Last Updated on 2025-03-24 11:48 by admin
2025年3月、サイバーセキュリティ企業Kasperskyの新たな調査結果により、「Head Mare」と「Twelve」という2つのサイバー脅威グループがロシアの組織を標的に連携している可能性が高いことが明らかになった。
両グループは2024年9月に初めてKasperskyによって確認された。Head Mareは、WinRARの脆弱性(CVE-2023-38831)を悪用して初期アクセスを獲得し、LockBitやBabukなどのランサムウェアを展開していた。一方、Twelveは被害者のデータを暗号化し、ワイパーでインフラを破壊する攻撃を行っていた。
最新の分析では、Head MareがTwelveに関連したツールやコマンド・アンド・コントロール(C2)サーバーを使用していることが判明した。また、Head Mareは「CobInt」というバックドアと「PhantomJitter」という特注のインプラントを新たに使用している。
Head Mareの攻撃手法には、Microsoft Exchange Serverの脆弱性(CVE-2021-26855、通称ProxyLogon)の悪用、フィッシングメール、請負業者のネットワーク侵害などが含まれる。攻撃者はイベントログの消去やプロキシツールの使用など、高度な痕跡隠蔽技術も採用している。
この報告に関連して、北朝鮮のハッカーグループScarCruft(別名APT37)が2024年12月にフィッシングキャンペーンを展開し、未知のペイロードを配信していたことも明らかになった。また、2024年10月には東南アジアを標的としたSHROUDED#SLEEPキャンペーンが確認されている。
さらに、2025年2月にはBloody Wolfというグループがカザフスタンとロシアで400以上のシステムを侵害し、NetSupport RATを配信していたことが報告された。
これらの一連の攻撃は、サイバー犯罪グループ間の連携や技術共有が新たな脅威として浮上していることを示している。
from:Kaspersky Links Head Mare to Twelve, Targeting Russian Entities via Shared C2 Servers
【編集部解説】
サイバー攻撃の世界では、攻撃者グループ間の連携や技術共有が新たな脅威の形として浮上しています。今回Kasperskyが明らかにした「Head Mare」と「Twelve」の連携の可能性は、サイバー犯罪グループが単独ではなく、協力して標的を攻撃する傾向が強まっていることを示す重要な事例といえるでしょう。
特に注目すべきは、これらのグループが使用する攻撃手法の多様性と洗練度です。初期アクセスから横方向移動、データ窃取、そして最終的なランサムウェア展開まで、一連の攻撃チェーンが非常に体系的に構築されています。また、請負業者のネットワークを経由する「信頼関係攻撃」は、サプライチェーンの弱点を突く高度な戦術であり、直接的な防御だけでは不十分であることを示しています。
これらのグループが使用するツールの中には、「CobInt」や「PhantomJitter」のような特化型マルウェアと、Mimikatzやfscanなどの一般に入手可能なハッキングツールの両方が含まれていることも興味深いポイントです。この「既製品と特注品の組み合わせ」というアプローチは、攻撃の効率性と検出回避能力を高めています。
また、複数の情報源から確認できるように、Head Mareは2023年から活動を開始し、主にロシアとベラルーシの組織を標的にしていることが分かっています。これは地政学的な文脈、特にロシア・ウクライナ紛争との関連性を示唆しています。実際、Kasperskyの報告によれば、Head Mareはロシア・ウクライナ紛争の文脈でロシア企業を標的にする多くのハクティビストグループの一つとされています。
このような高度なサイバー攻撃グループの連携は、企業や組織のセキュリティ体制に大きな課題をもたらします。特に、既知の脆弱性(WinRARのCVE-2023-38831やMicrosoft Exchange ServerのProxyLogon)が依然として攻撃に利用されているという事実は、パッチ管理の重要性を改めて浮き彫りにしています。
さらに、これらのグループがランサムウェア攻撃を実行していることは、サイバー犯罪の経済的動機と政治的動機が融合している可能性を示唆しています。ハクティビズム(政治的動機によるハッキング活動)とランサムウェア攻撃(経済的動機)の境界が曖昧になりつつあるのかもしれません。
企業や組織にとって、このような脅威に対処するためには、単なる技術的対策だけでなく、サプライチェーン全体のセキュリティ強化や、請負業者との関係における安全性確保など、より包括的なアプローチが必要となっています。また、パッチ管理の徹底や、異常な活動を検知するための監視体制の強化も不可欠です。
このケースは、サイバーセキュリティの世界が常に進化し続けていることを示す好例であり、防御側も同様に進化し続ける必要があることを私たちに教えてくれています。技術の発展とともに、サイバー攻撃の手法も複雑化・高度化していくことは避けられません。そのため、最新の脅威情報を常に把握し、適切な対策を講じることが、今後ますます重要になっていくでしょう。
【用語解説】
C2(コマンド・アンド・コントロール)サーバー:
マルウェアに感染したシステムを遠隔操作するためのサーバーである。これは、ハッカーが侵入したコンピューターに指示を送り、データを盗み出すための「司令塔」のような役割を果たす。
ProxyLogon:
2021年に発見されたMicrosoft Exchange Serverの重大な脆弱性で、認証なしでリモートコード実行を可能にする。これにより攻撃者はパスワードなしでサーバーに侵入し、管理者権限を取得できる。
ワイパー:
データを完全に破壊するマルウェアで、ランサムウェアと異なり、復元の可能性を残さない。
横方向移動(ラテラルムーブメント):
攻撃者がネットワーク内の1つのシステムから別のシステムへ移動する技術である。
CobInt:
Cobaltグループが開発したバックドアで、侵害されたシステムの初期情報収集やデスクトップのビデオストリーミングなどの機能を持つ。
PhantomJitter:
Head Mareグループが使用する特注のインプラントで、リモートコマンド実行のためにサーバーにインストールされる。
信頼関係攻撃(trusted relationship attack):
請負業者など信頼された第三者のネットワークを侵害し、そこから標的組織に侵入する手法である
【参考リンク】
Kaspersky(カスペルスキー)(外部)
ロシアに本社を置く世界的なサイバーセキュリティ企業で、ウイルス対策ソフトウェアの開発・提供を行っている
WinRAR(外部)
ファイル圧縮・解凍ソフトウェアで、多くの圧縮形式に対応している
Microsoft Exchange Server(外部)
マイクロソフトが提供する企業向けメールサーバーソフトウェア
【編集部後記】
みなさん、サイバーセキュリティの世界は日々進化しています。今回のHead MareとTwelveの連携のように、攻撃者たちも常に新しい手法を編み出しています。でも、これは私たちにとってチャンスでもあるんです。自分のデジタルライフを守るために、少しずつでも知識を増やしていくのはいかがでしょうか?例えば、普段使っているソフトの最新アップデートを確認したり、怪しいメールの見分け方を学んだりするのも良いかもしれません。みなさんは、日常生活でどんなセキュリティ対策をしていますか?ぜひ、SNSで教えてください!
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
