コンテンツにスキップするには Enter キーを押してください

Charonランサムウェア、中東の業界をAPTレベルの回避戦術で攻撃

投稿日 2025年8月13日

2025年8月13日Ravie Lakshmananエンドポイントセキュリティ / サイバー犯罪

サイバーセキュリティ研究者は、Charonと呼ばれるこれまで文書化されていなかったランサムウェアファミリーを用いて、中東の公共部門および航空業界を標的とする新たなキャンペーンを発見しました。

Trend Microによると、この活動の背後にいる脅威アクターは、DLLサイドローディング、プロセスインジェクション、エンドポイント検出および応答(EDR)ソフトウェアの回避能力など、APT(高度持続的脅威)グループに類似した戦術を示しました。

DLLサイドローディングの手法は、サイバーセキュリティ企業が台湾およびアジア太平洋地域の政府機関を標的とし、OSGeo GeoServer GeoToolsに影響する現在は修正済みのセキュリティ脆弱性を悪用してEAGLEDOORというバックドアを配布した、中国関連のハッキンググループEarth Baxiaによる攻撃で以前に文書化されたものと類似しています。

「攻撃チェーンは、正規のブラウザ関連ファイルであるEdge.exe(元の名称はcookie_exporter.exe)を利用して、悪意のあるmsedge.dll(SWORDLDR)をサイドロードし、その後Charonランサムウェアのペイロードを展開しました」と、研究者のJacob Santos、Ted Lee、Ahmed Kamal、Don Ovid Ladoreが述べています

他のランサムウェアバイナリと同様に、Charonはセキュリティ関連サービスや実行中のプロセスを終了させたり、シャドウコピーやバックアップを削除したりするなど、復旧の可能性を最小限に抑える破壊的な行動が可能です。また、マルチスレッドや部分暗号化技術を用いて、ファイルロック処理をより高速かつ効率的にしています。

このランサムウェアのもう一つの注目すべき点は、オープンソースのDark-Killプロジェクトからコンパイルされたドライバを用いて、BYOVD(脆弱なドライバ持ち込み)攻撃によってEDRソリューションを無効化することです。しかし、この機能は実行中に一度も発動されておらず、現在開発中の機能である可能性が示唆されています。

このキャンペーンが偶発的ではなく、標的型であったことを示す証拠もあります。これは、被害組織の名前を明記したカスタマイズされた身代金要求メモが使用されていたことによるもので、従来のランサムウェア攻撃では見られない戦術です。なお、初期アクセスがどのように得られたかは現時点では不明です。

技術的にはEarth Baxiaとの重複が見られるものの、Trend Microはこれが以下の3つのいずれかを意味すると強調しています。

  • Earth Baxiaが直接関与している
  • Earth Baxiaの手法を意図的に模倣した偽旗作戦
  • 同様の戦術を独自に開発した新たな脅威アクター

「共有インフラや一貫した標的パターンなどの裏付けとなる証拠がないため、この攻撃は既知のEarth Baxiaの活動との間に限定的ながらも注目すべき技術的収束を示していると評価します」とTrend Microは指摘しています。

いずれの関与であっても、今回の発見は、ランサムウェアオペレーターがマルウェア展開や防御回避のためにますます高度な手法を採用し続けており、サイバー犯罪と国家主導の活動の境界がさらに曖昧になっているという現在進行中の傾向を示しています。

「APTの戦術とランサムウェアの運用が融合することで、巧妙な回避技術とランサムウェア暗号化による即時のビジネスインパクトが組み合わさり、組織にとってリスクが高まっています」と研究者らは結論付けています。

この発表は、eSentireがInterlockランサムウェアキャンペーンの詳細を明らかにしたタイミングで行われました。このキャンペーンでは、ClickFixを餌にしてPHPベースのバックドアを設置し、さらにNodeSnake(別名Interlock RAT)による認証情報窃取や、攻撃者が指定するコマンドをサポートするCベースのインプラントによる追加の偵察やランサムウェア展開が行われています。

「Interlockグループは、PowerShellスクリプト、PHP/NodeJS/Cバックドアを含む複雑な多段階プロセスを用いており、不審なプロセス活動、LOLBins、その他のTTPの監視の重要性を浮き彫りにしています」とカナダの同社は述べています

これらの調査結果は、被害者がシステムへのアクセスを迅速に回復するために引き続き身代金を支払っている一方で、ランサムウェアが進化し続ける脅威であることを示しています。一方、サイバー犯罪者は被害者に圧力をかける手段として、物理的な脅迫やDDoS攻撃に頼るようになっています。

Barracudaが共有した統計によると、過去12か月間に57%の組織がランサムウェア攻撃を受けて成功し、そのうち71%はメール侵害も経験していました。さらに、32%が身代金を支払いましたが、すべてのデータを取り戻せた被害者はわずか41%でした。

翻訳元: https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です