TokyoBlackHatNews

gbhackers.com 5分で読了

新たな「01Flip」ランサムウェアがWindowsとLinuxの両方を標的に

Palo Alto Networks の Unit 42 のセキュリティ研究者は、新たに出現したランサムウェアファミリー「01flip」を特定した。これはマルウェア開発手法における大きな転換点を示している。

2025年6月に発見されたこの高度な脅威は、クロスプラットフォーム互換性を可能にするモダンなプログラミング言語である Rust で完全に記述されており、現在はアジア太平洋地域の限られた被害者のみを標的としている。

この発見は、サイバー犯罪者が高度なプログラミング言語を採用し、多様なシステムやプラットフォームにわたって活動範囲を拡大しているというトレンドの高まりを浮き彫りにしている。

Unit 42 の研究者は、サンドボックス環境でのテストにおいてランサムウェアのような挙動を示した不審な Windows 実行ファイルを調査する過程で、初めて01flip を特定した。

この実行ファイルの名称は、暗号化されたファイルに付与される拡張子(.01flip)と、身代金メモに記載された連絡用メールアドレス(01Flip@proton[.]me)の2つのアーティファクトに由来している。

このキャンペーンを担う脅威アクターは現在「CL-CRI-1036」として追跡されており、金銭目的のサイバー犯罪活動のクラスターであり、データ窃取作戦との関連が疑われている。

その後の調査により、01flip のLinux 版が明らかになった。この亜種は、VirusTotal に最初に提出されてから約3か月間、アンチウイルス製品によって検知されないままだった。

この長期にわたる検知回避期間は、Rust でコンパイルされたマルウェアが従来型のセキュリティ検知メカニズムを回避するうえで非常に有効であることを示している。

観測された被害者には、東南アジアの重要インフラを管理する組織が含まれており、ダークウェブフォーラムで発見された脅威アクターの通信内容から、フィリピンと台湾での侵害が疑われている。

技術的アーキテクチャと機能

01flip ランサムウェアは、Rust のクロスコンパイル機能を活用することで、高度なマルチプラットフォーム機能を実現している。

Image
01flip ランサムウェアサンプル内に見られる Rust 関連の文字列。

Windows 版と Linux 版は、コア機能がほぼ同一であり、依存関係やライブラリのバージョンも共通で、アーキテクチャ固有の差異はごくわずかである。

このランサムウェアは、ドライブの網羅的な列挙、アクセス可能なディレクトリ全体への身代金メモの大量作成、AES-128-CBC アルゴリズムと RSA-2048 鍵暗号を組み合わせたファイル暗号化、そしてフォレンジック証拠を消去するための自動自己削除処理など、複数の重要な運用機能を実装している。

マルウェアは、防御回避のために、正規のオペレーティングシステムの活動に自然に紛れ込むような低レベル API やシステムコールを利用している。

さらに、ランサムウェアバイナリ内の重要な文字列(身代金メモの内容、拡張子リスト、RSA 公開鍵など)はエンコードされており、実行時にのみ復号される。

Image
01flip ランサムウェアがバイナリ内に格納された身代金メモをどのように復号するか。

両方の亜種にはサンドボックス対策機構が実装されており、ファイル名文字列に「01flip」が含まれるサンプルは、ファイル暗号化ルーチンを実行せず、インジケータの削除処理へ直接進む。

これらのキャンペーンを実行している脅威アクターは、2025年4月以降、インターネットに公開されたアプリケーションに対して CVE-2019-11580 を含む古い脆弱性を悪用することで初期侵入を行った。

侵害に成功した後、攻撃者は、Go で記述されたクロスプラットフォームの公開アドバーサリエミュレーションフレームワークである Sliver を展開し、永続的なネットワークアクセスを確立した。

その後、脅威アクターはネットワークインフラ全体でラテラルムーブメントを行い、2025年5月末に Windows と Linux の両システムに対して複数の 01flip ランサムウェアを展開した。

脅威アクターの重複の可能性

技術分析の過程で、研究者は 01flip のファイル暗号化除外リスト内に「lockbit」という拡張子を発見した。これは異例のアーティファクトであり、CL-CRI-1036 のオペレーターと、Flighty Scorpius として追跡されているLockBit ランサムウェアグループとの間に、何らかの重複が存在する可能性を示唆している。

身代金メモには、被害者がファイルを復号するための鍵を入手する際に必要となる連絡先情報と暗号データが含まれている。

Image
01flip の身代金メモの例。

しかし、この異常な点を除けば、両ランサムウェアファミリーの間に本質的な技術的関連性は確認されておらず、運用上の関係性を明確にするにはさらなる調査が必要である。

組織は、Rust でコンパイルされたマルウェアの挙動を検知可能な包括的なエンドポイント検知・対応(EDR)ソリューションを導入し、CL-CRI-1036 の活動に関連するインジケータを監視すべきである。

Palo Alto Networks の顧客は、Advanced WildFire、Cortex XDR、XSIAM、Cortex Xpanse プラットフォームを通じて保護を受けることができる。

侵害が疑われる組織は、直ちに専門のインシデントレスポンスチームに連絡し、脅威調査および復旧支援を受ける必要がある。

翻訳元: https://gbhackers.com/new-01flip-ransomware/

ソース: gbhackers.com
#01flipランサムウェア #CL-CRI-1036 #Linuxマルウェア #LockBit関連疑惑 #Palo Alto Networks Unit 42調査 #Rust製マルウェア #Windowsマルウェア #クロスプラットフォーム脅威 #サイバー攻撃と初期侵入経路 #ランサムノートと暗号化手法

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚