9月26日:サイバーセキュリティ関連ニュース
DragonForceランサムウェアグループ、攻撃でLockBitとContiの改変版を使用
The Record – September 26th, 2024
サイバー犯罪グループDragonForceは、LockBit 3.0やContiの改変版マルウェアを用いて世界中の製造、不動産、運輸業界を攻撃しており、ここ1年間の被害組織数は82に上っているという。Group-IBの研究者らが報告した。
DragonForceは、RaaS(ランサムウェア・アズ・ア・サービス)を運営しているランサムウェアグループ。同グループがダークウェブ上に掲載している投稿によると、アフィリエイトの選定は慎重に行われており、高価値なターゲットを中心に狙うことのできる熟練のサイバー犯罪者が積極的に採用されるという。アフィリエイトはDragonForceから提供されるカスタマイズ可能な攻撃用ツールを使ってランサムウェア攻撃を実施し、得られた身代金の80%を手にする。残りの20%はDragonForceへ支払われる仕組み。なお、その他のRaaSと同様、DragonForceランサムウェアの攻撃でも暗号化とデータ窃取・恐喝を組み合わせた二重恐喝の戦術が取られる。
DragonForceのツールセットに含まれるのが、LockBit 3.0の流出ビルダーを改変して作られたマルウェア。これに加え、Contiランサムウェアのカスタマイズ版亜種も存在し、これには高度な性能が備わっているという。これらに加えて、アクセスの永続性を確保するための手段としてバックドア「SystemBC」が、またクレデンシャルハーベスティングのツールとしてMimikatzとCobalt Strikeが使用される。Cobalt Strikeはまた、ラテラルムーブメント用ツールとしての役割も果たすとされる。
このグループのように、ランサムウェアの流出したビルダーを再利用するサイバーアクターは増えているとされ、特にConti、Babuk、LockBitのビルダーは度々こうしたアクターに利用され、各自のニーズに合わせて改変されているという。
研究者らは、DragonForceの標的が重要産業の組織であることやツールおよび戦術が高度であることを踏まえ、このグループを「手強い敵対者」であると指摘している。Group-IBはこのグループを特定の国や個人と結びつけることはしていないものの、過去には複数の専門家が同グループがマレーシアを拠点にしているとの考えを示していた。
AIモデル「YOLO」、reCAPTCHA v2の画像テストを100%の確率でパス
Securityonline[.]info – September 25, 2024
スイス連邦工科大学チューリッヒ(ETH)の研究チームが、ボット対策のためのシステムであるreCAPTCHA v2が高度なAIモデルに脆弱であることを実証。同チームのAIモデル「YOLO(You Only Live Once)」がreCAPTCHAv2のテストを100%の確率でパスしたことなどを報告した。
reCAPTCHAv2はGoogle提供のサービスで、画像を複数枚提示し、特定の指示に沿った内容の画像を選択させることで端末を操作しているのが人間なのかボットなのかを判定する認証システム。14,000枚の画像データによるトレーニングを受けたYOLOは、reCAPTCHAv2の指示する信号や横断歩道といった物体を正確に特定・選択できたほか、人間がよくやるような、判断がつきづらい画像については「スキップ」を選択して別の画像を表示させる、といった行動も模倣したという。
Googleはこの研究について認識しており、引き続きreCAPTCHAの強化に注力するとの考えを強調している。ただ、今回の発見により、こうした画像ベースの検証システムが長期的には有効ではなくなるのではないかとの懸念も高まっているとのこと。