TA505グループ

TA505は、2014年以来活動している多産で金銭的動機に基づくサイバー犯罪グループであり、世界のサイバー犯罪シーンにおける重要なプレーヤーである。TA505は、ランサムウェア・アズ・ア・サービス（RaaS）運営者や他のRaaS運営者の関連会社、初期アクセス・ブローカー（IAB）、侵害された企業ネットワークへのアクセスを販売する他のIABの顧客、金融詐欺やフィッシング攻撃のための大規模なボットネット運営者など、さまざまな役割を担っています。

TA505は、フィッシングやマルスパムの配信業者としては、世界最大級（最大ではないにしても）であり、当社 、3,000以上、8,000以上の世界的な組織を危険にさらしたと推定されている。

TA505は、洗練され、常に変化する戦術、技術、手順（TTP）のセットを使用し、斬新で検出不可能なエクスプロイトで進化するサイバーセキュリティの状況を凌駕しようと試みています。2014年から2018年まで、TA505の主な攻撃戦略は、Dridexボットネットを使用して情報窃取キャンペーンを実施し、窃取した認証情報を使用して金融セクターを標的としていました。しかし2018年以降、TA505はランサムウェアを主な手口とし、暗号通貨マイニングマルウェアで被害者を選択的に感染させることで、大学、病院、製造業を標的とすることに重点を移しています。

Dridex（別名Bugat、Cridex）：高度なボットネット機能を持つ情報窃取・トロイの木馬 Dridexは、TA505によって最初に多用されたマルウェアの1つである。

Trickbot：2017年にTA505によって初めて使用された高度な多目的攻撃ツール

FlawedGrace（別名Gracewire）：2018年以降、TA505によってほぼ独占的に使用されているリモートアクセス型トロイの木馬（RAT）

FlawedAmmyy： TA505のリモート・コマンド・アンド・コントロール（C2）サーバーへの接続を確立し、追加の攻撃ツールをインポートできる第2段階のマルウェア。

Snatch（スナッチ）： ログイン認証情報や個人情報などの機密データを流出させる情報窃取ツール。

SDBbot：感染したシステムが起動するたびに標準プロセスに悪意のあるコードを注入するアプリケーションシミングマルウェア

ServHelper：2018年11月から2019年半ばにかけてTA505によって使用された、ファーストステージとセカンドステージの機能を持つ流行のRATマルウェア

TinyMet：システムログを削除し、マルウェア感染の痕跡を消す追加機能を持つRATマルウェア

TeslaGun：感染したホストのCPU、GPU、RAM、インターネット接続速度を取得し、適切な被害者に暗号マイニングマルウェアを起動するServHelperマルウェアを管理するためのGUIツール。

Get2 (AKA Friendspeak)：TA505がフィッシングやマルウェア感染の拡散に使用したソーシャル・ネットワーキング・アプリ。

Quant Loader：ダークウェブサイトで一般的に配布され、2018年以降TA505によって使用されているシンプルなセカンドステージダウンローダー

Marap：検出を回避し、持続性を維持する、やや洗練されたセカンドステージ・ダウンローダ

Andromut (AKA Gelup)：2019年にTA505が独占的に使用した解析難読化対策を施したAndroid専用ダウンローダー

Remote Manipulator System（RMSまたはRmanSyS）：ロシアのTEKTONIT社が開発した正規のシステム管理ツールで、2018年11月から2019年6月までTA505が使用中

FlowerPippi： 第一段階のシステム偵察、ダウンローダー、シンプルなRAT

MineDoor：人気のゲームサーバー「Minecraft」を実行するサーバーを標的とし、感染したサーバーを使って暗号通貨をマイニングするマルウェア

追加のTA505攻撃TTPは以下の通り：

• 企業ネットワークへのリモート・デスクトップ・プロトコル（RDP）接続の侵害
• 既存のプリインストールされたWindowsシステムツールやコマンドを利用する「LOTL（Living Off The Land）」攻撃戦略
• Cobalt Strikeのような正規のペンテストやリモートアクセスツールの活用
• Dridex、Necurs、Amadeyボットネットを使用して、不正な金融取引を自動化し、フィッシングやマルスパムの配信を行う。
• データセンター内およびデータセンター間でC2プロキシサーバーを移行し、検出回避を強化
• Locky、Bart、Jaff、Scarab、Philadelphia、GlobeImposter、GandCrab、Clop（TA505によって独占的に開発・使用されている）など、多数の異なるランサムウェア株を使用。
• RaaS運営会社および関連会社として、企業ネットワークへの初期アクセスの売買の仲介ブローカーとして活動。
• 正規のソフトウェアベンダーから盗んだ秘密鍵を使用してマルウェアにデジタル署名を施し、エンドポイントセキュリティ製品からの検出を回避するためにソフトウェアバイナリをメモリ内でデコードする。
• 既知のActive DirectoryとSMBの脆弱性を利用して、被害者のネットワークを横方向に移動する。
• 侵害されたウェブサイトにPHPウェブシェルをインストールし、リモートコントロールを維持し、感染したサイトを悪意のある文書やリンクの拡散に使用する。
• Malwarebytes、Webroot、Panda Security、ESET、Kaspersky、AppCheck、Windows Defender、Microsoft Security EssentialsなどのITセキュリティツールの検出と無効化
• DropBox、OneDrive、Google Driveなどの標準的なオンラインファイル共有ツールになりすます。
• 偽のマルウェアスキャン画像を表示し、被害者に誤った安心感を与える。

• 最新のアイデンティティ・アクセス管理（IAM）ツールの導入
• すべてのエンドポイントに高度なエンドポイントセキュリティ製品をインストール・設定し、侵害の指標（IOC）を検出し、Trickbot のペイロードの実行をブロックする防御措置を講じる。
• 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。 
• フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書（SOP）を作成する。
• 最小特権、重要なサービスのセグメンテーション、役割ベースのアクセス制御、多要素認証、深層防御を含む強力なネットワーク・セキュリティを導入し、盗まれた認証情報の潜在的な損害を減らす。 
• ネットワークをセグメント化し、NIPSとNIDSを追加してネットワーク・アクティビティの異常動作を監視する。
• 従業員のワークステーションやサーバーを含むすべてのエンドポイントを固め、コマンドラインやスクリプティングのアクティビティやパーミッション、要求されないサービスを無効にすることで、LOTL（living off the land）型攻撃の可能性を減らす。
• 十分に保護されたオフライン・バックアップによる信頼性の高いバックアップ戦略を導入し、目標平均復旧時間（MTTR）目標を達成できるよう災害復旧手順を実践する。