複数ライセンス割引見積
脅威データベース ランサムウェア LeakNetランサムウェア

LeakNetランサムウェア

ランサムウェア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

ランサムウェア攻撃組織LeakNetは、ClickFixのソーシャルエンジニアリング手法を主要な侵入経路として利用することで、侵入戦術に顕著な進化をもたらしました。この手法は、偽のシステムエラーを解決するという名目で、ユーザーを操作して悪意のあるコマンドを実行させます。初期アクセスブローカーから盗まれた認証情報を購入するといった従来のアクセス方法とは異なり、この戦術はユーザーの信頼と日常的な行動を直接的に悪用します。

侵害されたものの、本来は正規のウェブサイトが悪用され、偽のCAPTCHA認証プロンプトが表示されるようになっています。これらのプロンプトは、Windowsの「ファイル名を指定して実行」ダイアログから悪意のあるmsiexec.exeコマンドをコピーして実行するようにユーザーに指示します。この操作は日常的なシステム操作を模倣しているため、攻撃はごく普通に見え、すぐに疑われることはありません。この広範かつ機会主義的な戦略により、様々な業界を無差別に標的にすることが可能になります。

戦略的転換:初期アクセス仲介業者からの独立

LeakNetがClickFixに移行したことは、綿密に計画された運用上の転換と言える。第三者認証情報提供業者への依存をなくすことで、アクセス権限取得にかかるコストと時間を削減できる。この独立性によって主要なボトルネックが解消され、キャンペーンをより迅速かつ効率的に拡大することが可能になる。

さらに、攻撃者が制御するシステムではなく、侵害された正規のインフラストラクチャを使用することで、検出可能なネットワーク指標が大幅に減少します。これにより、悪意のある活動が信頼できるトラフィックにシームレスに溶け込むため、従来の境界防御は効果が低下します。

ファイルレス実行:Denoベースのローダーの動作

これらの攻撃の決定的な技術的特徴は、Deno JavaScriptランタイム上に構築された段階的なコマンド&コントロールローダーの展開です。このローダーはBase64エンコードされたJavaScriptをメモリ上で直接実行することで、ディスクへの書き込みを回避し、フォレンジック調査の痕跡を最小限に抑えます。

ローダーが起動すると、いくつかの重要な機能を実行します。

  • 侵害されたシステムをプロファイリングして環境情報を収集する
  • 外部サーバーとの通信を確立し、二次ペイロードを取得する。
  • ポーリングメカニズムによって永続性を維持し、追加のコードを継続的に取得して実行します。

このファイルレス実行モデルは、ステルス性を高め、従来のセキュリティツールによる検出を困難にする。

一貫したポストエクスプロイトプレイブック

初期アクセス方法にばらつきはあるものの、LeakNetの活動は侵害後のワークフローにおいて予測可能なパターンに収束する。この一貫性により、防御側はランサムウェアの展開前に検知と阻止を行う貴重な機会を得ることができる。

典型的な攻撃手順は以下のとおりです。

  • ローダーによって配信された悪意のあるライブラリを実行するためのDLLサイドローディング
  • PsExecなどのツールを使用した横方向の移動により、ネットワークアクセスを拡張する。
  • cmd.exe /c klist による認証情報の偵察で、アクティブな認証セッションを特定する。
  • S3バケットを介したデータステージングとデータ流出、正当なクラウドトラフィックとしてアクティビティを偽装する
  • ランサムウェアを展開するための最終暗号化フェーズ

Windowsのネイティブツールや一般的なクラウドサービスを利用することで、悪意のある行為が通常のシステムやネットワークの動作に紛れ込むことが可能になる。

脅威プロファイル:発生源と標的範囲

2024年11月に出現したLeakNetは、当初は透明性とインターネットの自由をテーマとする「デジタル監視団体」として自らを位置づけていた。しかし、観測された活動からは、産業組織への攻撃を含む、より広範かつ攻撃的な活動範囲が明らかになっている。

このキャンペーンの無差別なターゲティング戦略と、拡張可能な感染方法を組み合わせることで、特定の分野に焦点を当てるのではなく、リーチを最大化しようとする意図が強調されている。

防御面への影響:予測可能性を利点として捉える

LeakNetの侵入手法は進化を遂げているものの、再現可能な攻撃チェーンに依存している点が致命的な弱点となっている。攻撃の実行から横方向への移動、データ漏洩に至るまで、攻撃の各段階は識別可能な行動パターンに従っている。

この一貫性により、守備側は以下のことが可能になります。

  • 正規のシステムツールの異常な使用を検出する
  • 異常なインメモリ実行パターンを監視する
  • 不審なクラウドストレージのやり取りを特定する
  • 暗号化が行われる前に攻撃の進行を阻止する

重要なポイントは明確だ。初期アクセス方法は様々かもしれないが、基本的な運用設計図は安定しており、早期発見と対応のための多くの機会を提供している。


トレンド

悪意のあるPackagist PHPパッケージ

マルウェア
サイバーセキュリティアナリストは、Packagist上で悪意のあるPHPパッケージを特定しました。これらのパッケージは、正規のLaravelヘルパーライブラリを偽装しながら、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を密かに展開します。このマルウェアはWindows、macOS、Linux環境でシームレスに動作し、影響を受けるシステムに重大なリスクをもたらします。 特定...

ホテルの客室アップグレードに関する悪意のあるメール

スパム, マルウェア
今日の脅威情勢において、予期せぬメールへの対応には警戒を怠らないことが極めて重要です。サイバー犯罪者は、受信者に有害な行動を取らせるために、悪意のあるメッセージを正当なメールに偽装することがよくあります。いわゆる「ホテルの客室アップグレード」メールは、この戦術の典型的な例です。これらのメッセージは、正規のホテル、旅行代理店、ハネムーンサービスプロバイダー、その他の評判の良い組織とは一切関係がありません。むしろ、マルウェアを拡散させるための計画的な試みの一部なのです。 偽りのハネムーンの申し込み 一見すると、「ホテルの客室アップグレード」メールは無害で、むしろお世辞を言っているようにも見え...

Ledgerファームウェアのアップデートに関するメール詐欺

フィッシング, スパム
今日の脅威環境、特にデジタル資産が絡む状況では、予期せぬメールを受け取った際に常に警戒を怠らないことが重要です。サイバー犯罪者は、信頼できるブランドを装い、偽りの緊急性や正当性を与えようとします。「Ledgerファームウェアの更新」メールもこうした手口の一環であり、有名な暗号資産ハードウェアウォレットプロバイダーから送信されたように見えますが、実際には正当な企業、組織、団体とは一切関係がありません。 説得力があるが詐欺的なファームウェアアラート 「Ledgerファームウェアのアップデート」メールの詳細な分析により、公式のセキュリティ通知を装ったフィッシングメールであることが確認されました...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
37,193
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,214
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
30,632
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...