【サービス概要】脅威インテリジェンスサービス『Cognyte』
当社は脅威インテリジェンスプラットフォームLuminarを開発しているCognyte社の販売および技術パートナーとして、脅威インテリジェンスを活用したサイバーセキュリティ対策の強化を提案しています。攻撃者の性質や動機を理解したり、攻撃の予兆を察知したり、もしくは漏えいデータが闇市場に出回ったりしていないか調査したり、その活用方法はさまざまです。本資料ではCognyte社の紹介と共に、豊富な情報源と...
SOMPO CYBER SECURITY
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2023年12月
今月、Cactusランサムウェア・グループがダークウェブ上のリークサイトにCIEオートモーティブに関するページを公開しました。CIEオートモーティブはスペインの自動車関連企業であり、エンジン部品やギアボックス、トランスミッション、シャーシ、内外装トリム、ルーフシステム等を製造しています。
本レポートでは、Fortinet VPN既知の脆弱性もターゲットにするCactusランサムウェアについて解説します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
このランサムウェア・グループは攻撃した企業のネットワークから窃取したドキュメントのスクリーンショットを証拠として公開、また「証拠パッケージ」としてダウンロード・リンクを提供しました。
このパッケージには、NDA、秘密保持契約書、従業員のパスポート・スキャン、投資要望等が含まれています。
Cactusランサムウェアは2023年3月頃から活動する比較的新しいランサムウェアです。このグループは一般的な「二重恐喝」手法を採用しており、ファイル暗号化とデータ窃取を組み合わせて被害組織に対し身代金の支払いを要求します。
CactusグループはFortinet VPN機器の脆弱性を悪用しイニシャル・アクセスを試みると考えられています。また2023年11月には、ビジネスインテリジェンス・プラットフォームQilk Senseの脆弱性を悪用していることが判明しました。
| CVE-2023-41265 | HTTPリクエスト・トンネリングの脆弱性 |
| CVE-2023-41266 | パストラバーサル脆弱性 |
| CVE-2023-48365 | 認証不要のリモートコード実行脆弱性 |
2023年12月には、被害組織に対しマルバタイジングを用いてDanabotマルウェアに感染させた後、Cactusランサムウェアを配送していることが判明しました。
攻撃者は、被害組織のネットワークを侵害後、SSHバックドアを設置し、タスクスケジュールを利用しC2サーバーと通信を行っています。
その他、このランサムウェア・グループは以下のようなTTPを採用しています。
攻撃者はネットワークに侵入後、ラテラルムーブメントを行います。このために、ユーザーのWebブラウザおよびLSASSからクレデンシャルをダンプした後、リモートのエンドポイントに対し特権アカウントを作成します。また、ハードディスク内を手動で検索し、パスワードを含むファイルを特定した形跡も残っています。
特権アカウントを取得した後、バッチスクリプトを実行しアンチウイルス製品を削除します。また、ラテラル・ムーブメントにはRDPやRMMを利用します。
攻撃者はRclone等のツールを利用し、暗号化されたネットワーク経由でファイルを窃取し、クラウドストレージに転送します。
データ抽出後、攻撃者はファイルの暗号化を行います。
PsExecコマンドによって自動的に暗号化を行うスクリプトTotalExec.ps1を利用します。暗号化バイナリ自体も検知を回避するため暗号化されており、、復号の際はスケジュールタスクを通じてntuser.datファイル(ランダムな文字列内に鍵が含まれている)を読み込みます。
暗号化されたファイルには.ctsX(Xには数字が入る)の拡張子が付与されます。
また、身代金交渉のための連絡先を記載したランサムノートcAcTuS.readme.txtが作成されます。
Cognyteは、以下のセキュリティ対策を推奨します。
| 型 | 値 |
| MD5 | e28db6a65da2ebcf304873c9a5ed086d |
| SHA-1 | cb570234349507a204c558fc8c4ecf713e2c0ac3 |
| SHA-256 | 78c16de9fc07f1d0375a093903f86583a4e32037a7da8aa2f90ecb15c4862c17 |
| MD5 | 5737cb3a9a6d22e957cf747986eeb1b3 |
| SHA-1 | 11a93a6c270d6d189fa857f03a001b347a679654 |
| SHA-256 | 9ec6d3bc07743d96b723174379620dd56c167c58a1e04dbfb7a392319647441a |
| MD5 | 949d9523269604db26065f002feef9ae |
| SHA-1 | 3b8ae803f281ab7fc93577b79562bd7819e068bd |
| SHA-256 | d7429c7ecea552403d8e9b420578f954f5bf5407996afaa36db723a0c070c4de |
| MD5 | eba1596272ff695a1219b1380468293a |
| SHA-1 | 00086dd2271c0de3d1ec5bb70fada4d84bf522e0 |
| SHA-256 | 509a533ade43406eb50fa9cb8984b2e10d008ad0ea8c22d0652f3ee101125bb7 |
| MD5 | 1add9766eb649496bc2fa516902a5965 |
| SHA-1 | 48d1971ec7b17adaa8189089a97503afa705ae14 |
| SHA-256 | 0933f23c466188e0a7c6fab661bdb8487cf7028c5cec557efb75fde9879a6af8 |
| MD5 | 2611833c12aa97d3b14d2ed541df06b2 |
| SHA-1 | c9f3de8b5457c040d507a4abd4d6439766d3a0a0 |
| SHA-256 | 69b6b447ce63c98acc9569fdcc3780ced1e22ebd50c5cad9ee1ea7a4d42e62cc |
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
当社は脅威インテリジェンスプラットフォームLuminarを開発しているCognyte社の販売および技術パートナーとして、脅威インテリジェンスを活用したサイバーセキュリティ対策の強化を提案しています。攻撃者の性質や動機を理解したり、攻撃の予兆を察知したり、もしくは漏えいデータが闇市場に出回ったりしていないか調査したり、その活用方法はさまざまです。本資料ではCognyte社の紹介と共に、豊富な情報源と...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年5月 2024年5月1日、ロシア語のダークウェブ・フォーラムにおいて"murava"と称する脅威アクタ...
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2024年4月 2024.4.17追記本記事公開後、当該脆弱性の悪用条件等の更新が行われています。最新の情報はP...
サプライチェーンリスク評価サービス『Panorays』の採用事例として、株式会社ダイフクさまにお話をうかがいました。 近未来を想像させる大阪市内にある真新しい本社ビルで、サプライチェーンリスク評価サービス『Panorays』の採用事例の取材をさせて頂いたのは、日本国内外でビジネスを大きく成長させている製造大手の株式会社ダイフクさまです。実際の運用はまだこれからという段階であり、採用に至った背景や理...