS フィッシング・メッセージから始まるという、洗練された多段階の攻撃チェーンを採用していた。このメッセージは、SID を使って受信者を騙し、信頼のある金融機関を模倣するというものだった。

Thill のレポートには、「フィッシング・ページは、Neo_Net のパネルである PRIV8 を用いて綿密に設定され、モバイル以外のユーザー・エージェントからのリクエストのブロックや、ボットやネットワークス・キャナーからのページの隠蔽などの、複数の防御対策を施していた。これらのページのデザインは、本物のバンキング・アプリケーションに酷似しており、説得力のあるビューを作るためにアニメーションが使用されていた」と説明している。

Neo_Net cybercrime


また、この脅威アクターは、多要素認証 (MFA) を回避するために、ソーシャル・エンジニアリングを含む様々なテクニックを駆使して、被害者を騙して銀行口座用のセキュリティ・アプリケーションと称するものを Android  端末にインストールさせていた。

悪意のアプリは、認証コードを含む SMS をキャプチャするために使用される。

このレポートは、 Neo_Net のキャンペーンに関する侵害の指標 (IoC) を提供している。Thill は、「このようなキャンペーンが成功した背景には、多くの場合において、1つの銀行を標的とし、銀行の担当者になりすまして SMS を送信するという、標的を絞った手口がある。さらに、SMS スパイウェアはシンプルであるため、SMS メッセージの送信と閲覧の許可を必要とするだけで、検出が困難な場合がある。また Neo_Net は、さらなる利益のために、侵害した PII を再利用していることが確認された」と締め括っている。

メキシコから世界の金融機関と顧客を狙うという、これまでは見たことのなかったパターンの脅威です。また、その侵害のスキームは、Neo_Net という脅威アクターが提供する SaaS (Smishing-as-a-Service) を介して、Android マルウェア・キャンペーンを展開するというものです。こうした悪意の活動を行うための技術やリソースが、世界中で共有されていると考えるべきなのでしょう。