今月の主要な話題
Interlock ランサムウェアが Cisco Secure FMC ゼロデイを悪用
- Interlock ランサムウェアグループは、Cisco Secure Firewall Management Center の最高重度度(CVSS 10.0)の脆弱性(CVE-2026-20131)を悪用しました。
- この認証なしでルートレベルのリモートコード実行の欠陥は、2026年1月26日から、公開開示の36日前から悪用されていました。
- この事件は、エンタープライズネットワークセキュリティインフラストラクチャの継続的な標的化を示しており、ランサムウェアグループは強化されたペリメータデバイスに対する高度なゼロデイ悪用機能を維持しています。
TeamPCP が大規模な CI/CD サプライチェーン侵害を組織化
- 協調的なサプライチェーン攻撃において、脅威グループ TeamPCP は最初に Rubrik Zero Labs によって 2025 年に文書化され、広く使用されている Aqua Security Trivy 脆弱性スキャナー用の GitHub バージョンタグ 76 個中 75 個、Checkmarx KICS および LiteLLM PyPI パッケージを奪いました。
- 攻撃者は「CanisterWorm」という自己増殖型マルウェアを展開し、AWS、GCP、Azure、SSH、Docker の認証情報を侵害された開発者 CI/CD パイプラインから直接盗むことを目的としていました。
- マルウェアはイランのタイムゾーンまたはペルシア語を使用するシステムでデータをワイプするための地理的フェンシングを含んでおり、侵害されたスキャナーバージョンを実行している10,000以上の下流組織に影響を与える可能性があります。
ShinyHunters がほぼ 400 の Salesforce インスタンスを侵害
- 脅威グループ ShinyHunters は、ほぼ 400 の Salesforce Experience Cloud インスタンスを侵害する大規模なキャンペーンを開始しました。
- 攻撃者は修正された AuraInspector ツールを使用して、設定ミスされたゲストユーザー権限を悪用し、公開でアクセス可能なサイトの自動スキャンによって機密 CRM データを流出させました。
- これは 6 か月間で Salesforce 顧客の 3 番目の大規模侵害キャンペーンであり、広く展開されているクラウドインフラストラクチャの体系的な標的化を強調しています。
トップランサムウェアグループ
注記:2025年、ランサムウェア攻撃量は50~57%急増しましたが、被害者の支払い率は記録的な低さの28%に低下しました。これに応じて、脅威行為者は「復旧拒否」戦術へのシフトを加速させており、体系的にバックアップを破壊し、ESXi などの仮想化インフラストラクチャを標的にし、90 以上の EDR キラーツール(そのうち 54 がBYOVD 技術を使用)を活用してカーネルレベルからエンドポイントセキュリティを無効化しています。
- INC Ransom – 世界中のヘルスケア、法律、教育セクターを積極的に標的とした大量キャンペーン。大規模な混乱がミシシッピ大学医療センターを強制的に36 のクリニックを州全体で閉鎖させました。全国薬物乱用プログラム協会から 2TB のデータ(237,830 人以上)を流出させました。
- Interlock – ネットワークアプライアンスゼロデイを検出して利用できる高度な運用。Cisco Secure FMC CVSS 10.0 ゼロデイ(CVE-2026-20131)を悪用し、2026年1月からエンタープライズファイアウォールへの認証なしでルートレベルのコード実行を許可しました。
- Medusa(ラザルスグループ) – 北朝鮮国家支援APT(ダイアモンドスリート)は重要インフラ脅威での財務的動機による恐喝のためにランサムウェアを採用し、スパイ活動のための米国ヘルスケアと中東組織を標的にしました。
- Qilin – 活動的で大量の運用者は、製造、エンジニアリング、ヘルスケア企業を世界中で標的にしていることが追跡されており、深刻な企業データの露出をもたらしました。報告されている被害者には、製造企業 Southwire、CJL Engineering、Aroostook Mental Health Services が含まれています。
- The Gentlemen – このグループはハイパーバイザー、製造、フィットネス、エネルギーセクターを標的とするグローバル運用を急速に拡大しており、カナダの ControlGMC、フィリピンエネルギーの PTT、ノルディックフィットネスの SATS などへのアクセス侵害に成功しています。
Linux / クラウド / ID 攻撃:トップの脅威
これらの脅威は、深刻度スコア(CVSS)と、エンタープライズクラウド、自動化、ID インフラストラクチャへの直接的で広範な影響に基づいて選択されました。
1. n8n ワークフロー自動化プラットフォーム RCE(CVE-2025-68613)
- タイプ: クラウド / 自動化プラットフォーム
- 影響: 中央集約型自動化プラットフォームでの認証なしでリモートコード実行を可能にする重大な式インジェクション欠陥。
- CVSS 9.9。野生での能動的悪用が確認され、インターネットに面した 24,700 以上のインスタンスを露出させ、2026年3月11日にCISA KEVカタログに追加されました。
2. Oracle Identity Manager 認証なし RCE(CVE-2026-21992)
- タイプ: ID&アクセス管理
- 影響: 重大な機能の認証の欠落により、Oracle Identity Manager および Web Services Manager での完全なシステム侵害および認証なしのリモートコード実行が可能になります。
- CVSS 9.8。緊急時のアウトオブバンドパッチをトリガーし、連邦機関は即座に実装するよう指示されました。Oracle は、開示前のゼロデイ悪用の可能性を指摘し、金融、政府、重要セクターを露出させています。
3. VMware Aria Operations コマンドインジェクション(CVE-2026-22719)
- タイプ: クラウドインフラストラクチャ管理
- 影響: Broadcom VMware Aria Operations に影響する能動的に悪用されているコマンドインジェクション脆弱性。認証なしの攻撃者は、サポート支援マイグレーションプロセス中にコマンドを実行できます。
- CVSS 8.1。確認されたアクティブ悪用後にCISA KEVカタログに追加され、攻撃者にエンタープライズハイブリッド環境全体の管理クラウドリソースへのアクセスの可能性を与えています。
Rubrik Zero Labs LLM パワード高度分析システムからの洞察
バックアップ内のトップの脅威: 私たちの高度な分析システムは、野生で見られるトップおよびトレンド脅威を識別し、そのデータをバックアップテレメトリと比較して、ステルスマルウェアを検出します。次のものは、バックアップデータで見られる最も一般的なファミリーであり、最初の防御線を迂回するのに成功している可能性があります。
リモートアクセストロイの木馬(RAT)&情報盗取ツール
これらのツールは、主にユーザーをスパイするため、機密データを盗むため、および被害者のマシンの制御を維持するために設計されています。
- Vidar: ブラウザ認証情報、暗号通貨ウォレット、銀行情報を標的とし、しばしば他のマルウェアの二次ドロッパーとして機能する、適応性の高い情報盗取ツール。
- LummaStealer: 2要素認証コード、ブラウザデータ、暗号通貨ウォレットファイルの流出に特化した地下フォーラムで販売されている C ベースの情報盗取ツール。
- Snake Keylogger: キーストロークをキャプチャし、Webブラウザから保存されたパスワードを盗み、感染したシステムのスクリーンショットを撮る .NET ベースの認証情報ハーベスタおよびキーロガー。
ランサムウェア
ファイルを暗号化し、復号化キーの支払いを要求するように設計されたマルウェア。
- Pay2Key: 侵害されたリモートデスクトップアクセスに依存して企業ネットワーク全体を迅速に暗号化し、二重脅迫戦術を多く活用する高速に機能するランサムウェア株。
- Interlock: 企業環境を標的とし、ローカルファイルとネットワーク共有を暗号化する前に機密企業データを体系的に流出させる、最近発見されたランサムウェアファミリー。
- Qilin: 重要インフラと企業ドメインに対する高度なカスタマイズ、二重脅迫攻撃に特化した Rust で書かれた高度なランサムウェア・アズ・ア・サービス(RaaS)運用。
当社の高度なマルウェア分析システムによって分析/フラグされた最高の脅威:
SHA256: fc1cd6ab782397871c18568a691569a3bba8a45aaed9792c560dd60a06553821(SCADA 標的トロイの木馬とワーム機能)
概要: この IronGate ファミリー SCADA マルウェアは、埋め込まれた実行可能ファイルを抽出し、「move-to-operational」ホットフォルダーのネットワーク共有を検索することで、産業用制御システムを標的にします。運用技術環境に特に設計されたワーム状の横展開と反サンドボックス検出を採用しています。
First_Seen: 2026-02-27
SHA256: ccca0b988e0d828983e91228c5619a0a42e394c7c8414aeaef764501f2f00472(Linux バックドア)
概要: TheTick は、コマンド実行、TCP ピボット、ファイル操作、HTTP ダウンロードを含む包括的なリモートアクセス機能を提供する Linux バックドアです。これは永続的なコマンドアンドコントロール(C2)接続を確立し、基本的な反デバッグ環境検出を採用しています。
First_Seen: 2026-02-11
SHA256: fb4fb8b40544b9084bb3d311483626fe72e651713537280ca5fa3342eb83e573(バックドア/リモートアクセストロイの木馬)
概要: この MIPS ベースのルーターバックドアは、uClibc ベースの Linux システムを実行する埋め込みデバイスおよび SOHO ルーターを標的とするために、PPTP/OpenVPN バイナリとして偽装されています。VPN 制御プロトコルを操作して永続的なリモートアクセスを確立し、プロセス名スプーフィングと UPX パッキングを利用して検出を回避します。
First_Seen: 2026-03-16
SHA256: 389fc13f33d90dbb335b3ad2a9b344f0b45d782b6634577216028e209689b5bd(認証情報ダンパー/ポストエクスプロイテーションツール)
概要: KslDump は、Microsoft Defender の KslD.sys ドライバーの CVE-2024-26229 脆弱性を悪用する非常に高度な認証情報ダンピングツールです。保護されたプロセスライト(PPL)保護をバイパスしてカーネルレベルのメモリアクセスを実行し、lsass.exe 物理メモリから認証情報を直接抽出します。
First_Seen: 2026-03-18
SHA256: 1e6487b7fbb9a0ff4c1d7032bfecd153fa6b9cc3c523243e8183588a98168267(マルチステージ Python ドロッパー/ローダー トロイの木馬)
概要: GlassWorm は、Solana ブロックチェーンのトランザクションメモを新規の分散化 C2 デッドドロップとして利用する高度なマルチステージ Python トロイの木馬です。ロシアシステムを回避するための厳密な地理的フェンシングを実装し、Node.js ランタイムをダウンロードし、暗号化された JavaScript ペイロードを実行します。
First_Seen: 2026-03-16
SHA256: fc3c94c62b42df24ee52a467f3a6e42d24621a59e1c61cbc6a79bae2cb2b53a8(高度な PHP Webshell/ファイルマネージャー)
概要: Alfa TEaM Shell(Tesla v4.1)は、包括的なリモート管理および攻撃的な機能を提供する成熟したプロフェッショナルグレードの PHP Webshell です。機能には、データベース管理、CMS ハイジャッキングモジュール、ブルートフォース機能、ファイル操作、および組み込みの反フォレンジック機能が含まれます。
First_Seen: 2026-03-02
SHA256: 0b24019b216493de87a2ea8f6c60b097577889a86c39095caedc9e3d212cce29(リモートアクセストロイの木馬(RAT)/情報盗取/ドロッパー)
概要: この高度な PowerShell ベースの RAT は、ブラウザのネイティブメッセージングプロトコルを隠れた C2 チャネルとして使用します。Chrome および Edge App-Bound Encryption を COM 昇格サービス悪用およびプロセスインジェクションを通じてバイパスする高度な認証情報盗取技術を備えています。
First_Seen: 2026-03-05
SHA256: a58a27da427cfa745650fd1ef7dfeafb1720ded1f050a9c9e783d877fc4535ea(APT シミュレーションフレームワーク/トレーニングツール)
概要: GhostWeaver は、実際のマルウェアではなく、セキュリティトレーニング用に設計された正当なレッドチーム APT シミュレーションフレームワークです。サンドボックス回避、プロセス偽装、認証情報収穫、DNS ベースの C2 ビーコンを含む 7 つのフェーズにわたる高度な攻撃をシミュレートします。
First_Seen: 2026-02-18
SHA256: ea544bf1caa96e0e272d4f0c35315cd7ec211aba034613cc82816cccf4f65c7d(ELF 共有ライブラリペイロード)
概要: この 64 ビット ELF 共有ライブラリは、Linux システム上でモジュール型バックドアまたは RAT コンポーネントとして機能します。ネットワーク C2 機能、マルチスレッド、プロセス管理、シグナル処理のための標準的な POSIX および GLIBC API を重く利用する、プロフェッショナルクオリティの開発を示しています。
First_Seen: 2026-02-18
SHA256: 9f94e2df4306bb4aa9988ab18f975d0963d9fbd03b6a96a976687812f1b2612e(エクスプロイトキット/大量悪用ツール/ボットネット リクルートメント)
概要: この大量悪用ツールキットは、GeoServer CVE-2024-36401 RCE 脆弱性を標的にしています。FOFA 検索 API を活用して、世界中の脆弱なインスタンスを自動的に検出し、WFS エンドポイントを悪用して「angelax86」マルウェアペイロードを配信するか、DoS リブートを実行します。
First_Seen: 2026-03-06
SHA256: c6922cb0125c52f094945d28ba544deceb22c64083af24170630be89bed452f1(ランサムウェア)概要: Linux/Filecoder.FU は、ChaCha20 ストリーム暗号暗号化と Curve25519 鍵交換を実装する能力のある Linux ランサムウェアです。XML ベースの設定により駆動されるマルチスレッドファイル暗号化機能を持ち、検出を回避するためにプロセス名の難読化を利用します。
First_Seen: 2026-02-19
SHA256: 68e4d5aea249288fbdf8ea70be7b3911d1e6cf8cc6be1271fbb2aa5774c51e78(リモートアクセストロイの木馬(RAT)/マルチプラットフォーム スパイウェアフレームワーク)
概要: OmnispyRAT は、広範なスパイウェア、永続性、回避モジュールを備えた Python で記述された高度なマルチプラットフォーム RAT フレームワークです。その高度な機能には、マルチチャネル C2 セットアップ(HTTP/Telegram/DNS トンネリング)、マルチメソッドキーロギング、および DPAPI 復号化を使用したブラウザ認証情報盗取が含まれます。
First_Seen: 2026-03-07
SHA256: afe9a0298d945105ee69e84bdd7c41f35dad869a44098cb7e65a6a32a01cc617(APT 偵察マルウェア / LNK ベースのドロッパー)
概要: 北朝鮮の APT 行為者(ROKRAT)に起因する、この悪意のあるソフトウェアは、難読化された PowerShell ペイロードを含む武装化された 44KB LNK ドロッパー経由で配信されます。環境偵察、自己識別を実施し、サンドボックスをバイパスするために位置検出に基づいて条件付きで実行します。
First_Seen: 2026-03-03
翻訳元: https://zerolabs.rubrik.com/blog/march-threat-rundown-cisco-zero-days-teampcp-cicd-breaches-and-more
