Twelveグループが再び: ロシアを標的とする新たなハクティビストの脅威

Twelveグループ: ロシアを標的とする新たなハクティビストの脅威 - innovaTopia - (イノベトピア)

Last Updated on 2024-09-21 09:11 by admin

ロシアを標的とするハクティビストグループ「Twelve」の活動が、カスペルスキー社の研究者によって分析された。Twelveは2023年4月に出現し、ロシアの政府機関や企業を攻撃している。

主な特徴:

  • LockBit 3.0やChaosベースのランサムウェアを使用
  • データ暗号化後にワイパーを展開し、インフラを破壊
  • 身代金要求ではなく、最大限の損害を与えることが目的

攻撃手法:

  1. 初期アクセスは主に請負業者を経由
  2. Active Directoryの脆弱性を悪用して横展開
  3. グループポリシーを利用してマルウェアを配布

使用ツール:

  • Mimikatz、BloodHound、PowerViewなどの公開ツール
  • Ngrokによるトンネリング
  • Cobalt Strikeフレームワーク

2024年6月末の攻撃で、Twelveグループの活動再開が確認された。グループはDAKSTAR(旧Shadow、COMET)ランサムウェアグループとインフラや手法を共有している。

【編集部解説】

Twelveグループの活動は、サイバー戦争の新たな局面を示しています。このグループは、金銭的な利益を追求するのではなく、標的組織に最大限の損害を与えることを目的としています。これは、サイバー攻撃の動機が多様化していることを示しています。

Twelveの特徴的な点は、公開されているツールやマルウェアを巧みに組み合わせて使用していることです。これは、高度な技術を持たなくても深刻な被害を引き起こせることを意味しています。企業や組織は、既知の脆弱性への対策だけでなく、正規のツールの悪用にも注意を払う必要があります。

グループの攻撃手法は、初期アクセスから横展開、データ窃取、そして最終的な破壊活動まで、非常に体系的です。これは、サイバー攻撃が単なる技術的な問題ではなく、組織全体のセキュリティ態勢の問題であることを示しています。

特に注目すべきは、Twelveがランサムウェアとワイパーを組み合わせて使用している点です。これは、被害者がデータを復旧する可能性を極限まで低下させる狙いがあります。このような攻撃に対しては、オフラインバックアップの重要性が一層高まっています。

Twelveの活動は、ハクティビズムの進化を示しています。政治的な動機に基づく攻撃が、より組織化され、高度化していることがわかります。これは、サイバーセキュリティが国家安全保障の問題と密接に関連していることを示唆しています。

一方で、Twelveの活動は、サイバー空間における倫理的な問題も提起しています。政治的な目的であっても、民間企業や重要インフラへの攻撃は正当化されるのでしょうか。この問題は、国際法やサイバー外交の分野で今後さらなる議論が必要となるでしょう。

【用語解説】

  • Mimikatz:
    Windows認証情報を抽出するためのオープンソースツールです。パスワードやハッシュを取得できるため、セキュリティ診断やサイバー攻撃に使用されます。
  • Active Directory:
    Microsoftが開発した、ネットワーク上のリソースやユーザー情報を一元管理するシステムです。企業のIT基盤として広く使用されています。
  • LockBit 3.0:
    進化型のランサムウェアで、データを暗号化して身代金を要求します。以前のバージョンよりも高度で、検出が困難になっています。
  • ハクティビズム:
    「ハッカー」と「アクティビズム」を組み合わせた造語で、政治的・社会的な目的のためにハッキング技術を使用する活動を指します。

【参考リンク】

  1. カスペルスキー公式サイト(外部)
    世界的に有名なサイバーセキュリティ企業。個人・法人向けのセキュリティソリューションを提供しています。
  2. LockBitランサムウェアの解説(カスペルスキー)(外部)
    LockBitランサムウェアの仕組みや特徴、防止策について詳しく解説しています。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Twelveグループが再び: ロシアを標的とする新たなハクティビストの脅威