TokyoBlackHatNews

gbhackers.com 4分で読了

RhysidaとInterlockランサムウェアグループ、初期アクセスブローカーおよびクリプターエコシステムとの関連が判明

RhysidaとInterlockは同じランサムウェアのサプライチェーン内に存在していますが、両グループの最新の動向を見ると、単純なコード流用にとどまらない、より複雑な関係性が浮かび上がってきます。

IBM X-Forceによる長期分析では、両グループが初期アクセスブローカー、プライベートクリプター、ダウンローダー、バックドアといった多層的なエコシステムを活用し、暗号化を行う前の侵入チェーンを準備していることが明らかになっています。

中核となる調査結果は、両グループが単一のマルウェアファミリーではなく、多層的なエコシステムに依存しているという点です。Interlockは NodeSnake、InterlockRAT、JunkFictionダウンローダー、Supper、JunkFictionクリプターと関連付けられており、一方Rhysidaが繰り返し使用するツールには、Endicoダウンローダー、Broomstick、Supper、Tombクリプターが含まれています。

これらのキャンペーンにおいて、初期アクセスブローカーは最も重要な支援レイヤーであり続けています。本レポートでは、InterLockの活動をTAG-124(LandUpdate808およびKongTukeとしても追跡)と結びつけています。このグループは、ClickFixルアー、トロイの木馬化されたインストーラー、トラフィック配信システムを通じて悪意あるペイロードを繰り返し配布してきました。

Image
Image

X-ForceがGBhackersと共有したレポートによれば、両者の重複は開発者の共有、コードの系譜の共有、または密接に結びついたサイバー犯罪サービス市場のいずれかを示唆するに十分なほど強固なものですが、単一の統一グループであることを証明するまでには至っていないとのことです。

Rhysidaの攻撃チェーンも同様の感染経路を利用しており、偽のソフトウェアダウンロードサイトや署名済みインストーラーが使われています。これは、初期アクセスの取得が即席ではなく、産業的に組織化されていることを示しています。

RhysidaとInterlockランサムウェア

技術的な重複は、マルウェアフレームワーク自体に最も顕著に現れています。NodeSnakeとInterlockRATはコード構造、C2規約、ステージングロジックを共有しており、Supperは両グループのインシデントで確認されている、密接に関連しながらも異なる実装とみられます。

最新の追加機能として、NodeJSバリアントではスクリーンショットコマンドが確認されています。このコマンドは npm 経由で「screenshot-desktop」モジュールをインストールし、スクリーンショットを撮影するものです。

防御回避の観点では、攻撃者はJunkFictionやTombといった専用クリプターを用いてペイロードを隠蔽し、解析を遅延させています。これは成熟したランサムウェア攻撃の典型的な手法です。

Image

感染チェーンは柔軟性を重視して構築されています。Interlockランサムウェアのキャンペーンでは、トロイの木馬化されたMicrosoft TeamsやEdgeのインストーラー、Cloudflareトンネルインフラ、PowerShellベースの実行手法が用いられ、ダウンローダーペイロードを展開してバックドアへの侵入口を確保していることが確認されています。

このクリプターは、Berserk Stealer、Interlockランサムウェア、Mallardダウンローダー、Plus Keylogger、NtlmThief、PortStarter、Supper、SystemBCなど、複数の異なるペイロードで使用されていることが確認されています。

Image

一方のRhysidaは、Tombでクリプト処理されたBroomstickとEndicoを多用する傾向があり、侵害後のオペレーションやドメイン列挙にはVidarまたはSupperが続くケースもあります。

コード署名証明書の繰り返し利用、偽のダウンロードポータル、環境寄生型(Living-off-the-Land)コマンドの活用は、通常の企業活動に紛れ込もうとする意図を示しています。

防御側にとっての重要な示唆は、ランサムウェアの検知を最終的な暗号化ツールだけに限定してはならないという点です。アクセスブローカー、ダウンローダーインフラ、クリプター、ステージングサーバーが両グループの作戦上の基盤を形成しており、ランサムウェアのバイナリのみをブロックする対策では手遅れです。

また本レポートは、インフラやツールの共有が誤った帰属分析につながりうる点も指摘しています。ハンティングにあたっては、マルウェアのラベルだけでなく、振る舞い、感染チェーン、侵害後のツール群を優先的に調査すべきです。

本報告書が示すより広い教訓は、RhysidaとInterlockはブローカー、ローダー、プライベートクリプティングサービスで構成された共通のランサムウェア経済の一部として捉えるべきだという点です。両者の違いは戦術レベルでは重要ですが、その類似点は根底にある同一の商業的エンジンの存在を浮き彫りにしています。

翻訳元: https://gbhackers.com/rhysida-and-interlock-ransomware/

ソース: gbhackers.com
#IBM X-Force #Interlock #Living-off-the-Land #Rhysida #TAG-124 #クリプター #サイバー犯罪 #マルウェア #ランサムウェア #初期アクセスブローカー

関連記事

ロシア・中国の工作主体によるAI翻訳・ビジュアルコンテンツを活用した悪意ある影響工作

中国関連ハッカー、REDCapサーバを悪用して米国医療研究機関を監視

The Gentlemen RaaS、アフィリエイト獲得競争が激化する中で166件の被害者規模に拡大