Spiralsと名付けられた新たに確認されたランサムウェアファミリーが、2026年6月に南アジアのIT企業を狙った二重恐喝攻撃で使用されました。
Symantec社のThreat Hunter Teamの研究者らによると、このRust製マルウェアは攻撃者がネットワークへのアクセス権を得てから24時間以内に展開されたとのことです。
この攻撃はインターネットに公開されたMicrosoft IIS Webサーバーの侵害から始まりました。攻撃者はASP.NET製のWebシェルをアップロードし、IISワーカープロセスを通じたリモートコマンド実行を可能にしました。
攻撃者は3時間にわたる迅速なハンズオンキーボード操作を行い、その間に永続化の確立、権限昇格、認証情報の窃取、セキュリティ製品の無効化を行いました。これによりランサムウェアを広範囲に展開するための環境が整えられました。
攻撃者は侵害したWebサーバーを通じてcmd.exeとPowerShell.exeを使いコマンドを実行しました。ユーザーアカウント制御(UAC)を回避し、リモートデスクトッププロトコル(RDP)を有効化した上で、継続的なアクセスのためにローカルアカウントを作成しています。
また、ユーザー、ネットワーク共有、インストール済みソフトウェア、その後の標的となり得る他のシステムについても列挙していました。
認証情報を収集するため、攻撃者はWindowsのSecurity Account Manager(SAM)ハイブをダンプし、パスワード保護されたアーカイブ内に保存しました。
その後、rundll32.exeとcomsvcs.dllを使って複数のシステム上でLSASSメモリをダンプしています。この操作により、特権を持つドメインアカウントの認証情報が露出し、迅速な横展開が可能になった可能性があります。
攻撃グループは秘密裏のアクセスを維持するため、複数のトンネリング・プロキシツールを使用しました。これにはリバースSOCKSプロキシツールのrevsocks、chrome.exeにリネームされたChisel、そしてCloudflare Tunnelクライアントが含まれます。
これらのツールは冗長なアウトバウンド通信経路を作り出し、攻撃者はネットワーク制御を回避して内部システムへリモートアクセスすることができました。
6月17日、攻撃者はPsExecを使ってbase64エンコードされたPowerShellペイロードをリモートマシン上でSYSTEM権限として実行しました。
このペイロードは、ランサムウェアの実行フェーズに入る前に、まずMicrosoft Defenderのリアルタイム監視をオフにし、脅威定義を削除、IOAV保護を無効化しました。
同じスクリプトは続いて、バックアップ、データベース、仮想化製品に関連する実行中のサービスを検索し、強制的に停止しました。
対象リストにはExchange、Hyper-V、VMware、Veeam、Acronis、Veritas、Commvault、SQL Server、Oracle、MySQL、PostgreSQL、SAP、Sage、Intuit、Lotus Dominoが含まれていました。
この段階はランサムウェアの被害を最大化するために設計されています。バックアップおよびデータベースサービスを停止することで、開いたファイルハンドルが暗号化を妨げるのを防ぐと同時に、組織が迅速にシステムを復旧する能力を弱める効果があります。
さらに、暗号化ツールがネットワーク全体でファイルをロックする前に、業務上の混乱を引き起こす狙いもあります。攻撃者は非常に速いスピードで行動していました。
あるホストでは、PsExecを使って同じPowerShellペイロードを数秒おきに複数のリモート標的へ配信する動作が約30分間続いたと報告されています。
標的にはドメインコントローラー、ファイルサーバー、アプリケーションサーバー、仮想マシン、ワークステーションが含まれており、攻撃者は大規模展開に踏み切る前に、Active Directoryとネットワークの偵察をあらかじめ行っていた可能性が高いとセキュリティ企業は述べています。
注記: IPアドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再度有効な形式に戻す場合は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合する
翻訳元: https://cyberpress.org/spirals-ransomware-silences-defenses/