今週も脅威情報ニュースレターをお届けします。
Talos は最近、複数の攻撃グループが攻撃チェーンを通じてチームを組むことが増えている現状についての調査結果を公開しました。各グループが作戦の一部を担当し、リレーのバトンのようにつないで侵害を続けているのです。
これは懸念すべき傾向であり、従来の脅威モデルを見直す必要があると Talos は考えています。しかしこれを読んでいて、あることが私の頭に浮かんできました。それは、サイバー犯罪者は往々にしてチームワークが壊滅的に苦手だということです。
ランサムウェアのアフィリエイトがログイン情報を待っているのに、いつまでたっても届かないとしたら?アクセスブローカーが足がかりを売ったのに、それを悪用するためのツールが準備できていなかったり、標的の環境で動作しなかったり、あるいは結局まったく現れなかったとしたら?
突然の音信不通は出会い系アプリや就職面接に限った話ではありません(6 回も面接を受けたのに何の連絡もないという人もいるでしょう)。サイバー犯罪者もドタキャンします。タイミングが悪かった、もっと良い標的がいた、内部でゴタゴタがあった、あるいはただ髪を切りに行っただけということかもしれません(ある Conti のメンバーが、攻撃者仲間が現れなかったことについて実際に苦情を言っていました
)。
この分業型モデルでは、脅威チェーンがリアルタイムでつなぎ合わされた脆弱な供給ラインになります。確かに効率的ではありますが、その分もろいのです。1 人が抜ければ、作戦全体が瓦解する可能性があります。そして、サイバー犯罪者に道義心があるとは思わない方がいいでしょう。彼らは自分に有利になるように行動します。ブローカーが同じログイン情報を複数の買い手に売るのを防ぐ手立てはなく、もっと良い取引が舞い込めば、完全に手を引くこともあり得るのです。
もちろん、このエコシステムは一枚岩ではありません。アクセスブローカー、マルウェア開発者、「カスタマーサービス」(ここでのカスタマーとは被害者のこと)など、組織化されたビジネスのように運営しているグループもあります。一方で、より緩やかな形で活動していて、DM で誰かがアクセス情報を売り込んでくるのを待っているグループも存在します。音信不通になりやすいのは後者のグループです。組織的なチームでは、信用のおけないブローカーは評判を落とすリスクがありますが、犯罪組織と関わりのあるフリーランスの間では、そんなことはよくあることです。
別にフリーランス全体を悪く言うつもりはないですが、ああいう人たちもいますので…
過去を振り返ってみると、内輪もめは避けられそうにありません。Conti の崩壊は、Wired 社が報じたように、1 つの怒りの投稿から始まり、業績不振を完全に暴露するまでに事態が進展しました。
「ここには 100 人いるが、その半分、いや 10% すら、やるべきことをやっていない」
– Stern(またの名を Demon)、元 Conti CEO
LAPSUS$ は内部対立によって自滅しました。REvil のあるアフィリエイトは、eBay で詐欺に遭った購入者であるかのように、サイバー犯罪フォーラムで怒りをぶちまけていました。
有名な言い回しをもじるならば、分業型の脅威には、その最も弱いリンクと同じくらいの強度しかないのです。そのリンクがコミュニケーション能力に欠け、最後までやり切らず、約束すら守れないとしたら、果たしてどうなるでしょうか?
重要な情報
Talos の最新のブログ記事では、中国語話者の攻撃者である UAT-6382 が、広く使用されている資産管理システム Cityworks のリモートコード実行の脆弱性(CVE-2025-0994)を悪用したことを紹介しました。UAT-6382 は、長期的な持続性と制御を目的として、高度なマルウェアを展開しています。
注目すべき理由
UAT-6382 は、この脆弱性を悪用するだけでなく、Web シェルや Rust ベースのマルウェアローダー、Cobalt Strike のようなフレームワークといった高度なツールを使用してシステム内に深く潜り込んでいます。これにより、データ漏洩や業務の中断が発生する可能性があります。
必要な対策
上記のブログで取り上げた不正侵入については対策が講じられていますが、実際は悪用が続いているかもしれません。ブログに記載されている侵害の指標(IOC)を使用して、運用環境をスキャンしてください。
今週のセキュリティ関連のトップニュース
NATO が警告した脆弱性が、VMware の最新のセキュリティパッチで最も深刻と評価
VMware 社は、ユーザーがデータ漏洩、コマンド実行、およびサービス拒否攻撃にさらされる欠陥にパッチを当てました。一時的な回避策はありません。(情報源:SecurityWeek)
NIST、バグが悪用された可能性を推定する「LEV」方程式を導入
アメリカ国立標準技術研究所(NIST)が導入したこの新しい方程式は、セキュリティ運用チームと脆弱性パッチの優先順位付けに革命をもたらす可能性のある、数学的な尤度指標を提供することを目的としています。(情報源:Dark Reading)
Kettering Health、ランサムウェア攻撃でシステム全体が停止
オハイオ州で 14 の医療センターを運営する医療ネットワーク Kettering Health は、システム全体の技術的な障害を引き起こしたサイバー攻撃のために、入院患者と外来患者の診療を中止せざるを得なくなりました。(情報源:BleepingComputer)
Talos についての関連情報
Talos が参加予定のイベント
- BotConf(5 月 20 日~ 23 日)フランス、アンジェ
- Cisco Live U.S.(6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
- NIRMA(7 月 28 日~ 30 日)フロリダ州セントオーガスティン
- Black Hat USA(8 月 2 日~ 7 日)ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details
一般的なファイル名:IMG001.exe
検出名:Simple_Custom_Detection
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5:8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201
本稿は 2025 年 5 月 22 日にTalos Group
Authors