ロシアのランサムウェア犯罪グループ、中国製サイバー攻撃ツール『SILKLOADER』を入手/使用
PR TIMES / 2023年3月16日 11時15分
~ ウィズセキュアのリサーチチーム、両国の脅威アクター間での『SILKLOADER』の共有を観測 ~
サイバー犯罪の世界においては、脅威アクター同士が持っている技術を互いに共有することがあり、それにより攻撃の件数が増加し、その精度が高くなってきています。ウィズセキュアは同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール『SILKLOADER』の提供に関するレポートを発行し、サイバー犯罪集団間でのツール共有のダイナミズムについて説明しています。
サイバー犯罪の世界においては、脅威アクター同士が持っている技術を互いに共有することがあり、それにより攻撃の件数が増加し、その精度が高くなってきています。先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、ウィズセキュア) は同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール『SILKLOADER』の提供に関するレポートを発行し、サイバー犯罪集団間でのツール共有のダイナミズムについて説明しています。
[画像1: https://prtimes.jp/i/1340/355/resize/d1340-355-d906343866c9a68f47cb-1.jpg ]
ウィズセキュアのリサーチ部門であるWithSecure Intelligence (通称: WithIntel) のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースであり、少なくとも2022年初頭から攻撃で使用されていたものとみられます。2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット (主に香港と中国) への攻撃においてのみSILKLOADERを使用していました。しかし、同年7月に一旦その活動を停止しました。その後9月に入ると、台湾、ブラジル、フランスなど様々な国の多くのターゲットに向けた攻撃で再び観測されるようになりました。
こうした攻撃の傾向から、ウィズセキュアのリサーチャーたちはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付けました。最も可能性の高い説明は、中国のサイバー犯罪者がロシアの同業者たちにSILKLOADERを販売したということです。
WihIntelでリサーチャーを務めるMohammad Kazem Hassan Nejad (モハマッド・カゼム・ハッサン・ネジャッド) はSILKLOADERの動きについて、以下のように述べています。
「私たちは、SILKLOADERが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な (off the shelf) ローダーとしてロシアのランサムウェアグループ内で共有されていると考えています。あるいは、Cobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあります。これまで、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際にこれらが観測されていました。それらのグループの多くは、ランサムウェア犯罪集団として名をはせ、活動を終了したと考えられている『Conti』グループと直接または間接的に密接な協力関係を持っていたものと考えられます。」
ローダー (Loader) と呼ばれるマルウェアの一種であるSILKLOADERは、VLC Media Playerを使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上でCobalt Strikeのビーコンを起動させるものです。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることを可能にします。
Hassan Nejadによると、このローダーはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されています。
「Cobalt Strikeビーコンは非常によく知られた存在であり、十分に保護されたマシンにおいてはビーコンの検出はほぼ保証されています。しかし、ファイルの内容にさらに複雑なレイヤーを追加し、サイドローディングによってVLC Media Playerなどの既知のアプリケーションを介して起動することで、攻撃者はこれらの防御対策を回避しようとしているのです。」
[画像2: https://prtimes.jp/i/1340/355/resize/d1340-355-45e1f94f31f2e99c3da5-2.png ]
(Silkloader使用のタイムライン)
サイバー犯罪ネットワークへの対抗策
ウィズセキュアのバイスプレジデントでWithIntelの責任者を務めるPaolo Palumbo (パオロ・パルンボ) によると、ローダーは既に多くの脅威アクターが購入できるサービスとなってしまっているため、ターゲットとなり得る企業/団体にとっては、ローダーに対抗する上で使用できる技術の開発が重要となっています。
「攻撃者はサイバー犯罪業界のリソースを上手く活用して新しい能力や技術を獲得し、ターゲットが持つ防御策に素早く適応して攻撃を仕掛けようとしています。そのため、防御側もリソースを特定の攻撃グループやその手法に絞り込んで対策を立てることが困難になってきています。その反面、攻撃側がリソースを共有することで、防御側である企業/団体は、複数の攻撃グループが共有/使用するリソースに対抗する戦略を立てることで、より効果的な防御が可能になるということも言えるのです。」
ウィズセキュアでは、WithSecure™ ElementsとWithSecure™ Countercept Managed Detection and Responseにより、SILKLOADERを使用した攻撃/関連アクティビティを検知しています。これらのソリューションの詳細については、こちらのページをご覧ください。
https://www.withsecure.com/jp-ja/solutions
SILKLOADERに関するレポート (英語) は、以下のページでご覧いただけます。
https://www.withsecure.com/content/dam/with-secure/ja/news-library/20230316_WithSecure_Silkloader_Report_ENG.pdf
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
ウィズセキュアのEDR、独AV-TESTから『Approved Advanced Endpoint Detection and Response』を受賞
PR TIMES / 2024年7月17日 9時30分
-
パリ五輪は従来以上に悪質なサイバー攻撃のリスクが高い - WithSecure調査
マイナビニュース / 2024年7月11日 10時32分
-
ウィズセキュア、パリオリンピック期間前後のサイバー攻撃について注意喚起
PR TIMES / 2024年7月11日 9時30分
-
ユーロポール、ランサムウェア攻撃に悪用された593件のCobalt Strikeアドレスを削除
ITmedia NEWS / 2024年7月4日 17時4分
-
ウィズセキュア、今秋移転の新社屋にマルウェアミュージアムを開設
PR TIMES / 2024年7月4日 11時15分
ランキング
-
1「トヨタが日本を見捨てたら、日本人はもっと貧しくなる」説は本当か
ITmedia ビジネスオンライン / 2024年7月24日 6時20分
-
2「平気でウナギを食べる人」が知らない資源の実態 ウナギをいつまでも食べ続けるためには
東洋経済オンライン / 2024年7月24日 11時30分
-
3普通免許OKのトラック=運転手不足に対応―いすゞ
時事通信 / 2024年7月24日 15時56分
-
4ドンキの「着るクーラー」昨対比3倍以上の売れ行き、人気のワケは?
ITmedia ビジネスオンライン / 2024年7月24日 11時36分
-
5危険な暑さ…千葉で39度も 「長袖」で対策? 直射日光防ぎ、「冷感」「放熱」猛暑対策に特化【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年7月23日 23時6分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)