ポストエクスプロイトにマルウェア「Skitnet」を使うランサムウェアグループが増加

nosa

2025.05.19

5月17〜19日：サイバーセキュリティ関連ニュース

ポストエクスプロイトにマルウェア「Skitnet」を使うランサムウェアグループがさらに増加

BleepingComputer – May 16, 2025

侵入したネットワーク上でステルス性の高いポストエクスプロイトを行うため、Skitnet（Bossnet）と呼ばれる新しいマルウェアを使うランサムウェアグループが増えているという。

このマルウェアはRAMPのような不法フォーラムで2024年4月から販売されているようだが、インテリジェンス企業Prodaftの研究者によると、2025年初頭からランサムウェアグループの間で大きな注目を集めるようになったとされる。同社はMicrosoft Teamsを標的とした企業向けのフィッシング攻撃において、BlackBastaやCactusなど複数のランサムウェアグループがSkitnetを実際の攻撃に利用していることを確認した。

Skitnetの感染は標的システムにRustベースのローダーが投下・実行されることから始まり、このローダーがChaCha20で暗号化されたNimバイナリを復号してメモリに読み込む。さらに、Nimペイロードがコマンド＆コントロール（C2）サーバーとの通信用にDNSベースのリバースシェルを確立し、ランダム化されたDNSクエリでセッションを開始する。その後同マルウェアは、オペレーターがC2パネルを通じて発するコマンドを受信。対応可能なコマンドには、スクリーンショットの撮影、正規のリモートアクセスツールであるAnyDeskやRUT-Servのインストール、インストールされているアンチウイルス製品の列挙などがあるという。

特定の攻撃に合わせてカスタムツールを作成するのはコストがかかり、熟練した開発者を必要とするため、特に下層のランサムウェアグループはそうした独自ツールを入手しづらい。しかしSkitnetのような既製のマルウェアであれば安価で迅速に展開できる上、複数の脅威アクターが使用しているものであるため、帰属の特定が難しくなるという利点もある。Prodaftは、Skitnetに関連するIoC（セキュリティ侵害インジケーター）をGitHubリポジトリに公開した。

EU裁判所、追跡型オンライン広告を違法と判断

The Record – May 17th, 2025

ブリュッセル控訴裁判所が14日、オンライン広告主による追跡は不十分な同意モデルに基づいており、ヨーロッパでは違法との判決を下した。

このニュースを報じたアムネスティ・インターナショナルは、今回の判決がマイクロソフトやAmazon、Google、Xなど大手テクノロジー企業に大きな影響を与えると指摘。これまでは各企業がEUの一般データ保護規則（GDPR）を遵守するために「透明性と同意の枠組み」（ポップアップ広告を通してプライバシー侵害への同意を求める）を用いていると主張してきたが、そのモデルでは「不十分だったことが明らかになった」と述べた。

オンライン広告は「リアルタイム入札」というシステムに支えられており、これはユーザーが読んでいるもの、聞いているもの、現在地といった個人情報を収集し、信条や性的嗜好、健康状態など個人的な情報を推測できるとされる。アムネスティは同システムの問題についても言及し、「Webサイトを開くたびに、この個人情報は数千社もの企業と共有され、適切に管理されないまま広告を表示するために入札される。これは重大なプライバシー侵害だ」とコメント。「これ（今回の判決）はプライバシー権の大きな勝利であり、テクノロジー業界は監視ベースの広告から権利をより尊重するモデルへ移行すべきとの明確なメッセージだ」と付け加えた。