10 月以降、Prestige ランサムウェアを使用してウクライナとポーランドの運輸および物流組織を標的とした一連の攻撃が、ロシアの精鋭軍サイバースパイ グループに関係していることが判明しました。
Microsoft Security Threat Intelligence (MSTIC) の研究者は、フォレンジック アーティファクトと被害者学、トレード クラフト、機能、およびグループの以前の活動と重複するインフラストラクチャに基づいて、Russian Sandworm 脅威グループに対するランサムウェア攻撃を突き止めました。
攻撃者は、被害者の企業ネットワーク全体にランサムウェア ペイロードを展開しました。この戦術は、ウクライナの組織を標的とした攻撃ではめったに見られず、ウクライナ侵攻開始前のHermeticWiper破壊的マルウェアの使用など、以前のロシア国家と連携した活動と一致します。
「2022 年 11 月の時点で、MSTIC は IRIDIUM が Prestige ランサムウェア スタイルの攻撃を実行した可能性が非常に高いと評価しています」と MSTIC は述べています。
「威信キャンペーンは、IRIDIUM の破壊的な攻撃の計算式の測定された変化を浮き彫りにする可能性があり、ウクライナに人道的または軍事的援助を直接供給または輸送する組織へのリスクの増加を示しています。
「より広く言えば、戦争に関連して支援を提供しているとロシア政府が見なす可能性のある東ヨーロッパの組織に対するリスクが高まる可能性があります。」
Windows のスケジュールされたタスク、エンコードされた PowerShell コマンド、既定のドメイン グループ ポリシー オブジェクトの使用など、Prestige ランサムウェアの展開に複数の方法を使用することで、攻撃者の巧妙さが強調されました。
以前のレポートで、Microsoft は侵害の痕跡 (IOC) のリストと高度なハンティング クエリを共有し、管理者が Prestige ランサムウェア攻撃から防御するのを支援しました。
凶悪なロシア軍のハッカー
Sandworm (別名 BlackEnergy、Voodoo Bear、TeleBots) は、2000 年代半ばから少なくとも 20 年間活動しているロシアのハッキング グループであり、そのメンバーは、ロシア GRU の Main Center for Special Technologies (GTsST) の Unit 74455 の一部であると考えられています。
これらは、2015 年と 2016 年のウクライナの停電につながる攻撃 [1、2、3 ] と、ウクライナの銀行を標的としたKillDisk ワイパー攻撃に関連しています。
このグループは、2017 年 6 月から数十億の被害をもたらした NotPetya ランサムウェアを作成したとも考えられています。
2020 年 10 月、米国司法省は、NotPetya ランサムウェア攻撃、2018 年平昌オリンピック冬季オリンピック、および 2017 年フランス選挙に関連するハッキング活動で、グループの工作員 6 人を起訴しました。
今年の初めの 2 月には、米国と英国のサイバーセキュリティ機関が共同で発行したセキュリティ アドバイザリでも、 Cyclops Blink ボットネットがロシア軍のサイバースパイにピン留めされ、攻撃での使用が阻止されました。
Comments