【サービス概要】脅威インテリジェンスサービス『Cognyte』
当社は脅威インテリジェンスプラットフォームLuminarを開発しているCognyte社の販売および技術パートナーとして、脅威インテリジェンスを活用したサイバーセキュリティ対策の強化を提案しています。攻撃者の性質や動機を理解したり、攻撃の予兆を察知したり、もしくは漏えいデータが闇市場に出回ったりしていないか調査したり、その活用方法はさまざまです。本資料ではCognyte社の紹介と共に、豊富な情報源と...
SOMPO CYBER SECURITY
当社の「脅威インテリジェンスサービス」で技術提携をしているCognyte Software Ltd. が、2022年10月、"Alice in the Land of Malware"と呼ばれるマルウェア販売プロジェクトを検知しました。
ダークウェブフォーラムに投稿されたマルウェア販売投稿 出典:Luminar
このプロジェクトは、ロシア語のダークウェブおよびハッカーフォーラムに出現し、クリッパー・マルウェアおよびランサムウェアを含む複数のマルウェアを公開・販売しています。プロジェクト運営者であるAlice_Malwareは、ロシア語ダークウェブで活動するハッカー・グループの構成員と名乗っています。
本記事では今回Cognyteが検知した新種のマルウェアについて報告します。
Cognyte CTI Research Group@Cognyte | 2022年11月
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
ハッカーがダークウェブ上で販売を行ったマルウェアの1つがクリッパーです。
クリッパーは、標的のクリップボードにコピーされた暗号通貨ウォレットアドレスを、攻撃者のアドレスに置き換えることで、被害者から暗号通貨を盗むように設計された悪意のあるソフトウェアです。
この手法は、正当な暗号通貨取引が発生した際に標的を欺くことにより、攻撃者がその取引の新しい受領者になるよう設計されています。
このクリッパーは、2022年10月2日に Alice_Malware によっていくつかのロシアのダークウェブフォーラムで公開されました。販売広告によると、クリッパーはC++プログラミング言語で書かれています。さらに、クリッパーは独立しており、独自の暗号化キーを持っています。
クリッパーのビルダー・スクリーンショット 出典:Luminar
投稿から読み取れる、このマルウェアの機能は以下のとおりです。
このクリッパー・マルウェアは、いくつかのサブスクリプションプランで販売されており、また対応仮想通貨を追加するプランも存在します。
2022年10月23日、脅威アクターAlice_Malwareは、ダークウェブフォーラムDarkmarketおよびbdfにおいてランサムウェアを公開しました。
このランサムウェアはRaaS形態で運用され、高度な暗号化や独自暗号化キー生成機能を備えています。
WindowsXP+およびWindows7から11までのOSに対応しています。
このランサムウェアが暗号化したコンピュータに残すメッセージは、ビルダーによってカスタマイズ可能であり、アジア・アラビア諸国の言語にも対応しています。
2022年11月現在、このランサムウェアのIoCは確認されていませんが、次のような技術的な細部は判明しています。
このランサムウェアも、クリッパーと同様、複数のサブスクリプションプランにて提供されています。
ランサムウェア・ビルダーのスクリーンショット 出典:Luminar
マルウェア販売者Alice_Malwareは、製品のサポートやマニュアルの提供をうたっており、セキュアメールを通じて顧客と連絡をとっていると推測されます。Telegram上にも連絡先も公開しています。
現状、Alice_Malwareはサイバー犯罪グループの一員であり、Alice in the Land of Malwareもグループのプロジェクトの1つと考えられます。このグループは以前から活動を続けており、ハッキング初心者から高練度者までをサポートする体制から、販売するマルウェアも広く普及している可能性が高いといえます。
Alice in the Land of Malwareが販売するクリッパー・マルウェアおよびランサムウェア(Aliceランサムウェア)は、日本での感染事例などはまだ確認されていません。
しかし、様々な脅威者にとって手の届きやすいMaaS、RaaSであるため、今後注意していく必要があるでしょう。
Cognyteでは、この脅威に対する推奨策としてセキュリティシステムや各種ソフトウェアおよびシステムの最新版へのアップデートを挙げています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
情報ソース
当社は脅威インテリジェンスプラットフォームLuminarを開発しているCognyte社の販売および技術パートナーとして、脅威インテリジェンスを活用したサイバーセキュリティ対策の強化を提案しています。攻撃者の性質や動機を理解したり、攻撃の予兆を察知したり、もしくは漏えいデータが闇市場に出回ったりしていないか調査したり、その活用方法はさまざまです。本資料ではCognyte社の紹介と共に、豊富な情報源と...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年5月 2024年5月1日、ロシア語のダークウェブ・フォーラムにおいて"murava"と称する脅威アクタ...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...