Kaspersky、ランサムウェア「Cuba」を使用する犯罪グループによる検知回避を目的とした新たなマルウェアの使用を発見
この犯罪グループは最近、高度なセキュリティソリューションの検知を回避するマルウェアを展開し、世界中のさまざまな業種の企業に対する攻撃を実行していることが分かりました。以前から注目されているにもかかわらず、常に技術を改良しながら活発に活動を続けており、今後も注意が必要です。
[本リリースは、2023年9月11日にKasperskyが発表したプレスリリースに基づき作成したものです]
Kasperskyのリサーチャーはこのたび、悪名高いランサムウェア「Cuba(キューバ)」を使用するサイバー犯罪グループの活動に関する新たな調査を行いました。Cubaは単一ファイルのランサムウェアであり、追加のライブラリなく動作するため検知が困難です。Cubaを使用した攻撃はこれまでに、北米、ヨーロッパ、オセアニア、アジア地域の小売、金融、物流、製造などの業界や政府などを標的とし、広範に展開しています。また、単にデータを暗号化するだけでなく、財務文書、銀行の取引明細、企業口座の詳細などの機密情報の窃取も仕掛けており、特にソフトウェア開発企業は、ソースコードを窃取されるリスクがあります。調査の結果、この犯罪グループにはロシア語話者が関係している可能性があり、最近、高度なセキュリティソリューションの検知を回避するマルウェアを展開し、世界中のさまざまな業種の企業に対する攻撃を実行していることが分かりました。このグループは以前から注目されているにもかかわらず、常に技術を改良しながら活発に活動を続けているため、今後も注意が必要です。
2022年12月、当社システムはあるユーザー企業のシステム上で不審なインシデントを検知し、三つの疑わしいファイルを特定しました。これらのファイルは、「BUGHATCH」としても知られる「komar65.dll」ライブラリをロードするための一連の動作をトリガーするものでした。
BUGHATCHは、プロセスメモリ内で展開される既知の高度なバックドアです。Windows APIを使用して、割り当てられたメモリ空間内で埋め込みシェルコードを実行します。その後、指令サーバー(C2)に接続して待機し、BUGHATCHの別モジュールなどさらなるマルウェアをダウンロードするコマンドや、商用のCobalt Strike BeaconやMetasploitのようなテストツールをダウンロードするためのコマンドも受け取ります。攻撃においては、バックアップソフトウェアVeeamの既知の脆弱性(ぜいじゃくせい)を悪用するマルウェア「Veeamp」が使用されており、このことはCubaを使用する犯罪グループの関与を強く示唆しています。
注目すべきこととして、komar65.dll内でPDB(プログラムデータベース)形式のファイルパスに「mosquito(蚊)」という名前のフォルダが存在していました。これはロシア語で「komar」と翻訳されます。komarはDLLの名前の一部であり、このグループ内にロシア語話者が存在している可能性があります。さらなる調査の結果、BUGHATCHに加えて、このマルウェア機能を強化する追加モジュールの存在も明らかになりました。そのモジュールの一つは、感染先のシステム情報を収集し、HTTP POSTリクエストを介してサーバーに送信する役割を担っています。
当社リサーチャーが調査を継続したところ、VirusTotal上で同グループに関連する新たな検体を発見しました。検体の一部は、当社以外のほかのセキュリティベンダーによる検知を回避する、既知のマルウェア「BURNTCIGAR」の新しいバージョンで、検知回避のために暗号化したデータを使用します。BURNTCIGARは、2021年11月に初めて観測され、エンドポイントセキュリティソフトウェアに関連するプロセスを終了させ、そのランサムウェアやほかのツールの実行を可能にします。
Kaspersky SOCアナリストのグレブ・イワノフ(Gleb Ivanov)は、次のように述べています。「私たちの最新の調査結果では、最新の脅威インテリジェンスを利用することの重要性が浮き彫りになりました。ランサムウェアCubaを使用する犯罪グループが戦術を洗練させていく中で、潜在的な攻撃を効果的に軽減するためには、先手を打つことが極めて重要です。サイバー脅威の状況が刻々と変化する中、脅威インテリジェンスは新興のサイバー犯罪者に対する究極の防御策です」
Cubaを使用する犯罪グループは、商用のツールと独自ツールを組み合わせて使用し、定期的にツールキットを更新、また、脆弱性を持つ正規のドライバーを侵害したデバイス上に配置し悪用するBYOVD(Bring Your Own Vulnerable Driver)の手法も用います。また、リサーチャーらを欺くためにコンパイルのタイムスタンプを変更することがあります。
■ ランサムウェアによる感染からご自身と企業を守るために、以下の対策をお勧めします。
・攻撃者が脆弱性を突いて企業ネットワークに侵入するのを防ぐため、使用する全デバイスのソフトウェアを常に最新の状態に保つ
・企業ネットワークに侵入した後の横展開やインターネットへのデータ流出の検知に重点を置いた防御対策を立てる。サイバー犯罪者による企業ネットワークへの接続を検知するために、外部ネットワークへの送信トラフィックに特別な注意を払う
・オフラインバックアップを行い、緊急時に必要になった場合には、すぐにアクセスできるようにしておく
・APT(持続的標的型)攻撃対策およびEDRソリューションを導入し、高度な脅威の発見と検知、調査、適切なタイミングでのインシデントの修復などの機能を利用できるようにする。SOCチームが最新の脅威インテリジェンスを利用できるようにし、専門的なトレーニングで継続してスキルアップを図る
・SOCチームが最新の脅威インテリジェンスを利用できるようにする。Kaspersky Threat Intelligence Portalは、当社が提供する脅威インテリジェンスの一元的なアクセスポイントで、過去20年間に収集したサイバー攻撃に関するデータと知見を提供します
■ Cubaを使用する犯罪グループの当攻撃についての詳細は、Securelistブログ(英語)「From Caribbean shores to your devices: analyzing Cuba ransomware」でご覧いただけます。
Kaspersky、ランサムウェア「Cuba」を使用する犯罪グループによる検知回避を目的とした新たなマルウェアの使用を発見
Kaspersky
関連記事 ウイルスニュース
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
過去3年の間にサイバー犯罪者が最も多く使用した情報窃取型マルウェアは「Redline」となっており、新種の情報窃取型マルウェア「Lumma」「Stealc stealer」も増加しています。詳しくはこちら >Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に
サイバー犯罪者により窃取されるログイン情報は、感染したデバイス1台につき平均で50.9件となり、情報窃取型マルウェアによる脅威は個人と企業の両方で拡大しています。漏えいしたアカウントのドメインは「.com」が最多で、日本に関連するドメイン「.jp」では、2023年に漏えいしたアカウント数は95万件に及んでいました。詳しくはこちら >Kaspersky、銀行を標的とするトロイの木馬「Grandoreiro」を使用した攻撃を阻止するインターポール主導の捜査活動を支援
今回の共同作戦の一環として、当社はインターポールのほかの民間パートナーと共に、Grandoreiroのマルウェアサンプルの分析に協力しました。当社のエキスパートは、この攻撃活動はMalware-as-a-Serviceの形態をとっており、北米、ラテンアメリカ、欧州の40カ国以上、900を超える金融機関を標的にしているとみています。詳しくはこちら >