Last Updated on 2024-06-23 17:06 by 荒木 啓介
ロシアの組織が、ExCobaltと呼ばれるサイバー犯罪集団によってターゲットにされています。この集団は、GoRedという新たなGolangベースのバックドアを使用しています。ExCobaltは、サイバー間諜活動に焦点を当て、2016年以降に活動している複数のメンバーを含んでおり、かつては有名なCobalt Gangの一部だったと推測されています。Cobalt Gangは金融機関を攻撃して資金を盗むことで知られており、ExCobaltは2022年からCobIntツールの使用を開始しました。過去1年間にわたり、政府、情報技術、冶金、鉱業、ソフトウェア開発、通信など、ロシアの様々なセクターがこの脅威アクターによって狙われています。攻撃者は、以前に侵害された請負業者や、ターゲット企業の正規ソフトウェアを構築するために使用されるコンポーネントを感染させるサプライチェーン攻撃を利用して環境への初期アクセスを容易にしています。攻撃の手法には、Metasploit、Mimikatz、ProcDump、SMBExec、Spark RATを使用して感染したホスト上でコマンドを実行し、Linuxの特権昇格エクスプロイト(CVE-2019-13272、CVE-2021-3156、CVE-2021-4034、CVE-2022-2586)を利用することが含まれます。GoRedは、その導入以来数回にわたって改良されており、オペレーターがコマンドを実行し、認証情報を取得し、アクティブなプロセス、ネットワークインターフェース、ファイルシステムの詳細を収集できる包括的なバックドアです。RPCプロトコルを使用してコマンドアンドコントロール(C2)サーバーと通信し、ファイル監視やパスワード検出を可能にするバックグラウンドコマンドをサポートし、リバースシェルを有効にします。収集されたデータは攻撃者が管理するインフラストラクチャにエクスポートされます。ExCobaltは、ロシアの企業に対する攻撃において高い活動レベルと決意を示し続け、新しいツールを常に追加し、技術を改善しています。さらに、標準ユーティリティを修正してツールセットに補完することで、セキュリティコントロールを容易に回避し、保護方法の変更に適応する柔軟性と多様性を示しています。
【ニュース解説】
ロシアの組織が、ExCobaltというサイバー犯罪集団によって狙われているという報告があります。この集団は、GoRedと呼ばれる新しいGolangベースのバックドアを使用しており、サイバー間諜活動に焦点を当てています。ExCobaltは、2016年以降に活動しているメンバーで構成され、以前は金融機関を攻撃して資金を盗んでいたCobalt Gangの一部だったとされています。
この攻撃集団は、政府、情報技術、冶金、鉱業、ソフトウェア開発、通信など、ロシアの様々なセクターを標的にしています。攻撃へのアクセスは、以前に侵害された請負業者や、ターゲット企業の正規ソフトウェアを構築するために使用されるコンポーネントを感染させるサプライチェーン攻撃を通じて行われています。これは、攻撃者が高度な技術を駆使していることを示唆しています。
GoRedバックドアは、コマンド実行、認証情報の取得、アクティブなプロセスやネットワークインターフェース、ファイルシステムの詳細の収集を可能にするなど、多岐にわたる機能を備えています。また、RPCプロトコルを使用してコマンドアンドコントロールサーバーと通信し、ファイルの監視やパスワードの検出、リバースシェルの有効化などの機能をサポートしています。
ExCobaltは、新しいツールを継続的に追加し、技術を改善することで、ロシアの企業に対する攻撃において高い活動レベルと決意を示しています。また、標準ユーティリティを修正してツールセットに補完することで、セキュリティコントロールを容易に回避し、保護方法の変更に適応する柔軟性と多様性を示しています。
このような攻撃は、対象となる組織にとって重大なセキュリティリスクをもたらします。特に、サプライチェーン攻撃は、一つの脆弱なコンポーネントが多数の組織に影響を及ぼす可能性があるため、企業は自社だけでなく、パートナー企業のセキュリティ状態にも注意を払う必要があります。また、攻撃手法の進化に伴い、セキュリティ対策も常に更新し、適応することが求められます。このような状況は、サイバーセキュリティの専門家にとって新たな挑戦を意味し、セキュリティ技術の進化とともに、教育と意識の向上がより一層重要になってきます。
from ExCobalt Cyber Gang Targets Russian Sectors with New GoRed Backdoor.
