Kaspersky、ランサムウェア「Cuba」を使用する犯罪グループによる検知回避を目的とした新たなマルウェアの使用を発見

この記事は約6分で読めます。

[本リリースは、2023年9月11日にKasperskyが発表したプレスリリースに基づき作成したものです]

 –【概要】—
Kasperskyのリサーチャーはこのたび、悪名高いランサムウェア「Cuba(キューバ)」を使用するサイバー犯罪グループの活動に関する新たな調査を行いました。Cubaは単一ファイルのランサムウェアであり、追加のライブラリなく動作するため検知が困難です。Cubaを使用した攻撃はこれまでに、北米、ヨーロッパ、オセアニア、アジア地域の小売、金融、物流、製造などの業界や政府などを標的とし、広範に展開しています。また、単にデータを暗号化するだけでなく、財務文書、銀行の取引明細、企業口座の詳細などの機密情報の窃取も仕掛けており、特にソフトウェア開発企業は、ソースコードを窃取されるリスクがあります。調査の結果、この犯罪グループにはロシア語話者が関係している可能性があり、最近、高度なセキュリティソリューションの検知を回避するマルウェアを展開し、世界中のさまざまな業種の企業に対する攻撃を実行していることが分かりました。このグループは以前から注目されているにもかかわらず、常に技術を改良しながら活発に活動を続けているため、今後も注意が必要です。
————–

2022年12月、当社システムはあるユーザー企業のシステム上で不審なインシデントを検知し、三つの疑わしいファイルを特定しました。これらのファイルは、「BUGHATCH」としても知られる「komar65.dll」ライブラリをロードするための一連の動作をトリガーするものでした。

BUGHATCHは、プロセスメモリ内で展開される既知の高度なバックドアです。Windows APIを使用して、割り当てられたメモリ空間内で埋め込みシェルコードを実行します。その後、指令サーバー(C2)に接続して待機し、BUGHATCHの別モジュールなどさらなるマルウェアをダウンロードするコマンドや、商用のCobalt Strike BeaconやMetasploitのようなテストツールをダウンロードするためのコマンドも受け取ります。攻撃においては、バックアップソフトウェアVeeamの既知の脆弱性(ぜいじゃくせい)を悪用するマルウェア「Veeamp」が使用されており、このことはCubaを使用する犯罪グループの関与を強く示唆しています。

注目すべきこととして、komar65.dll内でPDB(プログラムデータベース)形式のファイルパスに「mosquito(蚊)」という名前のフォルダが存在していました。これはロシア語で「komar」と翻訳されます。komarはDLLの名前の一部であり、このグループ内にロシア語話者が存在している可能性があります。さらなる調査の結果、BUGHATCHに加えて、このマルウェア機能を強化する追加モジュールの存在も明らかになりました。そのモジュールの一つは、感染先のシステム情報を収集し、HTTP POSTリクエストを介してサーバーに送信する役割を担っています。

当社リサーチャーが調査を継続したところ、VirusTotal上で同グループに関連する新たな検体を発見しました。検体の一部は、当社以外のほかのセキュリティベンダーによる検知を回避する、既知のマルウェア「BURNTCIGAR」の新しいバージョンで、検知回避のために暗号化したデータを使用します。BURNTCIGARは、2021年11月に初めて観測され、エンドポイントセキュリティソフトウェアに関連するプロセスを終了させ、そのランサムウェアやほかのツールの実行を可能にします。

Kaspersky SOCアナリストのグレブ・イワノフ(Gleb Ivanov)は、次のように述べています。「私たちの最新の調査結果では、最新の脅威インテリジェンスを利用することの重要性が浮き彫りになりました。ランサムウェアCubaを使用する犯罪グループが戦術を洗練させていく中で、潜在的な攻撃を効果的に軽減するためには、先手を打つことが極めて重要です。サイバー脅威の状況が刻々と変化する中、脅威インテリジェンスは新興のサイバー犯罪者に対する究極の防御策です」

Cubaを使用する犯罪グループは、商用のツールと独自ツールを組み合わせて使用し、定期的にツールキットを更新、また、脆弱性を持つ正規のドライバーを侵害したデバイス上に配置し悪用するBYOVD(Bring Your Own Vulnerable Driver)の手法も用います。また、リサーチャーらを欺くためにコンパイルのタイムスタンプを変更することがあります。

■ ランサムウェアによる感染からご自身と企業を守るために、以下の対策をお勧めします。
・攻撃者が脆弱性を突いて企業ネットワークに侵入するのを防ぐため、使用する全デバイスのソフトウェアを常に最新の状態に保つ
・企業ネットワークに侵入した後の横展開やインターネットへのデータ流出の検知に重点を置いた防御対策を立てる。サイバー犯罪者による企業ネットワークへの接続を検知するために、外部ネットワークへの送信トラフィックに特別な注意を払う
・オフラインバックアップを行い、緊急時に必要になった場合には、すぐにアクセスできるようにしておく
・APT(持続的標的型)攻撃対策およびEDRソリューションを導入し、高度な脅威の発見と検知、調査、適切なタイミングでのインシデントの修復などの機能を利用できるようにする。SOCチームが最新の脅威インテリジェンスを利用できるようにし、専門的なトレーニングで継続してスキルアップを図る
・SOCチームが最新の脅威インテリジェンスを利用できるようにする。Kaspersky Threat Intelligence Portalは、当社が提供する脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供します

SOC | サイバー脅威インテリジェンス | カスペルスキー
Kaspersky Threat Intelligenceサービスを利用することで、インシデント管理サイクル全体にわたる豊富で示唆に富んだ背景情報を得たり、組織を標的とするサイバー脅威を詳細に可視化したりすることができます。世界トップレベルの脅威インテリジェンスアナリストによるサポートを利用可能です。

■ Cubaを使用する犯罪グループの当攻撃についての詳細は、Securelistブログ(英語)「From Caribbean shores to your devices: analyzing Cuba ransomware」でご覧いただけます。

Analysis of Cuba ransomware gang activity and tooling
The article analyzes the malicious tactics, techniques and procedures (TTP) used by the operator of the Cuba ransomware, and details a Cuba attack incident.

Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。

<本件に関するお問い合わせ>
株式会社カスペルスキー 広報担当
TEL:03-3526-8523 | FAX:03-3526-0150 | Mail:jp-press@kaspersky.com
https://www.kaspersky.co.jp/

 

タイトルとURLをコピーしました