今週も脅威情報ニュースレターをお届けします。
プラハにはしばらく行けていないのが残念です。素晴らしい街で、人もすてきで、料理も絶品です。プラハのお客様を訪問したことも、現地オフィスでのチームミーティングに参加したことも(Petr に感謝)、夏休みを取って思い出に残る日々を過ごしたこともあります。でも、今回「プラハに愛を込めて」という見出しにしたのは、そうした思い出を語るためではありません。
先週、LockBit のダークウェブのアフィリエイトパネルにアクセスしようとしたところ、改ざんされたページが表示され、メッセージにはこう書かれていました。
「犯罪はやめろ、犯罪は悪だ ── プラハより愛を込めて」
メッセージには「paneldb_dump.zip」という圧縮アーカイブのダウンロードリンクが添えられていました。この 7.5MB の zip ファイルには、20 のテーブルを含む 26MB の平文の SQL ダンプが格納されています。このデータ漏洩により、LockBit の運営実態を垣間見れる、未加工の希少な情報が暴露されました。
ほとんどの報道記事は、約 6 万件のビットコインアドレスや、75 人の管理者およびアフィリエイトのログイン情報(パスワードはすべて平文で保存)を重点的に取り上げていましたが、私が強い興味を抱いたのは「チャット」テーブルです。2024 年 12 月から 2025 年 4 月にかけて 208 に及ぶ被害者に 4,423 件のメッセージが送られていました。このチャットにより、アフィリエイトと被害者双方の生々しい駆け引き、身代金要求、交渉戦略が明らかになっています。メッセージが 1 件だけで返信がないものもあれば、300 件を超えるメッセージがやり取りされていて、その内容が復元できないファイルに対する「技術サポート」だったり、返金要求だったりしたケースもありました。
身代金要求額には非常に幅があり、数千ドルの要求から、特に注目すべき事案では 200 万ドルに及ぶものもありました。また、混乱が見られたケースもあり、実際は「10 万ドル相当のビットコイン」を要求されているのに、「10 万ビットコイン」だと誤解した人もいました。さらに、あるホスティング会社が巻き込まれた侵害事件では、結局その影響を被ったのは同社の顧客でした。チャットの内容から、データはすべて同一の暗号キーで暗号化されていたことが判明しました。すべての被害者が身代金を支払う意思や能力があったわけではなかったのに、LockBit がホスティング会社に全額を支払うよう要求したので、要求した身代金の回収が難航していました。
厳しい交渉期限が設けられているケースが多かったのですが、欧州の祝日(聖金曜日、復活祭翌日、5 月 1 日)がさらに状況を複雑にしていました。期限が過ぎた後に身代金要求額が引き上げられた事例も何回かありました。さらには、自国のマネーロンダリング防止法に抵触しないよう少額ずつ資金を調達するので時間の猶予がほしいと伝える被害者のメッセージすら見つかりました。
別のチャットでは、10 万ドルの身代金を支払えないと訴えて交渉を試みた被害者に対し、「7 人の役員が 1 人あたり 1 万 4 千ドル出せば済む話だ」と返答していました。これを見ると、LockBit の「分析担当部門」が十分な下調べを行っていたことは明らかです。
アフィリエイトに対する「信頼」の度合いも際立っていました。メッセージには次のようなものがありました。
面白いことに、最後のメッセージに対するサービスは別料金となっていました。ここで、1 万ドルもする「ヒント」をいくつか無料でご紹介します。
このヒントが 1 万ドルもするのであれば、個人的には、インシデントが発生する前に Talos インシデント対応チーム
からアドバイスを受けた方が良いと思います。Talos IR リテーナーの一環として、ガイダンスとプロアクティブなサポートも提供してくれます。
LockBit のデータ漏洩は、サイバー犯罪の仕組みと、ニュースの見出しの裏にある人間模様を垣間見る貴重な機会でした。それでは今回はこの辺で。プラハに愛を込めて。
重要な情報
Cisco Talos は、攻撃キルチェーンが 2 つの段階(初期の侵害とその後のエクスプロイト)に分割され、それぞれが異なる攻撃者によって実行される傾向が強まっていることを確認しました。こうした脅威の進化に対応するため、Talos では初期アクセスブローカー(IAB)の定義を見直し、金銭目的型初期アクセス(FIA)、国家支援型初期アクセス(SIA)、機会便乗型初期アクセス(OIA)というサブカテゴリを作成しました。
注目すべき理由
この傾向は、従来の脅威モデリングと攻撃者のプロファイリングを複雑にします。なぜなら、さまざまなグループ間の複雑な関係性や連携を理解する必要があるからです。たとえば、あるタイプの IAB を防御するうえで有効なハンティングや封じ込め戦略が、別のタイプの IAB には適さない可能性があります。
必要な対策
Talos は、分業化された攻撃の分析手法をいくつか特定し、4 つの特徴間の関係性に文脈を加える「関係層」を導入した拡張ダイヤモンドモデルを提案しています。Talos が提案する新しい分類法をよく理解し、この新しい手法をツールキットに取り入れて、分業化された脅威をモデル化して追跡できるようにしてください。
今週のセキュリティ関連のトップニュース
国際共同作戦「Operation Moonlander」
20 年以上前から存在し、数千台の感染した IoT 機器やサポート終了(EoL)デバイス上で構築されていた犯罪プロキシネットワークが、国際共同作戦によって解体されました。(情報源:米連邦検事局)
サプライチェーン侵害
週に 4 万件以上ダウンロードされている非推奨の node.js パッケージ「rand-user-agent」が、「RATatouille」という悪意のあるペイロードを仕込まれる形で侵害されました。これは明らかなサプライチェーン攻撃の事例です。(情報源:Aikido)
Ascension Health のデータ漏洩、43 万人以上に影響
医療機関 Ascension が、43 万人以上の患者に影響を及ぼすデータ漏洩を公表しました。(情報源:Bleeping Computer)
ドイツ、19 億ドル以上のマネーロンダリングで eXch を閉鎖
ドイツ当局は、暗号資産取引所 eXch が約 19 億ドルの不正資金洗浄に関与した疑いがあるとして閉鎖し、大量の仮想通貨とデータを押収しました。(情報源:BKA、ドイツ語)
Talos についての関連情報
Talos Takes
動機を追え:初期アクセスグループに対する防御を再考。こちらのポッドキャストをお聞きください。
Talos を取り上げたニュース
初期アクセスブローカー、NF-e 関連スパムと正規の RMM のトライアル版を使ってブラジルの経営幹部を攻撃(The Hacker News)
MFA が回避されやすくなっている理由とその対策(Ars Tecnnica)
Talos が参加予定のイベント
- Cisco Connect UK & Ireland(5 月 20 日)英国、ロンドン
- BotConf(5 月 20 日~ 23 日)フランス、アンジェ
- Cisco Live U.S.(6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e00aa8146cf1202d8ba4fffbcf86da3c6d8148a80bb6503d89b0db2aa9cc0997
MD5:eae884415e5fd403e4f1bf46f90df0be
VirusTotal:https://www.virustotal.com/gui/file/e00aa8146cf1202d8ba4fffbcf86da3c6d8148a80bb6503d89b0db2aa9cc0997
一般的なファイル名:paneldb_dump.zip
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
本稿は 2025 年 5 月 15 日にTalos Group
Authors