SOC Prime Bias: 重大

16 Jun 2026 12:58 UTC
newspaper icon ibm.com

インターロックとリシダ:ランサムウェアエコシステムにおけるAI

Author Photo
SOC Prime Team linkedin icon フォローする
インターロックとリシダ:ランサムウェアエコシステムにおけるAI
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

IBM X-Forceの研究により、Interlock(Hive0163)とRhysidaランサムウェアエコシステムの間に強い関連性があることが明らかになりました。このレポートは、マルウェアファミリーの共通、特殊な暗号器、そして調整された初期アクセスブローカーの複雑なネットワークを説明しています。InterlockはNodeSnakeやInterlockRATのようなカスタムツールを使用する非常に成熟した脅威グループと思われ、以前Rhysidaに関連していたオペレーターから進化した可能性があります。

調査

X-Forceは、2年以上にわたりマルウェアサンプル、攻撃チェーン、段階的インフラストラクチャを分析する長期的な研究を行いました。調査により、複数のバックドア全体でのコードの類似性が明らかになり、JunkFictionやTombなどの専用暗号器の開発を追跡しました。また、研究者は脅威アクターと初期アクセスブローカーとの関連を、インフラストラクチャやツールの使用の重複を通じてマッピングしました。

緩和策

組織は、予期しないPowerShellの活動や無許可のレジストリ変更を含む疑わしいプロセス動作を特定するために、強力なエンドポイント検出および応答機能を導入する必要があります。CVE-2026-20131などの脆弱性を含むインターネットに面したネットワークデバイスの迅速なパッチ適用は、悪用のリスクを低減するために不可欠です。厳格なWDAC制御の施行と、承認されていないRMMツールの活動の監視も、侵害後の操作を制限することができます。

対応

InterlockまたはRhysidaの活動が疑われる場合、RDPまたはSOCKS5トンネルを介した横方向の移動を停止するために、影響を受けたシステムを直ちに隔離してください。ステージングインフラストラクチャを徹底的にレビューし、ConnectWise ScreenConnectなどの許可されていないリモート管理ツールを確認してください。不審なPowerShellの実行ログを確認し、スケジュールされたタスクまたはsystemdサービスを含む無許可の変更を調査してください。

graph TB %% クラス定義 classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef evasion fill:#bbf,stroke:#333,stroke-width:2px classDef execution fill:#dfd,stroke:#333,stroke-width:2px classDef persistence fill:#fdd,stroke:#333,stroke-width:2px classDef command_control fill:#ffd,stroke:#333,stroke-width:2px classDef discovery fill:#dff,stroke:#333,stroke-width:2px classDef lateral_movement fill:#dcd,stroke:#333,stroke-width:2px classDef impact fill:#f99,stroke:#333,stroke-width:2px classDef tool_malware fill:#eee,stroke:#333,stroke-width:1px %% 初期アクセス段階 action_drive_by[“<b>アクション</b> – <b idea=’T1189 ドライブバイ侵害'</b><br/>被害者は不正なWebサイト、<br/>悪意のある広告、または検索エンジンのリダイレクトによって誘導される。”] class action_drive_by initial_access action_content_injection[“<b>アクション</b> – <b idea=’T1204 コンテンツインジェクション'</b><br/>TAG-124 や ClickFix などの<br/>トラフィック分散システム(TDS)を利用して<br/>ユーザーをリダイレクトする。”] class action_content_injection initial_access action_subvert_trust[“<b>アクション</b> – <b idea=’T1553 信頼制御の回避: コード署名'</b><br/>Foshan Yongqiheng Trading Co., Ltd. などの<br/>不正な証明書を使用する。”] class action_subvert_trust evasion %% 実行および転送段階 action_user_exec[“<b>アクション</b> – <b idea=’T1204 ユーザー実行'</b><br/>トロイ化されたインストーラー<br/>(Microsoft Teams、Chrome、Edge など)を実行する。”] class action_user_exec execution malware_initial_payload[“<b>マルウェア</b> – <b idea=’Payloads’>JunkFiction、NodeSnake、Endico</b><br/>ユーザー操作によって実行される<br/>初期段階のダウンローダー。”] class malware_initial_payload tool_malware action_ingress_transfer[“<b>アクション</b> – <b idea=’T1105 Ingress Tool Transfer'</b><br/>リモートのコマンド&コントロールサーバーから<br/>第2段階マルウェアを取得する。”] class action_ingress_transfer execution malware_second_stage[“<b>マルウェア</b> – <b idea=’Backdoors’>Supper または InterlockRAT</b><br/>リモートアクセスを可能にする<br/>第2段階バックドア。”] class malware_second_stage tool_malware %% 永続化段階 action_persistence_linux[“<b>アクション</b> – <b idea=’T1543.003 ブートまたはログオン初期化スクリプト: Systemdサービス'</b><br/>Linux版NodeSnakeが<br/>新しいsystemdサービスを作成する。”] class action_persistence_linux persistence action_persistence_windows[“<b>アクション</b> – <b idea=’T1547 Unixシェル設定変更’>Windows永続化</b><br/>シェル設定の変更を利用して<br/>アクセス状態を維持する。”] class action_persistence_windows persistence %% コマンド&コントロール段階 action_c2[“<b>アクション</b> – <b idea=’T1219 リモートアクセスソフトウェア'</b><br/>リバースシェルおよび<br/>SOCKS5トンネルを使用して<br/>隠密通信を確立する。”] class action_c2 command_control %% 探索段階 action_discovery_domain[“<b>アクション</b> – <b idea=’T1087.002 アカウント探索: ドメインアカウント'</b><br/>net user /domain などの<br/>コマンドを使用してドメインアカウントを列挙する。”] class action_discovery_domain discovery action_discovery_groups[“<b>アクション</b> – <b idea=’T1069.002 権限グループ探索: ドメイングループ'</b><br/>net group domain admins /domain などを使用して<br/>グループ情報を収集する。”] class action_discovery_groups discovery %% 横展開および影響段階 action_lateral_move[“<b>アクション</b> – <b idea=’T1210 リモートサービスの悪用'</b><br/>リバースシェル経由で開始されたRDPセッションを使用して<br/>環境内を横展開する。”] class action_lateral_move lateral_movement action_selective_exclusion[“<b>アクション</b> – <b idea=’Defense Evasion’>選択的除外</b><br/>Microsoft Defender や Sophos EDR を拒否するため<br/>カスタムWDACポリシーを展開する。”] class action_selective_exclusion evasion action_impact_encryption[“<b>アクション</b> – <b idea=’T1486 影響のためのデータ暗号化'</b><br/>Interlock または Rhysida ランサムウェアを展開し、<br/>被害者ファイルを暗号化する。”] class action_impact_encryption impact %% 接続 action_drive_by –>|促進する| action_content_injection action_content_injection –>|つながる| action_user_exec action_user_exec –>|使用する| malware_initial_payload malware_initial_payload –>|必要とする| action_subvert_trust malware_initial_payload –>|起動する| action_ingress_transfer action_ingress_transfer –>|ダウンロードする| malware_second_stage malware_second_stage –>|確立する| action_persistence_linux malware_second_stage –>|確立する| action_persistence_windows malware_second_stage –>|有効化する| action_c2 action_c2 –>|実行する| action_discovery_domain action_c2 –>|実行する| action_discovery_groups action_discovery_domain –>|情報提供する| action_lateral_move action_discovery_groups –>|情報提供する| action_lateral_move action_lateral_move –>|つながる| action_selective_exclusion action_selective_exclusion –>|先行する| action_impact_encryption

攻撃フロー

検知

持続性のあるポイントの可能性 [ASEPs – Software/NTUSER Hive] (レジストリイベント経由)

SOC Prime チーム
2026年6月16日

表示

Powershellを介したダウンロードまたはアップロード(cmdline経由)

SOC Prime チーム
2026年6月16日

表示

可能なシステム列挙(cmdline経由)

SOC Prime チーム
2026年6月16日

表示

リモートシステム探索または接続性チェックの可能性(cmdline経由)

SOC Prime チーム
2026年6月16日

表示

管理者アカウントまたはグループ列挙の可能性(cmdline経由)

SOC Prime チーム
2026年6月16日

表示

不審なドメイン信頼性検出(cmdline経由)

SOC Prime チーム
2026年6月16日

表示

エバージョンチェックの可能性(powershell経由)

SOC Prime チーム
2026年6月16日

表示

自動起動位置の不審なバイナリ/スクリプト(ファイルイベント経由)

SOC Prime チーム
2026年6月16日

表示

コマンドとコントロールチャンネルとしてのTelegramの不正使用の可能性(dns_query経由)

SOC Prime チーム
2026年6月16日

表示

不審なプロセスによって実行されたSteamコミュニティDNSリクエスト(dns_query経由)

SOC Prime チーム
2026年6月16日

表示

検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート3

SOC Prime AIルール
2026年6月16日

表示

検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート2

SOC Prime AIルール
2026年6月16日

表示

検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート1

SOC Prime AIルール
2026年6月16日

表示

検出用IOC(SourceIP):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida

SOC Prime AIルール
2026年6月16日

表示

検出用IOC(DestinationIP):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida

SOC Prime AIルール
2026年6月16日

表示

JunkFictionダウンローダとスケジュールされたPowerShellスクリプト検出 [Windows Powershell]

SOC Prime AIルール
2026年6月16日

表示

SupperバックドアとJunkFictionダウンローダの検出 [Windowsプロセス作成]

SOC Prime AIルール
2026年6月16日

表示

NodeSnakeおよびInterlockRAT活動の検出 [Linuxプロセス作成]

SOC Prime AIルール
2026年6月16日

表示

シミュレーション実行

前提条件:テレメトリーとベースラインプレフライトチェックが合格していること。

根拠:このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行を詳述しています。コマンドと物語は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は、誤診につながります。

  • 攻撃シナリオとコマンド: 敵は、サプライチェーン攻撃(T1195.003)を通じて開発者のワークステーションを上手く侵害しました。彼らは、 InterlockRAT.js という名前の悪意のあるNode.jsペイロードを一時ディレクトリにドロップしました。目標は、持続的なバックドアを確立し、ネットワーク内での横方向移動を促進することです。攻撃者は、 node ランタイムを使用してスクリプトを実行し、トラフィックをトンネルするためのSOCKS5プロキシを初期化する特定の引数を渡します。この特定のコマンドは、既存の検出ロジックをトリガーするように設計されています。

  • 回帰テストスクリプト:

    # マルウェア用のダミーディレクトリを作成
mkdir -p /tmp/malware_drop
# 「悪意のある」InterlockRAT.jsファイルを作成
cat < /tmp/malware_drop/InterlockRAT.js
// シュミレーションされたマルウェアロジック
console.log("InterlockRATペイロードを初期化中...");
EOF
# ルールをトリガーするために必要な特定の文字列でファイルを実行
node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5

  • クリーンアップコマンド:

    # シミュレーションされたマルウェアファイルおよびディレクトリを削除
rm -rf /tmp/malware_drop

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加