ランサムウェア「Darkside」に協力していたサイバー犯罪グループが、CCTVカメラベンダーのWebサイトに侵入し、同社のユーザがセキュリティフィードの設定や制御に使用していたWindowsアプリケーションにマルウェアを挿入していたことが発覚しました。
CCTVカメラベンダーのウェブサイトに侵入したのは2021年5月18日で、セキュリティ企業のMandiant社がこのマルウェアを発見しました。
Mandiant社が発表したインシデント・レスポンス・レポートによると、このマルウェアは無名のCCTVベンダーが顧客に提供していたDahua SmartPSS Windowsアプリのカスタマイズ・バージョンの中に紛れ込んでいたことがわかっています。
ユーザがこのトロイの木馬化したアプリケーションをダウンロードしてインストールすると、企業のシステムにSMOKEDHAMバックドアが感染してしまいます。
Darksideランサムウェアグループは、Colonial Pipeline社への攻撃の後で活動を停止しましたが、Mandiant社によると、この攻撃をDarkside社の3つの主要サブグループの1つであることがわかりました。
ランサムウェア「DarkSide」、わずか9ヶ月で90億円(9,000万ドル)を荒稼ぎ
UNC2465は、UNC2628やUNC2659とともに「アフィリエイト」と呼ばれ、企業ネットワークへの侵入した後、DarksideからレンタルしたDarksideランサムウェアを展開するパートナーです。
被害者から身代金の支払いがされると、UNC2465は85%の取り分を得、新たな標的に移るという仕組みでした。
Mandiant社によると、CCTVベンダーの公式サイトへの侵入をUNC2465に結びつけることができたのは、感染経路がこれまでUNC2465の侵入の場合だけに展開されていたバックドア型トロイの木馬「SMOKEDHAM」を展開していたためと述べています。
UNC2465は、今回の攻撃で被害者の内部ネットワークにランサムウェア「Darkside」を展開することはありませんでしたが、Mandiant社の研究者は、この脅威グループが近い未来、新しいRaaS(Ransomware-as-a-Service)のパートナーとなり、別のランサムウェアを展開する可能性があると警告しています。
Mandiant社は企業に対して、内部ネットワークをスキャンして、バックドア「SMOKEDHAM」による侵害の兆候がないか確認することを推奨しています。
侵害の兆候と感染経路に関する詳細情報は、Mandiant社のレポートに記載されています。
Comments