Last Updated on 2024-09-21 09:11 by admin
ロシアを標的とするハクティビストグループ「Twelve」の活動が、カスペルスキー社の研究者によって分析された。Twelveは2023年4月に出現し、ロシアの政府機関や企業を攻撃している。
主な特徴:
- LockBit 3.0やChaosベースのランサムウェアを使用
- データ暗号化後にワイパーを展開し、インフラを破壊
- 身代金要求ではなく、最大限の損害を与えることが目的
攻撃手法:
- 初期アクセスは主に請負業者を経由
- Active Directoryの脆弱性を悪用して横展開
- グループポリシーを利用してマルウェアを配布
使用ツール:
- Mimikatz、BloodHound、PowerViewなどの公開ツール
- Ngrokによるトンネリング
- Cobalt Strikeフレームワーク
2024年6月末の攻撃で、Twelveグループの活動再開が確認された。グループはDAKSTAR(旧Shadow、COMET)ランサムウェアグループとインフラや手法を共有している。
【編集部解説】
Twelveグループの活動は、サイバー戦争の新たな局面を示しています。このグループは、金銭的な利益を追求するのではなく、標的組織に最大限の損害を与えることを目的としています。これは、サイバー攻撃の動機が多様化していることを示しています。
Twelveの特徴的な点は、公開されているツールやマルウェアを巧みに組み合わせて使用していることです。これは、高度な技術を持たなくても深刻な被害を引き起こせることを意味しています。企業や組織は、既知の脆弱性への対策だけでなく、正規のツールの悪用にも注意を払う必要があります。
グループの攻撃手法は、初期アクセスから横展開、データ窃取、そして最終的な破壊活動まで、非常に体系的です。これは、サイバー攻撃が単なる技術的な問題ではなく、組織全体のセキュリティ態勢の問題であることを示しています。
特に注目すべきは、Twelveがランサムウェアとワイパーを組み合わせて使用している点です。これは、被害者がデータを復旧する可能性を極限まで低下させる狙いがあります。このような攻撃に対しては、オフラインバックアップの重要性が一層高まっています。
Twelveの活動は、ハクティビズムの進化を示しています。政治的な動機に基づく攻撃が、より組織化され、高度化していることがわかります。これは、サイバーセキュリティが国家安全保障の問題と密接に関連していることを示唆しています。
一方で、Twelveの活動は、サイバー空間における倫理的な問題も提起しています。政治的な目的であっても、民間企業や重要インフラへの攻撃は正当化されるのでしょうか。この問題は、国際法やサイバー外交の分野で今後さらなる議論が必要となるでしょう。