-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月13日:サイバーセキュリティ関連ニュース
北朝鮮スパイグループKimsuky、大学のWebサイト使った水飲み場型攻撃を実施
Securityonline[.]info – March 11, 2025
北朝鮮アクターKimsukyによるものとされる新たな水飲み場型攻撃について、韓国のサイバーセキュリティ企業ESTsecurityのセキュリティレスポンスセンター(ESRC)が明らかに。この攻撃では、韓国のある大学の公式Webサイトが悪用されたという。
水飲み場型攻撃は標的型攻撃の一種で、特定の個人や集団、組織が頻繁に訪れるWebサイトを侵害し、ターゲットがサイトを訪問した際にマルウェアに感染させる手法。今回の攻撃で使われたWebサイトは、朝鮮半島の南北再統一に関する教育プログラムについての情報を掲載している。つまり攻撃者の標的は、このテーマに関心を抱く人々。この南北再統一という領域は、北朝鮮の諜報活動においても戦略上の関心対象となっている。
同サイトには教育プログラムの受講生を募集するお知らせ投稿があり、攻撃者はこの投稿に、受講申込書に偽装した悪意あるHWP(Hangul Word Processor)ドキュメントをアップロード。プログラムの受講を希望する人々にダウンロードさせることを目論んだ。この有害HWPファイルには複数のOLEオブジェクトが含まれており、これらのファイルは実行されると第2段階のバッチスクリプトをユーザーのテンポラリフォルダへドロップする。その後、永続性を確立し、さらなるエクスプロイトを行うための一連のアクションがバッチスクリプトによって実行されるという。
ESRCは、TTPの類似点に基づき、この攻撃をKimsukyによるものだと結論付けた。特に、今回の攻撃で観測された、Base64でエンコードされたVBScriptコードをマニフェストファイルを使ってロードするという手法は、Kimsukyによるこれまでのキャンペーンでも観測されていたという。加えて、攻撃インフラには、過去のKimsukyの攻撃で使われたものと一致するURLが見受けられたとのこと。
Elysium:Ghostランサムウェアファミリーの亜種を研究者が分析
Securityonline[.]info – March 12, 2025
Ghostランサムウェアの亜種「Elysium」についての分析レポートを、Netskope Threat Labsが公開。Ghostは2021年から活動しているとされ、特に重要インフラ、ヘルスケア、政府の各セクターの組織を標的にしているという。
Ghostランサムウェア(Cring、Crypt3rなどとも呼ばれる)は主に、更新されていないアプリケーションにおける既知の脆弱性を突くことで、初期アクセスを獲得する。Ghostの亜種は一般的に多段階の攻撃チェーンを採用しているが、Elysiumを使った攻撃でもその点は同じ。ターゲットネットワークへの侵入後は、Cobalt Strike(C2通信用)やBadPotato・GodPotato(特権昇格用)、Mimikatz(認証情報窃取用)といったさまざまなツール・技法を用いて攻撃を完了させるという。十分なアクセスが達成されたのちに投下されるランサムウェアペイロードは.NETで書かれており、分析対策のため複数の難読化手法を採用している。
Elysiumは暗号化を行う前に、システム復旧を阻害するための措置として、システムバックアップの無効化、シャドウコピーの削除、ブートステータスポリシーの改ざんを実施。なお、このほかにも同ランサムウェアは攻撃チェーンの序盤で、「sql」、「oracle」、「veeam」、「backup」、「acronis」、「sophos」、「endpoint」、「exchange」などを含む名称のサービスを狙い、セキュリティソフトウェアをに関連するサービスを終了させようとするほか、PowerShellを使ってHyper-V仮想マシンの阻止を試みることも報告されている。
こうしたシステム復旧への対策を行ったのち、ElysiumはAES-256(CFBモード)を使ってファイルを暗号化し、RSAでAES鍵を暗号化して暗号化済みファイルの末尾に追加した後、ファイル名に「.HvTovz」という拡張子を付け加える。また、各Desktopフォルダには「HvTovz-README.txt」と名付けられたランサムノートが投下され、復号鍵と引き換えに身代金の支払い(モネロ払い)を要求する。
Ghostランサムウェアといえば、2月には米CISA、FBIなどによるアドバイザリがリリースされ、世界70か国以上の組織が狙われていることが明かされていた。このアドバイザリでは、関連するIoCやTTP、検出手法なども共有されている。
【無料配布中!】ランサムウェアリークサイトの分析レポート
ランサムウェアレポート:『リークサイト統計に見るランサムウェアグループの傾向』
さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポート『リークサイト統計に見るランサムウェアグループの傾向』を、以下のバナーより無料でダウンロードいただけます。
<レポートの目次>
- 要点
- 掲載件数:全世界と日本の比較
- グループ別内訳:全世界と日本の比較
✔️特筆すべきトレンド
⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
⚪︎LockBitと8Base
⚪︎Clopは減少も、2023年には急増を観測 - 業界別内訳:全世界と日本の比較
