セイコーも被害か:BlackCat/ALPHVランサムウェアとは? | Codebook|Security News
Codebook|Security News > Articles > Threat Report > セイコーも被害か:BlackCat/ALPHVランサムウェアとは?

Threat Report

Silobreaker-CyberAlert

セイコーも被害か:BlackCat/ALPHVランサムウェアとは?

佐々山 Tacos

佐々山 Tacos

2023.08.22

セイコーも被害か:BlackCat/ALPHVランサムウェアとは?

2021年11月に初めて観測されて以来、米国を中心に世界の多数の組織を攻撃してきたBlackCat(ALPHV)ランサムウェアグループ。その最新の被害者リストの中には、残念ながら国内の大手時計メーカーであるセイコーグループ株式会社が加えられている。最近ますます勢いを増しているBlackCatとは、一体どんなグループなのだろうか?

BlackCat/ALPHVのプロフィール

米FBIによれば、BlackCatは2021年11月に初めて観測されたランサムウェア・アズ・ア・サービス(RaaS)グループで、ALPHV、AlphaVM、Noberus、Coreid、FIN7といった呼び名でも知られる。Darkside/BlackMatterグループの後継グループだと考えられており、幹部にはREvilの元メンバーがいるとされる。

 

その他のBlackCatのプロフィールに関する要点は以下。

 

・ランサムウェアはRustで書かれている。

・ランサムウェアによる暗号化、データ窃取およびデータリークの脅迫に加えて被害者へのDDoS攻撃を行うという「三重恐喝」の戦術を取ることがある。

・上記に加え、被害組織の顧客や取引先、従業員などに接触して攻撃について伝えるという「四重恐喝」が実施される場合もある。

・暗号化には、AESやChaCha20を用いる。

DarkFeedによれば、8月22日現在までの合計被害者数は「107」。

・日本に関連する過去の被害組織には、大手食品メーカーの米国拠点や、大手ビデオゲームメーカーなどがある。

・今年2月には、Redditを攻撃してデータを盗んだと主張したことが話題になった。

関連記事:Redditで2月に生じたデータ侵害、BlackCatランサムウェアグループによるものだった

セイコーがリークサイトに追加される

そんなBlackCat/ALPHVグループの被害組織に新たに加わったとみられるのが、時計大手のセイコー。同社は8月10日に自社サーバーへの不正アクセス被害について公表していたが、21日月曜、BlackCatのリークサイトに被害者として掲載された。またBlackCatは同社に対する攻撃の最中にデータを盗んだと主張しており、一部のデータのスクリーンショットとされるものも共有。これにはセイコー製の時計の設計図とみられるものも含まれることから、特許技術が流出して競合他社や模倣品製造者の手に渡るような事態が懸念されている。

セイコー自身も22日に新たなプレスリリースを発表し、10日に公表された不正アクセスがランサムウェア攻撃であったことと、攻撃により取引先やグループ会社の従業員に関する一部の情報が漏洩したことを確認したと伝えた。

初期アクセスブローカーの販売するアクセス情報が侵入ベクターとなった可能性

Curated IntelがBleepingComputerに伝えたところによると、7月27日、ある初期アクセスブローカー(IAB)が、名称不明の日本企業のシステムへ不正にアクセスするための情報を販売していたという。販売者は社名を明かさなかったものの、記載された収益情報はZoominfoに載っているセイコーの収益情報と一致していた。そして同社のサーバーへの不正アクセスはこの翌日の28日に行われていることから、販売されていたアクセス情報が侵入の手段として使われた可能性が浮上している。

関連記事:BlackCatランサムウェアの新たな侵入ベクター:WinSCPをルアーに使ったマルバタイジングでCobalt Strikeを展開

BlackCat/ALPHV:進化を続けるRaaSグループ

最近、ランサムウェア攻撃を受けても身代金の支払いに応じない組織が増えていることを受け、複数のランサムウェアグループが恐喝戦術のアップデートを試みている。BlackCatも同様に絶えず戦術を進化させており、最近ではデータリークのためのクリアウェブサイトを各被害者ごとに作成したり、リークサイトのAPIを提供したりといった新たな戦術が確認された。同グループの標的の多くが米国組織であるとはいえ、セイコーはじめ日本関連の企業が狙われるケースもあることから、国内の組織も警戒を高め、その動向やTTPの変化を注視しておくべきかもしれない。

関連記事:ALPHV/BlackCatランサムウェア、リークサイトのAPIを提供するという新たな恐喝戦術を採用

 

(情報源:米国保健福祉省 ”Royal & BlackCat Ransomware: The Threat to the Health Sector”、BleepingComputer “Japanese watchmaker Seiko breached by BlackCat ransomware gang”)

8月22日:その他の注目ニュース

ジュニパー社製スイッチとファイアウォールに4件の脆弱性、連鎖させるとリモートコード実行に繋がる可能性(CVE-2023-36844ほか)

Security Week – August 21, 2023

ネットワークアプライアンスメーカーのジュニパーネットワークスは、Junos OSのJ-Webインターフェースに存在する脆弱性4件(CVE-2023-36844〜CVE-2023-36847。深刻度は中程度だが、連鎖的に悪用された場合は深刻度が重大)に対するパッチをリリースした。CVE-2023-36844およびCVE-2023-36845は、PHPの外部変数の変更に関する欠陥であり、リモートの攻撃者が認証なしで環境変数を制御できる可能性があるという。一方でCVE-2023-36846およびCVE-2023-36847は認証の不在による問題で、攻撃者が任意のファイルをアップロードできるようになり、ファイルシステムの整合性が影響を受ける可能性があるという。これらの脆弱性が連鎖的に悪用されると、権限のないネットワークベースの攻撃者はデバイス上でリモートコード実行を行えるようになる可能性があると、同社は指摘している。これらの問題の悪用を防ぐための対策としては、J-Webインターフェイスを無効にすること、信頼できるホストのみにアクセスを制限することが挙げられている。

今回の脆弱性によって影響を受ける可能性があるのは、Junos OSのバージョン20.4R3〜S8、1.2R3〜S6、21.3R3〜S5、21.4R3〜S4、22.1R3〜S3、22.2R3〜S1、22.3R2〜S2、22.3R3、22.4R2〜S1、22.4R3、23.2R1より前のものを実行しているSRXシリーズのファイアウォールとEXシリーズのスイッチ。

SRXシリーズおよびEXシリーズのユーザーは、できるだけ早くアプライアンスを最新のJunos OSにアップデートするよう推奨されている。

CypherRATとCraxsRATマルウェアの開発者の正体を研究者らが暴く

Security Week – August 21, 2023

サイバーセキュリティ企業Cyfirmaが、リモートアクセス型トロイの木馬(RAT)のCypherRATおよびCraxsRATの開発者の正体を突き止めたと主張している。「EVLF DEV」というハンドル名を使用するこの人物はシリアで8年前から活動している男性であると、同社は高い確度で結論付けている。EVLF DEVはこれらの2つのRATをさまざまな脅威アクターに販売し、7万5,000ドル以上を稼いだと考えられているほか、マルウェア・アズ・ア・サービス(MaaS)の運営者でもあるという。

EVLFは過去3年間、現在入手可能なRATの中でも最も危険なAndroid RATの1つであるCraxsRATをサーフェスウェブストアで提供しており、これまでに少なくとも100件の永久ライセンスを販売している。CraxsRATビルダーには、高度に難読化されたパッケージを生成して攻撃タイプに応じたコンテンツのカスタマイズを可能にする機能、検出を回避するためのクイックインストール機能などがある。また同RATは、感染したデバイス上でデバイスの正確な位置情報を取得したり、連絡先を盗み出したり、メッセージや通話のログを読み取ったりできる。

さらに、CyfirmaがEVLFの所在を調査した結果、登録者が1万人以上存在するTelegramチャンネルと暗号ウォレット(いずれも同開発者所有)が発見され、そこから少なくとも3年間にわたるRATの販売収益が明らかになったという。同社の申請によりこのウォレットの資産は凍結されているが、これを理由にEVLFが暗号ディスカッションフォーラム上でスレッドを立てたため、同社はこの開発者の本名、さまざまなユーザー名、IPアドレス、Eメールアドレスといった追加情報も得ることができたとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ