SMOKEDHAMバックドアの解説と、ダークサイドグループと国家支援グループの共同ランサムウェア侵攻について
要約
UNC2465という金銭的な動機を持つ脅威アクターが、SMOKEDHAM バックドアを使ってターゲットネットワークに初期アクセスを得ています。このバックドアは、フィッシングメール、トロイの木馬化されたソフトウェア、サプライチェーン攻撃などを通じて配信されます。ネットワーク内部では、Advanced IP Scanner、BloodHound、Mimikatzなどのツールを使って情報収集、横移動、資格情報収集を行っています。過去にはDARKSIDEやLOCKBITランサムウェアを使っていましたが、最近はマルバタイジングや侵害されたソフトウェアを通じてSMOKEDHAMを広めています。また、ランサムウェアグループと国家支援アクターが、機密データの窃取を最大限に活用するために、カスタムツールと正規のツールを組み合わせて使用していることが明らかになりました。組織は、ネットワーク監視、ファイル整合性チェック、エンドポイント検出と対応などの堅牢なセキュリティ対策を実施する必要があります。
詳細分析
主なポイント
- UNC2465という金銭的な動機を持つ脅威アクターが、SMOKEDHAM バックドアを使ってターゲットネットワークに初期アクセスを得ている
- SMOKEDHAMは、フィッシングメール、トロイの木馬化されたソフトウェアで、サプライチェーン攻撃などを通じて配信される
- ネットワーク内部では、Advanced IP Scanner、BloodHound、Mimikatzなどのツールを使って情報収集、横移動、資格情報収集を行っている
- 過去にはDARKSIDEやLOCKBITランサムウェアを使っていたが、最近はマルバタイジングや侵害されたソフトウェアを通じてSMOKEDHAMを広めている
- ランサムウェアグループと国家支援アクターが、Data exfiltration を主要な身代金要求の戦術として利用している
- カスタムツールと正規のツールを組み合わせて使用し、機密データを盗み出している
- Data exfiltration は資源集約的ではなく検出が困難なため、より魅力的な選択肢となっている
社会的影響
- 企業や組織のネットワークが侵害されることで、機密情報の漏洩や業務の停止などの深刻な被害が発生する可能性がある
- サプライチェーン攻撃により、被害が連鎖して広範囲に及ぶ可能性がある
- 個人情報の窃取により、被害者の信用毀損や経済的な損失が発生する可能性がある
- 組織の評判と財務に深刻な被害を与える
- 犯罪と国家支援活動の境界が曖昧になり、脅威の特定と対策が困難になる
- 機密情報の流出による個人情報保護の問題
編集長の意見
1本目の記事にあるように、SMOKEDHAMは、フィッシングメール、トロイの木馬化されたソフトウェアで、サプライチェーン攻撃などを通じて配信されます。そして、2本目のように、ランサムウェアグループと国家支援アクターが協力して、ランサムウェアを仕込みます。仕掛けられた後、UNC2465のような金銭目的のアクターは身代金要求へ。国家支援アクターは金銭目的を隠れ蓑として、裏で、システムから重要な機密情報を静かに盗む方向に動く。というパターンが増えてきているようです。
解説
『SMOKEDHAMバックドアとは?』
SMOKEDHAMバックドアは、2021年5月に初めて報告されたPowerShellベースの.NETバックドアであり、主にUNC2465という脅威グループによって使用されています。
このバックドアは、トロイの木馬化されたソフトウェアインストーラーを介して侵入し、システムに対して高度な操作を行うことができます。
「どういう機能か?そしてどういう挙動?」
【初期アクセス】
SMOKEDHAMは、正規のウェブサイトからダウンロードされたトロイの木馬化されたインストーラーを通じて初期アクセスを得ます。
この手法は、サプライチェーン攻撃として知られています。具体的には、CCTVセキュリティカメラプロバイダーのウェブサイトからインストーラーが改ざんされました事例がありました。
【コマンドと制御】
SMOKEDHAMはHTTPSを使用してC2サーバーと通信し、コマンドを受信して実行します。これには、ユーザーアカウントの列挙や新しいアカウントの作成が含まれます。
【データ収集】
このバックドアは、スクリーンキャプチャやキーストロークの記録など、さまざまなデータ収集機能を持っています。収集したデータはC2サーバーに送信されます。
【持続性】
SMOKEDHAMはレジストリキーを変更して持続性を確保し、新たに作成したユーザーアカウントを隠すことができます。
また、UltraVNCやNGROKなどのツールを使用してリモートアクセスを確立します。
【UNC2465との関連性】
UNC2465はDARKSIDEランサムウェアグループの一部であり、このバックドアを利用して企業ネットワークへの侵入を試みています。
彼らはサプライチェーン攻撃手法を用いており、特定のソフトウェアインストーラーをターゲットにしています。
このような手法は、従来のフィッシング攻撃よりも効果的であるとされています。
【まとめ】
SMOKEDHAMバックドアは、その高度な機能とUNC2465による利用から、サイバーセキュリティ上の重大な脅威となっています。企業はこのような攻撃に対抗するために、エンドポイントでの監視や多層防御戦略を強化する必要があります。
『国家支援攻撃グループと金銭目的のダークサイドグループが組むわけ』
【相互利益の構造】
- 国家支援グループ=
・情報収集という本来の目的
・攻撃の痕跡を隠蔽したい - ダークサイドグループ=
・金銭的利益
・高度な技術的能力
・攻撃インフラの活用
【戦略的な隠蔽メカニズム】
国家支援グループにとって、ランサムウェア攻撃は完璧な「偽装」となります。金銭目的の攻撃に見せかけることで、情報収集活動の痕跡を消すことができるのです。
【技術的な相互補完】
- ダークサイドグループ:高度な侵入・攻撃技術
- 国家支援グループ:戦略的な情報収集能力
【リスク分散】
- 攻撃の責任を分散
- 直接的な国家関与を隠蔽
- 法的リスクの軽減
比喩的に説明すると、これは「忍者と商人の秘密の契約」のようなものです。
忍者(国家支援グループ)は特殊な任務を遂行し、商人(ダークサイドグループ)は利益を得る。
双方が相手の能力を利用し、自らのリスクを最小限に抑えているのです。
【地政学的背景】
- サイバー空間は新たな「戦場」
- 伝統的な軍事力とは異なる情報戦
- 柔軟で匿名性の高い作戦が可能
重要なポイントは、この関係が単なる犯罪を超えた、戦略的かつ複雑な相互作用だということです。
単純な金銭目的を超えた、より深い地政学的な力学が働いているの点です。
この関係は、現代のサイバー空間における新たな「戦争」の形態を象徴していると言えるでしょう。
国家、犯罪グループ、技術– これらが複雑に絡み合う、21世紀型の情報戦略なのです。
このような攻撃の想定されるシナリオを簡単に書きますと、
【初期侵入アクション】
SMOKEDHAMバックドアなどを利用して侵入
【表面的な攻撃(ランサムウェア)】
- 攻撃者がシステムに侵入
- データを暗号化
- 身代金の支払いを要求
- これは攻撃の「偽装」の役割を果たします
【その裏で、隠れた情報収集】
攻撃中に、システム内の重要な機密情報を密かに収集
例えば、
- 企業の戦略文書
- 政府の内部メモ
- 技術仕様
- 個人情報データベース
などが考えられます。
【これらの攻撃の目的は?】
- 金銭的利益(身代金)は「おとり」
- 本当の目的は情報収集
- 国家や組織の戦略的利益のため
これらのアプローチの狡猾さは、攻撃の注意を身代金という「騒々しい」目的に向けさせながら、本当の狙いである情報収集を静かに実行できる点にあります。 人間の思考や注意を巧みにだまし、最終的な目的を隠蔽する高度な戦略と言えるでしょう。
背景情報
- UNC2465は金銭的な動機を持つ脅威アクターグループ
- SMOKEDHAMはバックドアツールで、ターゲットネットワークへの初期アクセスを得るために使われている
- 攻撃者はフィッシングメール、トロイの木馬化されたソフトウェア、サプライチェーン攻撃などの手段を使ってSMOKEDHAMを配信している
- ネットワーク内部では、Advanced IP Scanner、BloodHound、Mimikatzなどの情報収集ツールを使っている
- 従来のファイル暗号化攻撃は組織の復旧能力が高まっているため、攻撃者はData exfiltration に移行している
- ランサムウェアグループと国家支援アクターが協力して能力を高め、相互の目的を達成している
- 高価値のデータ(金融、保険、政府情報など)を狙っている