Darksideの協力者がCCTVベンダーのウェブサイト経由のサプライチェーン攻撃を実施

ランサムウェア「Darkside」に協力していたサイバー犯罪グループが、CCTVカメラベンダーのWebサイトに侵入し、同社のユーザがセキュリティフィードの設定や制御に使用していたWindowsアプリケーションにマルウェアを挿入していたことが発覚しました。

CCTVカメラベンダーのウェブサイトに侵入したのは2021年5月18日で、セキュリティ企業のMandiant社がこのマルウェアを発見しました。

Mandiant社が発表したインシデント・レスポンス・レポートによると、このマルウェアは無名のCCTVベンダーが顧客に提供していたDahua SmartPSS Windowsアプリのカスタマイズ・バージョンの中に紛れ込んでいたことがわかっています。

https://us.dahuasecurity.com/?product=smartpss

ユーザがこのトロイの木馬化したアプリケーションをダウンロードしてインストールすると、企業のシステムにSMOKEDHAMバックドアが感染してしまいます。

https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html

Darksideランサムウェアグループは、Colonial Pipeline社への攻撃の後で活動を停止しましたが、Mandiant社によると、この攻撃をDarkside社の3つの主要サブグループの1つであることがわかりました。

ランサムウェア「DarkSide」、わずか9ヶ月で90億円(9,000万ドル)を荒稼ぎ

UNC2465は、UNC2628やUNC2659とともに「アフィリエイト」と呼ばれ、企業ネットワークへの侵入した後、DarksideからレンタルしたDarksideランサムウェアを展開するパートナーです。

被害者から身代金の支払いがされると、UNC2465は85%の取り分を得、新たな標的に移るという仕組みでした。

Mandiant社によると、CCTVベンダーの公式サイトへの侵入をUNC2465に結びつけることができたのは、感染経路がこれまでUNC2465の侵入の場合だけに展開されていたバックドア型トロイの木馬「SMOKEDHAM」を展開していたためと述べています。

UNC2465は、今回の攻撃で被害者の内部ネットワークにランサムウェア「Darkside」を展開することはありませんでしたが、Mandiant社の研究者は、この脅威グループが近い未来、新しいRaaS(Ransomware-as-a-Service)のパートナーとなり、別のランサムウェアを展開する可能性があると警告しています。

Mandiant社は企業に対して、内部ネットワークをスキャンして、バックドア「SMOKEDHAM」による侵害の兆候がないか確認することを推奨しています。

侵害の兆候と感染経路に関する詳細情報は、Mandiant社のレポートに記載されています。

Leave a Reply

Your email address will not be published.