DBD攻撃で拡大、ランサムウェア「Interlock」に警戒を
他ランサムグループにあまり見られない特徴として、初期侵入にあたり、正規サイトの改ざんによる「ドライブバイダウンロード攻撃」を展開している点を挙げた。
またあたかもシステム上に問題が存在し、修正するかのように装って悪意あるペイロードを実行させるソーシャルエンジニアリング手法「ClickFix」なども活用。偽の「CAPTCHA」をクリックさせ、「ファイル名を指定して実行」よりPowerShellスクリプトを実行させていた。
以前はブラウザ「Chrome」「Microsoft Edge」などの更新プログラムを偽装し、悪意あるプログラムを展開。
最近では「FortiClient」「Ivanti-Secure-Access-Client」「GlobalProtect」「Cisco-Secure-Client」といった一般的なセキュリティ対策製品のアップデートやオンライン会議ツール「Webex」などを偽装するケースも報告されている。
初期侵入後には、「AnyDesk」「ScreenConnect」などのリモートアクセスツールの設置、レジストリの改ざんによる永続化、情報収集、権限昇格などを実行。「PuTTY」「WinSCP」「AzCopy」「Azure Storage Explorer」などの一般的なツールが悪用されている。
被害を未然に防ぐため、ウェブサイトに対するアクセス制御やセキュリティ更新プログラムの適用をはじめ、多要素認証、EDR、ネットワーク分割といった対策を活用するなど防衛策を講じるよう呼びかけている。
(Security NEXT - 2025/08/01 )
ツイート
PR
関連記事
ランサム被害でシステム障害、グループ各社に影響 - テイン
公開PDF資料に個人情報、県注意喚起きっかけに判明 - 菊池市
小学校で個人票を誤配布、マニュアルの認識不十分で - 大阪市
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
ネット印刷サービスにサイバー攻撃、個人情報流出か - ウイルコHD子会社
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
ランサム攻撃者が犯行声明、事実関係を確認中 - アスクル
ペット保険システムから契約者情報など流出した可能性 - アクサ損保
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
