%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. 日系メーカーがBlackCat/ALPHVランサムウェアから攻撃されました

日系メーカーがBlackCat/ALPHVランサムウェアから攻撃されました

  • LINEで送る
  • このエントリーをはてなブックマークに追加
日系メーカーがBlackCat/ALPHVランサムウェアから攻撃されました

脅威インテリジェンスサービスCognyteは、ダークウェブTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。

 Cognyte CTI Research Group@Cognyte | 2023年8月

 

2023年8月21日、RaaSグループであるBlackCat(またの名をALPHV)が、ダークウェブ上のリークサイトにおいて、時計等の精密機器製造で知られる日本の大手メーカーを攻撃したことを発表しました。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

 

リークサイトに掲載された情報

ランサムウェアグループは、被害企業から抽出したファイルのスクリーンショットを攻撃の証拠として提示しました。その中には以下のようなデータが含まれています。

  • パスポートのスキャン
  • メール履歴
  • 契約書
  • 製品のスケッチ
  • その他

 日系メーカーに関するBlackCatリークサイトの投稿 出典:Cognyte Luminar

 

BlackCat/ALPHVランサムウェアの概要

BlackCat/ALPHVはロシア語圏のRaaSであり、2021年9月に出現しました。グループは二重脅迫戦術を用いて、被害組織のファイルを窃取した後システム内のファイルを暗号化し、身代金を支払わなければデータをリークするとして恐喝します。

このグループはこれまでに窃取されたクレデンシャルを利用して被害組織のネットワークに侵入してきたことが観測されています。
2023年4月には、BlackCatのアフィリエイト(構成員)がインターネット上に公開されているVeritas製バックアップソリューションVeritas Backup Exec脆弱性CVE-2021-27876、CVE-2021-27877、CVE-2021-27878)を狙ってターゲットにアクセスしていることが検知されました。

2023年7月には、マルバタイジングを通じて偽のWinSCPオープンソースのWindows用ファイル転送アプリ)をインストールさせるキャンペーンが観測されました。この偽アプリをインストールすると、ランサムウェア・ペイロードが配送されることがわかっています。

2023年8月、BlackCatランサムウェアの新バージョンであるSphynxが特定されました。
このバージョンはネットワーキング・フレームワークであるImpacketおよびリモートシェルツールRemcomを搭載しており、ラテラルムーブメントと侵害したネットワークに対するクリプターの配送に利用されます。

 

推奨策

Cognyteは、本記事の最後に示すIoCをセキュリティシステムに組み込むことを推奨します。 

 


SOMPO CYBER SECURITYでは、今回ご紹介したCognyteのように、脅威アクターの活動を検知するサービスの他、インフォスティーラーマルウェアの通信を直接収集し、組織が持つホストの感染やクレデンシャル漏洩を検知するKryptosLogicサービスも提供しています。
ぜひ以下のホワイトペーパーもご覧ください。

■攻撃者やマルウェアの通信を傍受する独自技術(Kryptos Logicホワイトペーパー)

IoC

タイプ
MD5 ee6e0cb1b3b7601696e9a05ce66e7f37
SHA-1 f27caa2bb7099edfd83003427f427265c0dc7198
SHA-256 e24dbe52ec795c6ab434cd8ac7aa0f3afa536c2d22660cc0a4885400e5a2ceec
MD5 bb266486ee8ac70c0687989e02cefa14
SHA-1 11203786b17bb3873d46acae32a898c8dac09850
SHA-256 0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479
MD5 c6901bc6720e1e30c6c2e89aae874a90
SHA-1 783b2b053ef0345710cd2487e5184f29116e367c
SHA-256 13828b390d5f58b002e808c2c4f02fdd920e236cc8015480fa33b6c1a9300e31
MD5 c1dd3d5a3528bf56632200d247ca9774
SHA-1 89060eff6db13e7455fee151205e972260e9522a
SHA-256 15b57c1b68cd6ce3c161042e0f3be9f32d78151fe95461eedc59a79fc222c7ed
MD5 51826408514057db47c0bbbffb2c581d
SHA-1 ce5540c0d2c54489737f3fefdbf72c889ac533a9
SHA-256 1af1ca666e48afc933e2eda0ae1d6e88ebd23d27c54fd1d882161fd8c70b678e
MD5 4168465b8ab7a84c1b6cfff871e3defb
SHA-1 77413cb3f469d00d69941b4973206e4978381987
SHA-256 2587001d6599f0ec03534ea823aab0febb75e83f657fadc3a662338cc08646b0
MD5 0b6ef1e650df35e2d04c56ebfcceabc7
SHA-1 5c6ca5581a04955d8e4d1fa452621fbc922ecb7b
SHA-256 28d7e6fe31dc00f82cb032ba29aad6429837ba5efb83c2ce4d31d565896e1169
MD5 ed075c4718fd98efcbc845db00677065
SHA-1 f466b4d686d1fa9fed064507639b9306b0d80bbf
SHA-256 2cf54942e8cf0ef6296deaa7975618dadff0c32535295d3f0d5f577552229ffc
MD5 9c54d3b2a64d92bca577a12b70d8d29a
SHA-1 da1e4a09a59565c5d62887e0e9a9f6f04a18b5f4
SHA-256 38834b796ed025563774167716a477e9217d45e47def20facb027325f2a790d1
MD5 aea5d3cced6725f37e2c3797735e6467
SHA-1 087497940a41d96e4e907b6dc92f75f4a38d861a
SHA-256 3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83
MD5 71b0db75ae00efd006068d7fff5992cb
SHA-1 6d4b8e97981c8cd290a487d6080d1b96f3b5496a
SHA-256 40f57275721bd74cc59c0c59c9f98c8e0d1742b7ae86a46e83e985cc4039c3a5
MD5 70b8bc74f381c9d7d1016006c3950f85
SHA-1 655c2567650d2c109fab443de4b737294994f1fd
SHA-256 4e18f9293a6a72d5d42dad179b532407f45663098f959ea552ae43dbb9725cbf
MD5 fe16fa500584cb241532dc7cb75c1f53
SHA-1 e22436386688b5abe6780a462fd07cd12c3f3321
SHA-256 59868f4b346bd401e067380cac69080709c86e06fae219bfb5bc17605a71ab3f
MD5 730bd2385c3fc6d2bee48c0a9bcb373c
SHA-1 d42566e04d295a1e9e2823d202a1800cdc1ddd77
SHA-256 5bdc0fb5cfbd42de726aacc40eddca034b5fa4afcc88ddfb40a3d9ae18672898
MD5 fb1e6156f0e3223694add66339864cd4
SHA-1 a8fd52bd107f7b62483c11c15923fbd2256c8bac
SHA-256 658e07739ad0137bceb910a351ce3fe4913f6fcc3f63e6ff2eb726e45f29e582
MD5 173c4085c23080d9fb19280cc507d28d
SHA-1 a186c08d3d10885ebb129b1a0d8ea0da056fc362
SHA-256 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
MD5 81d7c2d1dca5da7eef2896a76768d142
SHA-1 57a6dfd2b021e5a4d4fe34a61bf3242ecee841b3
SHA-256 7b2449bb8be1b37a9d580c2592a67a759a3116fe640041d0f36dc93ca3db4487
MD5 8e1f22dd9e809ead5e19b340b0c80cae
SHA-1 2a53525eeb7b76b3d1bfe40ac349446f2add8784
SHA-256 7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e
MD5 a854c960cde68d43fd42a24e79587b28
SHA-1 94f025f3be089252692d58e54e3e926e09634e40
SHA-256 bd337d4e83ab1c2cacb43e4569f977d188f1bb7c7a077026304bf186d49d4117
MD5 b6b9d449c9416abf96d21b356a41a28e
SHA-1 38fa2979382615bbee32d1f58295447c33ca4316
SHA-256 be8c5d07ab6e39db28c40db20a32f47a97b7ec9f26c9003f9101a154a5a98486
MD5 ccde3fe374a219ed3a85a0bf548542c3
SHA-1 c1187fe0eaddee995773d6c66bcb558536e9b62c
SHA-256 c3e5d4e62ae4eca2bfca22f8f3c8cbec12757f78107e91e85404611548e06e40
MD5 c681038bc738ff0a816176c4cd21150c
SHA-1 c5181892afde538c73109b4c83e2a2730eb9014d
SHA-256 c5ad3534e1c939661b71f56144d19ff36e9ea365fdb47e4f8e2d267c39376486
MD5 221c91c48390a941b381fb5cd6df60df
SHA-1 5869820f261f76eafa1ba00af582a9225d005c89
SHA-256 c8b3b67ea4d7625f8b37ba59eed5c9406b3ef04b7a19b97e5dd5dab1bd59f283
MD5 ff56e700d15f3d944424c295eae926d9
SHA-1 e17dc8062742878b0b5ced2145311929f6f77abd
SHA-256 cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae
MD5 7a34b6a3c558492c04f3418d726b86a8
SHA-1 45212fa4501ede5af428563f8043c4ae40faec76
SHA-256 f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89
MD5 817f4bf0b4d0fc327fdfc21efacddaee
SHA-1 8917af3878fa49fe4ec930230b881ff0ae8d19c9
SHA-256 f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
URL http://185.141.62.123:10228/update.exe

参考ソース

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

  • LINEで送る
  • このエントリーをはてなブックマークに追加