Charonランサムウェア
サイバーセキュリティ専門家は、これまで知られていなかった「Charon」と呼ばれる亜種を利用した新たなランサムウェア攻撃キャンペーンを発見しました。この攻撃キャンペーンは、特に中東の公共部門と航空業界を狙ったものです。この攻撃キャンペーンは非常に巧妙で、高度な持続的脅威(APT)攻撃に典型的な戦術が用いられています。
目次
APTプレイブックからの戦術の借用
攻撃者は、DLLサイドローディング、プロセスインジェクション、エンドポイント検知・対応(EDR)ツールを回避するための回避策といった高度な手法を用いていました。特に、DLLサイドローディングのアプローチは、台湾やアジア太平洋地域の政府機関を標的とすることで知られる中国系ハッカー集団「Earth Baxia」の攻撃で確認された手法と酷似しています。
過去のインシデントでは、Earth BaxiaはOSGeo GeoServer GeoToolsの脆弱性(現在は修正済み)を悪用し、「EAGLEDOOR」と呼ばれるバックドアを拡散していました。Charonのケースでは、正規のファイルであるEdge.exe(元々はcookie_exporter.exe)が悪意のあるmsedge.dll(SWORDLDR)の読み込みに使用され、Charonランサムウェアのペイロードが展開されました。
Charonランサムウェアの機能
Charonは展開されると、他の破壊的なランサムウェアの亜種と同様に動作しますが、最適化によって破壊力と効率性の両方を実現しています。Charonは以下のことが可能です。
- セキュリティ関連のサービスとアクティブなプロセスを終了します。
- 回復を妨げるバックアップとシャドウ コピーを削除します。
- マルチスレッドと部分的な暗号化を使用して、ファイルのロックを高速化します。
もう一つの興味深い機能は、オープンソースのDark-Killプロジェクトからコンパイルされたドライバが組み込まれていることです。これにより、脆弱なドライバを独自に持ち込む(BYOVD)攻撃によってEDRツールを無効にすることが可能になります。しかし、研究者らはこの機能がまだ有効になっていないことを発見しており、開発中であることが示唆されています。
標的型作戦の兆候
捜査官たちは、この攻撃は日和見的なものではなく、意図的なものだったと考えています。これは、被害者組織名を明記したカスタマイズされた身代金要求メッセージの存在に基づいています。これは、一般的なランサムウェア攻撃では珍しいことです。初期アクセスに使用された方法は依然として不明です。
不確かな帰属
カロンの技術はアース・バクシアの活動と類似点があるが、専門家はこの重複が以下のことを示唆している可能性があると警告している。
- 地球バクシアの直接的な関与。
共通のインフラストラクチャや一貫した標的パターンなどの明確な証拠がなければ、関連性は推測の域を出ません。
サイバー犯罪と国家戦略の融合の拡大
このインシデントは、ランサムウェアグループが侵入と回避にAPT級の手法をますます採用しているという懸念すべき傾向を浮き彫りにしています。巧妙な手口と、ランサムウェアによる暗号化による即時の金銭的・業務的損害が組み合わさることで、標的となった組織のリスクは著しく高まります。
