メニュー
2022年10月3日(月)、サイバーセキュリティ企業のシグニアは、「ナイトスカイ」ランサムウェアのTTPを利用した「チアスクリプト」ランサムウェア攻撃を調査したとする記事を公開し、さらに分析したところ、チアスクリプトとナイトスカイはいずれも「エンペラー・ドラゴンフライ」と呼ばれる同一の脅威グループのリブランドであることが明らかとなったことを発表しました。
特定されたTTPは、Apache ‘Log4Shell’ Log4jの脆弱性(CVE-2021-44228)を悪用してPowerShellコマンドを実行し、DLLサイドローディング手法の特徴を開始するとともに、脅威アクターは以前ナイトスカイオペレーションに関連したC2アドレスに接続したコバルトストライクビーコンを投下しました。
2022年6月、セキュアワークスとマイクロソフトの両社は、「エンペラードラゴンフライ」グループがナイトスカイ、ルック、パンドラ、アトモシロなどの複数のランサムウェアファミリーを使用して、金銭的動機による攻撃と見せかけて政府主導のサイバースパイを行うことが観測されたと報告しています。したがって、チアスクリプトは、エンペラー・ドラゴンフライの継続的なペイロードのリブランディングの1つであり、帰属を回避するための試みであると考えられています。
NCSC Threat Reports Feed© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。
