NullBulge:ハクティビストの仮面被り、ランサムウェアでAI・ゲーム業界狙うサイバー犯罪グループ
(情報源:Securityonline[.]info – JULY 17, 2024)
「アート界のAI汚染に対抗するハクティビスト」を自称する脅威グループ、NullBulge。最近では、アーティストの権利を守るためだとしてディズニー社のデータとされるものをリークしたことが話題になった。しかしこの「高尚な大義」とは裏腹に、同グループの活動の背後には利益追求というより深い動機があるものとみられるという。SentinelLabsが新たなレポートでこのグループを分析している。
自称ハクティビスト
NullBulgeは、「AIによる侵食からアーティストを守る」という崇高な大義を掲げるハクティビストグループを自称し、この「使命」を自身のブログや4chanでの投稿などで宣伝している。つい最近では、アーティストの作品に対して公正な報酬を保障することが目的だとしつつ、ディズニーの社内Slack情報とされるものをリークした件が注目された。
NullBulgeは自らの活動をある種の「仕返し」であると主張しているものの、これに異を唱えているのがSentinelLabs。ランサムウェアエコシステムでは昨今、アクターたちが金銭獲得のためにハクティビスト的大義を採用するというシフトチェンジがみられるが、同社によればNullBulgeはまさにこの変化を体現する存在だという。
「井戸に毒を盛る」戦略でソフトウェアサプライチェーンを狙う
NullBulgeの広範かつ綿密に調整された攻撃キャンペーンでは、マルウェア配布に「井戸に毒を盛る」戦略が使われている。これは、正規のソフトウェア配布メカニズムへ悪性コードを注入することにより、ソフトウェアサプライチェーンを標的にするというもの。具体的には、GitHubやReddit、Hugging Faceといったプラットフォーム上のコードを悪用し、ユーザーに悪意あるライブラリをインポートさせる。また、ゲーマーをターゲットに有害なmodを配布するという手段も使われるという。
疑惑のペルソナ、「AppleBotzz」
上記のような有害リポジトリや悪性modのホストや拡散に使われているのが、「AppleBotzz」というアイデンティティ。NullBulge自身は、AppleBotzzが自らとは別のアクターであると主張しているものの、SentinelLabsの考えでは、NullBulgeがAppleBotzzというペルソナを管理している説が有力であるという。
NullBulgeの利用ツール
NullBulgeが主に用いるツールには、以下のようなものがあるとされる。
- LockBitランサムウェアのカスタムビルド(流出したLockBit 3.0のビルダーを基に構築されたもの)
- Pythonベースのペイロード各種
- 悪意あるmod
- Async RAT
- Xworm
その他の留意点
- リークサイトの運営:LockBitランサムウェアを用いるNullBulgeは、自らリークサイト(nullbulge.comやnullbulge.se等)をいくつか運営している。最近では、ディズニー社の情報をリークするとの主張がなされた。
- スティーラーログなどの販売:NullBulgeはアンダーグラウンドフォーラムでも活動しており、そこではインフォスティーラーのログや、OpenAIの盗難APIキーを販売しているという。
参入障壁の低いランサムウェア脅威を象徴
SentinelLabsは、NullBulgeが熟練度の低いアクターであるとしているものの、コモディティマルウェア/ランサムウェアを用いて組織を狙うやり口は、「参入障壁が低いランサムウェア」という成長中の脅威を象徴するものだと結論付けた。同社のレポートでは、さらに詳しい解説のほか、NullBulgeがもたらすリスクを緩和するための対策やIoCなども提供されている。