米セキュリティ専門家3名、BlackCatランサムウェア攻撃への関与容疑で起訴される

佐々山 Tacos

2025.11.04

10月31日〜11月4日：サイバーセキュリティ関連ニュース

米国のサイバーセキュリティ専門家3名、BlackCatランサムウェア攻撃への関与容疑で起訴される

BleepingComputer – November 3, 2025

インシデント対応代行企業DigitalMintおよびSygniaの元従業員3人が、BlackCat/ALPHVランサムウェアの攻撃に関与していた疑いで起訴されたという。これらの攻撃では、少なくとも5社の米国企業が被害に遭ったとされている。

今回起訴されたのは、DigitalMintの元従業員Kevin Tyler Martin被告および別の元従業員（名前は非公開）と、Sygniaの元インシデントレスポンスマネージャーであるRyan Clifford Goldberg被告。DigitalMintは米イリノイ州を拠点とする企業で、ランサムウェア攻撃からの復旧支援や身代金支払いの代行といったサービスを提供しているとされる。起訴された同社の元従業員2名は、いずれもランサムウェア交渉人として働いていたという。一方Sygniaはイスラエル発の大手サイバーセキュリティ企業で、そのサービスにはランサムウェア攻撃のシミュレーションなどが含まれる。

これらの被告は2023年5月から11月の間に米国企業5社のネットワーキングをハッキングした疑いがあり、恐喝による州際通商の妨害の共謀と、保護されたコンピューターへの意図的な損害の容疑で起訴されている。米司法省によれば、被告らはBlackCatのアフィリエイトとして活動し、被害組織のネットワークへ不正にアクセスしてデータを盗み、暗号化用マルウェアを展開して復号鍵を渡すことおよび盗んだデータをネット上に公開しないという約束と引き換えに身代金を支払うよう恐喝していたとされる。有罪判決を受けた場合、恐喝では最高20年、コンピューターシステムの損害では最高10年の懲役刑に処せられる可能性があるとのこと。

オーストラリア当局、Cisco IOS XEの脆弱性悪用する進行中のBADCANDY攻撃について注意喚起（CVE-2023-20198）

The Hacker News – Nov 01, 2025

オーストラリア通信電子局（ASD）は10月31日、パッチ未適用のCisco IOS XEデバイスに対する進行中の攻撃について警告。脆弱性CVE-2023-20198の影響を受ける国内のデバイスに対し、これまで文書化されていなかったインプラント「BADCANDY」が展開されていると伝えた。

この攻撃で悪用されている脆弱性CVE-2023-20198は、リモートの認証されていない攻撃者による特権昇格を可能にする重大な脆弱性。2023年後半から、中国関連の脅威アクターSalt Typhoonによる攻撃でゼロデイとして武器化されていたと言われている。

ASDによれば、今回の攻撃で展開されているBADCANDYインプラントはLuaベースのWebシェルで、その亜種は2023年10月から検出されており、最新の攻撃群は2024年および2025年にも観測され続けているという。オーストラリア国内では2025年7月以降400台ほどのデバイスが同マルウェアにより侵害されており、このうち10月に感染したものは150台に上るとされる。

システム運用者には、パッチの適用およびWebユーザーインターフェースの露出の制限が求められるほか、シスコが共有しているハードニングガイドラインに従うことが推奨されている。

Kimsukyの新バックドアHttpTroy、標的型攻撃で韓国組織を標的に

The Hacker News – Nov 03, 2025

北朝鮮関連の脅威アクターKimsukyは、韓国のある組織に対するスピアフィッシングとみられる攻撃において、これまで文書化されていなかったバックドア「HttpTroy」を配布していたという。ジェン・デジタル社が報告した。

同社が観測したインシデントは、「250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip」と名付けられたZIPファイル付きのフィッシングメールからスタート。この添付ファイルはVPNツールのインボイスに見せかけてあるものの、中にある同名のSCRファイルを開くと感染チェーンが始まる仕組みになっていた。このチェーンは3つの段階から成り、小規模なドロッパーおよび「MemLoad」と名付けられた第2段階のドロッパーを経て、最終段階のバックドアであるHttpTroyが投下されたという。

HttpTroyはファイルのアップロード・ダウンロード、スクリーンショットの取得、昇格された権限でのコマンド実行、実行ファイルのインメモリロード、リバースシェル、プロセスの終了、痕跡の消去といった性能を備え、攻撃者は同インプラントを利用することで侵害したシステムを完全に操れるようになるとされる。ジェン・デジタルはまた、HttpTroyが難読化を多層的に行って分析や検出を妨げようとしている点にも言及。カスタムハッシュの手法でAPIコールを隠すとともに、XOR演算とSIMD命令を組み合わせて文字列を難読化していることなどについて説明した。またHttpTroyはAPIハッシュおよび文字列の使い回しを避け、代わりに実行時に動的に再構築するため、静的解析がさらに難しくなるという。

ジェン・デジタルは同じレポート記事の中で、北朝鮮グループLazarusによる別の攻撃についても報告。カナダの2組織を標的としたこの攻撃は、Comebackerマルウェアの新バージョンと、リモートアクセスツールBLINDINGCAN（別称AIRDRY、ZetaNile）の新たな亜種の発見に繋がったという。

Comebackerの新バージョンはDLL版とEXE版の2種類が見つかっており、前者はWindowsサービスを通じて、後者は「cmd.exe」を通じて実行されていた。実行の手段は異なっていたものの、目的はいずれも同じく埋め込まれていたBLINDINGCANペイロードを復号し、サービスとしてデプロイすることだったという。一方でBLINDINGCANはリモートのC2サーバー（tronracing[.]com）と接続し、C2からの指示に従ってファイルのアップロード・ダウンロード・削除、システムメタデータの収集、バイナリやコマンドの実行、スクリーンショットの取得などを行う性能を持つ。

ジェン・デジタルはKimsukyとLazarusが自身のツールの改良を重ねていることについて、「DPRK（朝鮮民主主義人民共和国）関連のアクターが単にツールをメンテナンスしているだけでなく、再構築していること」が示されていると指摘。両グループが進化を続けており、技術的にも優れていることが浮き彫りになっており、こうした脅威の早期検出および緩和には、同社が報告したようなインジケーターや挙動をモニタリングすることが肝要だと述べた。