DBD攻撃で拡大、ランサムウェア「Interlock」に警戒を

他ランサムグループにあまり見られない特徴として、初期侵入にあたり、正規サイトの改ざんによる「ドライブバイダウンロード攻撃」を展開している点を挙げた。

またあたかもシステム上に問題が存在し、修正するかのように装って悪意あるペイロードを実行させるソーシャルエンジニアリング手法「ClickFix」なども活用。偽の「CAPTCHA」をクリックさせ、「ファイル名を指定して実行」よりPowerShellスクリプトを実行させていた。

以前はブラウザ「Chrome」「Microsoft Edge」などの更新プログラムを偽装し、悪意あるプログラムを展開。

最近では「FortiClient」「Ivanti-Secure-Access-Client」「GlobalProtect」「Cisco-Secure-Client」といった一般的なセキュリティ対策製品のアップデートやオンライン会議ツール「Webex」などを偽装するケースも報告されている。

初期侵入後には、「AnyDesk」「ScreenConnect」などのリモートアクセスツールの設置、レジストリの改ざんによる永続化、情報収集、権限昇格などを実行。「PuTTY」「WinSCP」「AzCopy」「Azure Storage Explorer」などの一般的なツールが悪用されている。

被害を未然に防ぐため、ウェブサイトに対するアクセス制御やセキュリティ更新プログラムの適用をはじめ、多要素認証、EDR、ネットワーク分割といった対策を活用するなど防衛策を講じるよう呼びかけている。

（Security NEXT - 2025/08/01 ）ツイート