Language
ランサムウェア攻撃をプレイ 新しいカスタム ツールを利用
ホームページホームページ > ニュース > ランサムウェア攻撃をプレイ 新しいカスタム ツールを利用
最新ニュース

ランサムウェア攻撃をプレイ 新しいカスタム ツールを利用

Dec 28, 2023

競争上の優位性を獲得し、攻撃を被害者の環境に合わせて調整するために、さまざまな攻撃者が独自のツールを採用することが増えているため、研究者は、Play ランサムウェア攻撃に利用されている 2 つの新しいカスタム ツールを発見しました。

シマンテックの脅威ハンター チームは、ドメイン内のすべてのコンピュータとユーザーを列挙するためにカスタマイズされたネットワーク スキャン ツール Grixba を使用し、攻撃者がボリューム シャドウ コピー サービス (VSS) からファイルをコピーできるようにする .NET 実行可能ファイルを使用して、Play ランサムウェアの背後にいるグループを発見しました。通常はオペレーティング システムによってロックされています。

研究者らは水曜日の分析で、「独自のツールを使用することで…ランサムウェアのオペレータがより自分たちの運用を制御できるようになった」と述べた。 「ツールが広く入手可能になると、他の攻撃者によってリバース エンジニアリングや改変が行われる可能性があり、最初の攻撃の有効性が弱まる可能性があります。ツールを独占的かつ独占的に保つことで、ランサムウェア ギャングは競争上の優位性を維持し、利益を最大化することができます。」

2022 年 6 月に開始された Play ランサムウェアを開発する Balloonfly グループは、カリフォルニア州オークランド市に対する最近のサイバー攻撃を含む、いくつかの二重恐喝攻撃を実行しました。このグループは以前、特権昇格などの Microsoft Exchange の欠陥を標的としていたことがあります。バグ (CVE-2022-41080) とリモート コード実行の欠陥 (CVE-2022-41082)。

このグループは Play をサービスとしてのランサムウェアとして運用しているわけではないようで、今週発見されたそのカスタム ツールは他のグループに対して競争上の優位性をもたらす可能性があります。 Balloonfly は、Costura と呼ばれる一般的な .NET 開発ツールを使用して両方のツールを開発しました。Costura を使用すると、ユーザーはアプリケーションの依存関係を単一の実行可能ファイルに埋め込むことができます。

「ランサムウェアギャングはツールを独占的かつ独占的に保つことで、競争上の優位性を維持し、利益を最大化することができます。」

.NET Grixba infostealer は、ソフトウェア、リモート管理ツール、いくつかのセキュリティ プログラムなどをチェックして列挙し、漏洩のためにこの情報を編集します。 もう 1 つのツールは、AlphaVSS ライブラリ (VSS と対話するための .NET フレームワーク) を利用して、暗号化前に VSS スナップショットからファイルをコピーします。

より多くのグループが、公開されているツールや単純なスクリプトから、2021 年のいくつかの BlackMatter ランサムウェア攻撃で使用された Exmatter データ抽出ツール、BlackByte が昨年開発したカスタム データ抽出ツール Exbyte、PowerShell ベースのツールなど、完全なカスタム ツールを使用するように移行しています。 Vice Societyが使用するツール。

シマンテック社の脅威ハンターグループの首席インテリジェンスアナリストであるディック・オブライエン氏は、こうしたカスタム抽出ツールは攻撃の速度を向上させるが、Play ランサムウェアのカスタムツールに代表されるように、攻撃の複雑さと能力を増大させる可能性もある、と述べた。

「攻撃の実行がこれまで以上に複雑になっている可能性があるため、一部のステップの自動化が必要になっている」とオブライエン氏は述べた。 「ロックされたファイルのコピーなどは、攻撃者が数年前にわざわざ実行したかどうかはわかりません。」

窃盗ツール以外にも、攻撃者は攻撃チェーンを拡大し、攻撃にさらなる複雑さを加えるために、他の種類のツールセットを開発しています。 たとえば、2022 年以来、イランの既知の攻撃者 APT35 のサブグループは、侵害された環境で存続し、検出を回避し、第 2 段階のマルウェアを展開するために 2 つのカスタム インプラントを使用しています。

オブライエン氏は、「これはある意味、前向きな兆候かもしれない。攻撃者が、攻撃が過熱し、完了する前にあまりにも多くの攻撃が発見されていると感じていることを示唆しているからだ」と述べた。 「また、攻撃者がセキュリティ ソフトウェアを無効にしようとする試みに、より多くの労力を費やしていることも確認されています。これは、攻撃が妨害される頻度が高まっていることを示唆しています。」

Qakbot マルウェアのオペレーターは、防御の変化に適応するために再び戦術を変更しました。

SeroXen として知られる新しい RAT は、フォーラムやソーシャル メディア プラットフォームで販売されており、EDR を回避する機能を備えており、...

2 月に発表された BlackCat ランサムウェアのバージョンには、攻撃者が検出と分析を回避できる新しい機能が含まれています。