Moneybird ランサムウェアがイスラエル組織への攻撃に使用
ピンク サンドストーム (以前はアメリシウム) としても知られるイランのハッカー グループであるアグリウスは、マネーバードと呼ばれる新しいタイプのランサムウェアを開発しました。 CheckPoint の研究者はこの危険なマルウェアを発見しました。これは、イスラエルの組織をターゲットにするようになった Agrius の戦術に大きな変化があったことを意味します。
アグリウスには、イスラエルの組織に対して破壊的なデータ消去攻撃を実行し、しばしばランサムウェア感染を装った経歴がある。 C++ でプログラムされた Moneybird の開発は、グループの拡大するスキルと新しいサイバー ツールの作成に対する継続的な取り組みを示しています。
少なくとも2020年12月以来、アグリウスは南アフリカ、イスラエル、香港のダイヤモンド産業を狙った侵入を妨害していたことが追跡されている。過去には、このグループは Apostle と呼ばれる .NET ベースのランサムウェアを利用していましたが、これは後に Fantasy に進化しました。ただし、C++ でコード化された Moneybird は、グループの進化するサイバー能力を示しています。
Moneybird - 伝播と活動
Moneybird ランサムウェアの作戦は、アグリウスの技術的専門知識の増大と新しいサイバー ツールの開発への献身的な取り組みを示しています。これは、公開されている Web サーバーの脆弱性を悪用することから始まる、高度な攻撃手法を採用しています。この最初の悪用により、ASPXSpy Web シェルの展開が可能になり、ターゲット組織のネットワークへの最初のエントリ ポイントとして機能します。
Web シェルは、内部に入ると通信チャネルとして機能し、被害者の環境内での詳細な偵察、横方向の移動、資格情報の収集、機密データの漏洩を目的として設計された一連のよく知られたツールを提供します。
その後、Moneybird ランサムウェアが侵害されたホストに展開され、特に「F:\User Shares」フォルダ内の機密ファイルが標的となります。実行されると、ランサムウェアは身代金メモを残し、被害者に 24 時間以内に連絡するよう圧力をかけます。さもなければ、盗まれたデータが公に漏洩する危険を冒します。
Moneybird は、暗号化に GCM を備えた AES-256 を利用し、ファイルごとに一意の暗号化キーを生成する高度な技術を採用しています。暗号化されたメタデータは各ファイルの末尾に追加されるため、ほとんどの場合、データの復元と復号化は不可能ではないにしても、非常に困難になります。
Advanced Persistent Threat Actor (APT) とは何ですか?
Advanced Persistent Threat Actors (APT) は、多くの場合、国家や十分なリソースを持つ団体の支援を受けて、特定の組織に対して長期にわたる標的型サイバー攻撃を実行する、洗練された高度なスキルを持つ脅威アクターまたはハッキング グループです。 APT は、高度な技術、持続性、および長期間にわたって標的のシステムに侵入して侵害するという特徴を持ち、多くの場合、検出されないままになります。
APT に関連するいくつかの主要な特性と特徴を次に示します。
- 高度な手法: APT 攻撃者は、ゼロデイ エクスプロイト、カスタム マルウェア、ルートキット、高度なソーシャル エンジニアリング戦術などの高度なハッキング手法を使用します。彼らは、セキュリティ対策を回避してアクセスを維持するための方法を常に進化させています。
- 永続性: APT は目的の達成に尽力し、侵害されたシステム内で長期的な存在を維持します。複数の侵入ポイントを確立し、バックドアを作成し、ステルス通信チャネルを利用して永続性を維持する可能性があります。
- 標的型攻撃: APT は、政府機関、防衛請負業者、重要インフラ、研究機関、多国籍企業などの特定の標的に焦点を当てます。彼らは徹底的な偵察を行って情報を収集し、ターゲットのインフラストラクチャ内の特定の脆弱性を悪用するように攻撃を調整します。
- 国民国家の支援: APT は多くの場合、政治的、経済的、または軍事的利点を求める国民国家または国家支援団体と関連付けられています。彼らは十分な資源、諜報能力、法的保護を備えているため、大規模かつ長期にわたるキャンペーンを実行できる可能性があります。
- データの引き出し: APT の主な目的は、知的財産、企業秘密、機密情報、個人を特定できる情報 (PII) などの貴重なデータを引き出すことです。盗まれたデータは、スパイ活動、経済的利益、競争上の優位性、または将来のサイバー作戦に悪用される可能性があります。
- 秘密工作: APT は目立たない状態を維持し、検出を回避することを優先します。彼らは、フォレンジック対策、暗号化、難読化などの高度な回避技術を使用して、活動を隠し、セキュリティ システムを回避します。
よく知られている APT グループの例には、APT29 (Cozy Bear または The Dukes としても知られる)、APT28 (Fancy Bear または Sofacy としても知られる)、Equation Group、Comment Crew、Lazarus Group などがあります。