メニュー
2022年6月23日、セキュアワークスのサイバーセキュリティ研究者は、複数のランサムウェア亜種を挙げた新しい研究を発表しました。これらは、「Bronze Starlight」と呼ばれる中国に関連する国家に支援されたハッキンググループが、サイバースパイ活動を行うという攻撃の真の目的を隠すために使用していると特定されたランサムウェアのことです。今回の調査では、2015年以降、犯罪者が広く使用している悪意のあるツールであるHUI Loaderを調査しました。
HUI LoaderはカスタムDLLローダーで、DLL検索順序ハイジャックの影響を受けやすい乗っ取られた正規ソフトウェアプログラムによって展開することができます。実行されると、ローダーはその後、メインのマルウェアペイロードを含むファイルを展開し、復号化します。HUIローダーは、これまでにもAPT10、Bronze Riverside、Blue Termiteなど多くの脅威グループが利用してきました。しかし、セキュアワークスのCounter Threat Unit(CTU)研究チームの調査によると、2つの活動クラスターが含まれています。
1つ目のクラスターは、日本の組織から貴重な知的財産を盗むことに重点を置いていることで知られているBronze Riversideに関連しています。しかし、2つ目のクラスターは、中国とつながりのある別のグループ、Bronze Starlightと関連しており、知的財産の窃盗とサイバースパイに重点を置いているようです。この2つのグループの被害者には、ブラジルの製薬会社、米国のメディア、日本のメーカー、インドの大手企業の航空宇宙・防衛部門が含まれています。
また、今回の調査では、Bronze Starlightがキャンペーン中に5種類のランサムウェアを展開していることが明らかになりました。LockFile」「AtomSilo」「Rook」「Night Sky」「Pandora」の5種です。LockFileとAtomSiloのコードベースと、Rook、Night Sky、Pandoraのコードベースの2つから、ランサムウェアの亜種を開発したと考えられています。Avast は LockFile と AtomSilo 用の復号化ツールをリリースしています。他のランサムウェアの亜種に関しては、それらはすべてBabukのソースコードをベースにしているようです。
NCSC Threat Reports Feed© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。
