月の主要ニュース
Interlockランサムウェアが Cisco Secure FMC Zero-Dayを悪用
- Interlockランサムウェアギャングが、Cisco Secure Firewall Management Centerの最大深刻度(CVSS 10.0)の脆弱性(CVE-2026-20131)を悪用しました。
- この認証不要のルートレベルのリモートコード実行の欠陥は、2026年1月26日から悪用され始め、公開開示の36日前でした。
- このインシデントは、エンタープライズネットワークセキュリティインフラストラクチャの継続的な標的化を示しており、ランサムウェアグループは堅牢なペリメータデバイスに対する高度なzero-day悪用能力を保有しています。
TeamPCPが大規模CI/CDサプライチェーン侵害を調整
- 調整されたサプライチェーン攻撃では、脅威グループTeamPCP(Rubrik Zero Labsが2025年に初めて文書化)が、広く使用されているAqua Security Trviy脆弱性スキャナー、Checkmarx KICS、およびLiteLLM PyPIパッケージの76個中75個のGitHubバージョンタグをハイジャックしました。
- 攻撃者は自己伝播するマルウェア「CanisterWorm」を展開し、侵害された開発者CI/CDパイプラインからAWS、GCP、Azure、SSH、Dockerの認証情報を直接盗むように設計されました。
- このマルウェアは特に、イランのタイムゾーンまたはペルシア語を使用するシステムでのデータをワイプするためのジオフェンシングを含み、侵害されたスキャナバージョンを実行している10,000以上のダウンストリーム組織に影響を与える可能性があります。
ShinyHuntersが約400個のSalesforceインスタンスを侵害
- 脅威グループShinyHuntersが大規模なキャンペーンを開始し、ほぼ400個のSalesforce Experience Cloudインスタンスを侵害しました。
- 攻撃者は修正されたAuraInspectorツールを使用して、設定ミスのゲストユーザー権限を悪用し、公開アクセス可能なサイトの自動スキャンを通じて機密CRMデータを流出させました。
- これは6か月以内の3回目の大規模なSalesforceカスタマー侵害キャンペーンであり、広く展開されたクラウドインフラストラクチャの系統的な標的化を強調しています。
トップランサムウェアグループ
注記:2025年、ランサムウェア攻撃の数量は50~57%増加しましたが、被害者の支払い率は記録的な低水準の28%に低下しました。対応として、脅威アクターは「回復拒否」戦術にますます移行しており、体系的にバックアップを破壊し、ESXiなどの仮想化インフラストラクチャを標的にし、90以上のEDRキラーツール(54はBYOVDテクニックを使用)を活用してエンドポイントセキュリティをカーネルレベルから無効にしています。
- INC Ransom – ヘルスケア、法務、および教育部門をグローバルに攻撃的に標的とした大量キャンペーン。大規模な混乱により、ミシシッピ大学医療センターは州全体で36のクリニックを閉鎖することを強いられました。全国薬物虐待プログラム協会から2TBのデータ(237,830以上の個人)を流出させました。
- Interlock – ネットワークアプライアンスzero-dayを発見して利用できる高度に洗練された作戦。Cisco Secure FMC CVSS 10.0 zero-day(CVE-2026-20131)を悪用し、2026年1月からエンタープライズファイアウォール上の認証不要なルートレベルのコード実行を許可しました。
- Medusa(Lazarusグループ) – 北朝鮮の政府後援APT(Diamond Sleet)はスパイ活動資金調達のための重要インフラ脅威での経済的な恐喝のためにランサムウェアを採用し、米国のヘルスケアおよび中東の組織を標的にしました。
- Qilin – 活動的で大量のオペレータは、世界中の製造、エンジニアリング、およびヘルスケア事業体を標的とし、重大な企業データ公開をもたらしました。報告された被害者には、製造会社Southwire、CJL Engineering、およびAroostook Mental Health Servicesが含まれます。
- The Gentlemen – このグループはグローバル作戦を急速に拡大しており、ハイパーバイザ、製造、フィットネス、およびエネルギー部門を標的としています。カナダのControlGMC、フィリピンのエネルギーPTT、およびノルディックフィットネスのSATSを含む多くを正常に侵害しました。
Linux / クラウド / ID攻撃:トップ脅威
これらの脅威は、その深刻度スコア(CVSS)およびエンタープライズクラウド、自動化、およびアイデンティティインフラストラクチャへの直接的で広範な影響に基づいて選択されました。
1. n8nワークフロー自動化プラットフォームRCE(CVE-2025-68613)
- タイプ: クラウド / 自動化プラットフォーム
- 影響: 集中化された自動化プラットフォーム上の認証不要なリモートコード実行を許可する重大な表現インジェクション欠陥。
- CVSS 9.9。アクティブな悪用が野に確認され、インターネットに面した24,700以上のインスタンスが公開され、2026年3月11日にCISA KEVカタログへの追加が促されました。
2. Oracle Identity Manager認証不要のRCE(CVE-2026-21992)
- タイプ: IDおよびアクセス管理
- 影響: 重大な関数の認証欠落により、Oracle Identity ManagerおよびWeb Services Managerでの完全なシステム侵害および認証不要なリモートコード実行が可能になります。
- CVSS 9.8。緊急バンド外パッチを促し、連邦機関に直ちに実装するよう命じられました。Oracleは開示前の可能なzero-day悪用について述べ、財務、政府、および重要セクターに公開しました。
3. VMware Aria Operationsコマンドインジェクション(CVE-2026-22719)
- タイプ: クラウドインフラストラクチャ管理
- 影響: Broadcom VMware Aria Operationsに影響する、アクティブに悪用されているコマンドインジェクション脆弱性。認証不要の攻撃者は、サポート支援の移行プロセス中にコマンドを実行できます。
- CVSS 8.1。確認されたアクティブ悪用後にCISA KEVカタログに追加され、攻撃者はエンタープライズハイブリッド環境全体で管理されたクラウドリソースへのアクセスを許可する可能性があります。
Rubrik Zero Labs LLM駆動型高度な分析システムからの洞察
バックアップ内の最高の脅威: 当社の高度な分析システムは、野に見られた最高およびトレンド中の脅威を特定し、そのデータをバックアップテレメトリと比較して、ステルスマルウェアを検出します。以下は、バックアップデータに見られた最も一般的なファミリであり、第1防線をバイパスする可能性があります。
リモートアクセストロージャン(RAT)および情報窃取犯
これらのツールは主にユーザーをスパイし、機密データを盗むこと、および被害者のマシンに対する制御を維持することを目的としています。
- Vidar:ブラウザの認証情報、暗号通貨ウォレット、銀行情報を標的とする高度に適応可能な情報盗難ツール。他のマルウェアのセカンダリドロッパーとして機能することが多い。
- LummaStealer:アンダーグラウンドフォーラムで販売されるCベースの情報盗難ツール。二要素認証コード、ブラウザデータ、および暗号通貨ウォレットファイルの流出に特化している。
- Snake Keylogger:キー入力、保存されたパスワードの盗難、および感染したシステムのスクリーンショットをキャプチャする.NETベースの認証情報収集ツールおよびキーロガー。
ランサムウェア
ファイルを暗号化し、復号化キーの支払いを要求するように設計されたマルウェア。
- Pay2Key:侵害されたリモートデスクトップアクセスに依存して、エンタープライズネットワーク全体を迅速に暗号化する高速動作ランサムウェア株。二重強要戦術を大量に利用する。
- Interlock:最近発見されたランサムウェアファミリー。企業環境を標的とし、暗号化ローカルファイルとネットワーク共有の前に機密の企業データを体系的に流出させる。
- Qilin:Rustで書かれた洗練されたランサムウェアサービス(RaaS)を運営。重要インフラおよび企業ドメインに対する高度にカスタマイズされた二重強要攻撃に特化している。
当社の高度なマルウェア分析システムによって分析/フラグされた最高の脅威:
SHA256: fc1cd6ab782397871c18568a691569a3bba8a45aaed9792c560dd60a06553821(ワーム能力を持つSCADA標的トロージャン)
要約: このIronGateファミリーSCADAマルウェアは、埋め込まれた実行可能ファイルを抽出し、「move-to-operational」ホットフォルダーのネットワーク共有を検索して、産業用制御システムを標的にしています。運用技術環境向けに特別に設計されたワームのような横方向の移動とアンチサンドボックス検出を採用しています。
初出: 2026-02-27
SHA256: ccca0b988e0d828983e91228c5619a0a42e394c7c8414aeaef764501f2f00472(Linuxバックドア)
要約: TheTickは、コマンド実行、TCPピボット、ファイル操作、HTTPダウンロードを含む包括的なリモートアクセス機能を提供するLinuxバックドア。永続的なコマンドアンドコントロール(C2)接続を確立し、基本的なアンチデバッギング環境検出を採用しています。
初出: 2026-02-11
SHA256: fb4fb8b40544b9084bb3d311483626fe72e651713537280ca5fa3342eb83e573(バックドア/リモートアクセストロージャン)
要約: このMIPSベースのルーターバックドアは、PPTP/OpenVPNバイナリとして偽装され、uClibcベースのLinuxを実行する埋め込みデバイスおよびSOHOルーターを標的にしています。VPN制御プロトコルを操作して永続的なリモートアクセスを確立し、プロセス名スプーフィングとUXパッキングを利用して検出を回避します。
初出: 2026-03-16
SHA256: 389fc13f33d90dbb335b3ad2a9b344f0b45d782b6634577216028e209689b5bd(認証情報ダンパー / ペネトレーションテスト後ツール)
要約: KslDumpは、Microsoft DefenderのKslD.sysドライバーのCVE-2024-26229脆弱性を悪用する高度に洗練された認証情報ダンプツール。カーネルレベルのメモリアクセスを実行してProtected Process Light(PPL)保護をバイパスし、lsass.exeの物理メモリから認証情報を直接抽出します。
初出: 2026-03-18
SHA256: 1e6487b7fbb9a0ff4c1d7032bfecd153fa6b9cc3c523243e8183588a98168267(マルチステージPythonドロッパー/ローダートロージャン)
要約: GlassWormは、Solanaブロックチェーン取引メモを新規の分散化されたC2デッドドロップとして利用する洗練されたマルチステージPythonトロージャン。Node.jsランタイムをダウンロードし、暗号化されたJavaScriptペイロードを実行するロシアシステムを避けるための厳密なジオフェンシングを実装しています。
初出: 2026-03-16
SHA256: fc3c94c62b42df24ee52a467f3a6e42d24621a59e1c61cbc6a79bae2cb2b53a8(高度なPHPウェブシェル/ファイルマネージャー)
要約: Alfa TEaM Shell(Tesla v4.1)は、包括的なリモート管理およびオフェンシブ機能を提供する成熟した、プロフェッショナルグレードのPHPウェブシェル。データベース管理、CMSハイジャック モジュール、ブルートフォース機能、ファイル操作、および組み込みのアンチフォレンジックスが含まれます。
初出: 2026-03-02
SHA256: 0b24019b216493de87a2ea8f6c60b097577889a86c39095caedc9e3d212cce29(リモートアクセストロージャン(RAT)/ 情報盗難犯 / ドロッパー)
要約: この洗練されたPowerShellベースのRATは、ブラウザのネイティブメッセージングプロトコルを極秘C2チャネルとして使用します。ChromeおよびEdge App-Bound暗号化をCOM昇格サービス悪用およびプロセスインジェクションを通じてバイパスする高度な認証情報盗難技術が提供されます。
初出: 2026-03-05
SHA256: a58a27da427cfa745650fd1ef7dfeafb1720ded1f050a9c9e783d877fc4535ea(APTシミュレーションフレームワーク / トレーニングツール)
要約: GhostWeaverは、実際のマルウェアではなく、セキュリティトレーニング向けに設計された正当なレッドチームAPTシミュレーションフレームワーク。サンドボックス回避、プロセス偽装、認証情報収集、DNSベースのC2ビーコニングを含む7つのフェーズにわたる洗練された攻撃をシミュレートします。
初出: 2026-02-18
SHA256: ea544bf1caa96e0e272d4f0c35315cd7ec211aba034613cc82816cccf4f65c7d(ELF共有ライブラリペイロード)
要約: この64ビットELF共有ライブラリは、LinuxシステムでのモジュラバックドアまたはRATコンポーネントとして機能します。ネットワークC2機能、マルチスレッド、プロセス管理、およびシグナル処理のために標準POSIXおよびGLIBCAPIを大量に利用している、プロフェッショナルな品質の開発を示しています。
初出: 2026-02-18
SHA256: 9f94e2df4306bb4aa9988ab18f975d0963d9fbd03b6a96a976687812f1b2612e(エクスプロイトキット / 大量悪用ツール / ボットネット採用)
要約: この大量悪用ツールキットは、GeoServer CVE-2024-36401 RCE脆弱性を標的にしています。FOFA検索APIを活用して、脆弱なグローバルインスタンスを自動的に検出し、WFSエンドポイントを悪用して「angelax86」マルウェアペイロードを配信するか、DoSの再起動を実行します。
初出: 2026-03-06
SHA256: c6922cb0125c52f094945d28ba544deceb22c64083af24170630be89bed452f1(ランサムウェア) 要約: Linux/Filecoder.FUは、ChaCha20ストリーム暗号の暗号化とCurve25519キー交換を実装する能力のあるLinuxランサムウェア。XMLベースの構成によって駆動されるマルチスレッドファイル暗号化を特徴とし、プロセス名の難読化を利用して検出を回避します。
初出: 2026-02-19
SHA256: 68e4d5aea249288fbdf8ea70be7b3911d1e6cf8cc6be1271fbb2aa5774c51e78(リモートアクセストロージャン(RAT)/ マルチプラットフォームスパイウェアフレームワーク)
要約: OmnispyRATは、広範なスパイウェア、永続化、および回避モジュールを備えたPythonで書かれた洗練されたマルチプラットフォームRATフレームワーク。マルチチャネルC2セットアップ(HTTP/Telegram/DNSトンネリング)、マルチメソッドキーロギング、およびDPAPI復号化を備えたブラウザ認証情報盗難を含む高度な機能。
初出: 2026-03-07
SHA256: afe9a0298d945105ee69e84bdd7c41f35dad869a44098cb7e65a6a32a01cc617(APT偵察マルウェア / LNKベースのドロッパー)
要約: 北朝鮮APTアクター(ROKRAT)に属して、暗号化されたPowerShellペイロードを含む武装化された44KB LNKドロッパーを通じて配信されるマルウェア。環境偵察、自己識別を実行し、サンドボックスをバイパスするための場所検出に基づいて条件付きで実行します。
初出: 2026-03-03
翻訳元: https://zerolabs.rubrik.com/blog/march-threat-rundown-cisco-zero-days-teampcp-cicd-breaches-and-more
