ロシアのランサムウェア犯罪グループ、中国製サイバー攻撃ツールを入手・使用–ウィズセキュア調査

今回は「ロシアのランサムウェア犯罪グループ、中国製サイバー攻撃ツールを入手・使用–ウィズセキュア調査」についてご紹介します。

関連ワード （調査等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ウィズセキュアは、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発表した。

　SILKLOADERはローダー（Loader）と呼ばれるマルウェアの一種で、「VLC Media Player」を使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上で「Cobalt Strike」のビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることに利用される。なお同ツールはCobalt Strikeビーコンを見えなくして、被害者のマシンの防御対策を回避するよう設計されている。

　レポートによると、ウィズセキュアのリサーチ部門であるWithSecure Intelligence （WithIntel）のリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられている。

　2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット（主に香港と中国）への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止し、9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになったという。

　こうした攻撃の傾向から、WithIntelはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付け、中国のサイバー犯罪者がロシアの同業者たちに同ツールを販売した可能性が高いとしている。

　WihIntelのリサーチャーは、同ツールが現在、Packer-as-a-Serviceプログラムを通じて直ちに使用可能な（off the shelf）ローダーとしてロシアのランサムウェアグループ内で共有されているとした。またCobalt Strike/Infrastructure-as-a-Serviceを提供するグループ経由で、信頼のおけるサイバー攻撃者グループに配布されている可能性もあるという。これに関する一連の動きは、ランサムウェアのような攻撃の初期段階でのハンズオン侵入の際に観測されていたという。

　ウィズセキュアでは、こうしたローダーはすでに多くの脅威アクターが購入できるサービスとなってしまっているため、ターゲットとなり得る企業／団体にとっては、ローダーに対抗する上で使用できる技術の開発が重要となっているとしている。