マイクロソフト、ウクライナとポーランドに対する新たなランサムウェアキャンペーン「プレステージ」を公開

2022年10月14日（金）、マイクロソフトは、新しい斬新なランサムウェアキャンペーン「プレステージ・ランサムウェア」が、ウクライナとポーランドの輸送・物流組織を標的とした攻撃を継続的に行っているとする記事を発表しました。このランサムウェアキャンペーンは、一連の攻撃が互いに1時間以内に検出された2022年10月11日火曜日に初めて行われました。
“この活動は、特に影響を受ける地域や国に関する最近のロシア国家と連携した活動と被害者像を共有し、フォックスブレード・マルウェア（別名ハーメティック・ワイパー）の以前の被害者と重なります。” 　– マイクロソフト社　脅威インテリジェンス局(MSTIC)
現在、マイクロソフトでは、プレステージランサムウェアの攻撃と特定の脅威アクターとの関連付けがまだなされていないため、一時的に活動クラスター「DEV-0960」として追跡しています。脅威グループの観察によると、このグループは、被害者のネットワーク全体にペイロードを展開するために、いくつかの方法を使用していることが分かっています。
この記事では、観察された3つの方法が強調されています。
– 方法1：ランサムウェアのペイロードをリモートシステムのADMIN$共有にコピーし、インパケットを使用してリモートでターゲットシステム上にWindows Scheduled Taskを作成し、ペイロードを実行する。
– 方法2：ランサムウェアのペイロードがリモートシステムのADMIN$共有にコピーされ、インパケットを使用してターゲットシステム上でコード化されたPowerShellコマンドをリモートで呼び出してペイロードを実行する。
– 方法3：ランサムウェアのペイロードをActive Directoryドメインコントローラにコピーし、デフォルトドメインのグループポリシーオブジェクトを使用してシステムに配備する。