帰ってきたRobin Banks

ほぼこもセキュリティニュース By Terilogy Worx

Robin BanksはPhaaSです。
PhaaSはPhishing-as-a-Serviceです。
Robin Banksは多くの銀行のアカウントを危険な状態にしていましたが、2022年7月に研究者に活動をレポートされ動けない状態になっていました。
研究者のレポートをもとにCloudflareがブラックリストを作るなどして対応したために悪事を継続することが難しくなったのです。

しかしそんな状況にあったRobin Banksが帰ってきてしまいました。
単に新しい場所に引っ越すというようなことではなく、いくつかの自分たちの活動を守る新しい機構を積んできました。

  • 足回りにDDoS-Guard
    DDoS-Guardは匿名性が高い状態で利用できるサービスです。
    この環境を使用することで通常の利用者が手にできるのと同じように犯罪者は自分たちの活動が部外の人に見えないことを狙って選択したと考えられます。

     

  • 二要素認証の利用開始
    二要素認証の利用といっても被害者側ではありません。
    犯罪サービスを利用するほうの利用者の限定のために二要素認証が開始されました。

     

  • やりとりの匿名化
    PhaaSの提供者はPhaaSの運営に際し、やりとりを実施します。
    そのやりとりの経路にはプライベートテレグラムチャネルが選択されました。
    こちらも匿名性が高く部外者から内容を秘匿できることを狙ったものと思われます。

     

  • 検出回避のためのリダイレクタ
    研究者にPhaaSの存在を悟られないようにするための策はさらに追加されました。
    「Adspect」です。
    Adspectは、Cloaker、Bot Filter、Ad Trackerとして宣伝されているツールです。
    これはブラックリスト、フィンガープリンティング、機械学習技術を使用して、Webトラフィック内の不要な訪問者を検出およびフィルタリングするためのツールです。
    これを使ってフィッシングキャンペーンのターゲットが悪意のあるサイトにリダイレクトされるようにし、スキャナーや研究者のような彼らにとって不要なトラフィックは無害なWebサイトにリダイレクトされるようにして検出率を下げます。
    誰のためのツールですか、という感じがします。

     

  • 二要素認証回避機能
    こちらの二要素認証は被害者側のものです。
    ターゲットの利用する二要素認証はEvilginx2を使用して回避されてしまいます。

Robin Banksは込み入った高度な技術を持った犯罪者集団なのでしょうか。
そういうメンバーも含まれているのかもしれませんが、彼らの現在の活動要素を見る限りそのようには思われません。
既成のツールやオープンソースのツールをうまく組み合わせて、犯罪の形式を作り上げています。
最近は本当にいろいろなツールやPoCコードなどを入手しやすい状態となったことからサイバー犯罪への参入障壁はとても低くなってきているということなのかもしれません。

犯罪の全体としてはよく練られたものとなっていますが、それぞれの要素を見る場合対策できるものも含まれます。
基本的な対策を日々徹底することでこういった犯罪の被害にあうことは回避できるということかもしれません。

参考記事(外部リンク):Robin Banks still might be robbing your bank (part 2)
www.ironnet.com/blog/robin-banks-still-might-be-robbing-your-bank-part-2

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。