SOC Prime Bias:

17 12月 2025 16:49
newspaper icon picussecurity.com

FunkSec の RaaS オペレーション: ハクティビズムとサイバー犯罪の融合

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
FunkSec の RaaS オペレーション: ハクティビズムとサイバー犯罪の融合
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

FunkSecは2024年末に登場したランサムウェア・アズ・ア・サービスのグループで、複数の被害者を報告しつつ小額の身代金を要求しています。このRustベースのマルウェアは、ChaCha20暗号方式を用いてデータを暗号化し、影響を受けたファイルに.funksec拡張子を追加します。ランサムウェア以外にも、DDoS、リモートデスクトップアクセス、資格情報生成用の補助ツールを流通させています。FunkSecはハクティビストのレトリックと金銭的な恐喝を組み合わせています。

調査

分析では、オペレーターが大規模な言語モデルをどのように利用してコードと通信を作成するか、特権の昇格にPowerShellを使用し、暗号化前にセキュリティコントロールを無効化する方法を説明しています。終了したプロセスとサービスを列挙し、暗号化のワークフローを概説し、ビットコイン支払いアドレスを含む身代金要求の構造を要約しています。追加コンポーネントとしてFDDOS、JQRAXY_HVNC、funkgenerateが、より広範なツールキットの一部として文書化されています。

緩和策

防御者はPowerShellの実行ポリシーを厳格化し、Windows Defenderの無効化やシャドウコピーの削除の試みを監視し、既知の悪意あるプロセスの起動を防ぐべきです。FunkSecのシミュレーションをセキュリティ検証プラットフォームで実行することで、コントロールのギャップを明らかにできます。指摘されたプロセスとサービスの終了について、検出コンテンツを最新の状態に保つことで、早期の特定が可能になります。

対応

活動が検出された場合、影響を受けたホストを隔離し、.funksec拡張子を確認し、揮発性の証拠を収集します。インシデント対応プレイブックを起動し、バックアップから復旧し、特定のPowerShellコマンドや身代金要求テキストなどの指標を探します。脅威インテリジェンスを使用して関連するインフラを監視および相関させます。

graph TB %% クラス定義 classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% ノード action_check_privileges[“<b>アクション</b> – 権限の確認(net session)<br/><b>テクニック</b> – T1087(アカウント探索)<br/>現在のユーザーが管理者権限を持っているかを判断”] class action_check_privileges action action_elevate[“<b>アクション</b> – PowerShell による昇格<br/><b>テクニック</b> – T1548.002<br/>ユーザー アカウント制御を回避して管理者権限を取得”] class action_elevate action action_disable_defender[“<b>アクション</b> – Windows Defender を無効化<br/><b>テクニック</b> – T1562.001<br/>組み込みアンチウイルスをオフにして防御を低下”] class action_disable_defender action action_disable_logging[“<b>アクション</b> – イベント ログの無効化とログの消去<br/><b>テクニック</b> – T1562.002, T1070.001<br/>Windows Event Log サービスを停止し、既存のログ エントリを消去”] class action_disable_logging action action_delete_shadow[“<b>アクション</b> – ボリューム シャドウ コピーの削除<br/><b>テクニック</b> – T1490<br/>システム復元を防ぐために復旧ポイントを削除”] class action_delete_shadow action action_terminate_processes[“<b>アクション</b> – セキュリティ/Office プロセスの終了<br/><b>テクニック</b> – T1059.001, T1059.003<br/>PowerShell と Windows コマンド シェルを使用して Defender と Office のバイナリを終了”] class action_terminate_processes action action_encrypt[“<b>アクション</b> – ファイルの暗号化(ChaCha20)<br/><b>テクニック</b> – T1486<br/>身代金要求のために被害者データを暗号化”] class action_encrypt action action_exfiltrate[“<b>アクション</b> – C2 経由でのデータ流出<br/><b>テクニック</b> – T1041<br/>収集したファイルを commandu2011andu2011control チャネル経由で送信”] class action_exfiltrate action action_drop_note[“<b>アクション</b> – 身代金メモの配置”] class action_drop_note action action_ddos[“<b>アクション</b> – FDDOS を用いた任意の DDoS<br/><b>テクニック</b> – T1498, T1499.002<br/>対象ネットワークに対してフラッド攻撃を実行”] class action_ddos action %% 接続 action_check_privileges u002du002d>|管理者でない| action_elevate action_elevate u002du002d>|使用| action_disable_defender action_disable_defender u002du002d>|次へ| action_disable_logging action_disable_logging u002du002d>|次へ| action_delete_shadow action_delete_shadow u002du002d>|次へ| action_terminate_processes action_terminate_processes u002du002d>|次へ| action_encrypt action_encrypt u002du002d>|次へ| action_exfiltrate action_exfiltrate u002du002d>|次へ| action_drop_note action_drop_note u002du002d>|任意| action_ddos

攻撃フロー

シミュレーションの実行

前提条件:テレメトリとベースライン事前検査が通過していること。

理論根拠:このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)を正確に実行します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

  • 攻撃のシナリオとコマンド:

    1. ランサムウェアのペイロードを昇格させる: 攻撃者はPowerShellの Start-Process -Verb runas コマンドを使って、不正なスクリプト(FunkSec.exe)を管理者権限で再実行し、ルールが監視しているコマンドラインパターンに一致させます。
    2. 全てのシャドウコピーを削除する: 昇格後すぐに、攻撃者は vssadmin delete shadows /all /quiet を実行し、システムの復元ポイントを消去し、ルールの第2の条件を満たします。
    3. 両方のコマンドは同じユーザーコンテキストから連続して実行され、Sigmaルールの相関ウィンドウ内に表示されることを保証します。

  • 回帰テストスクリプト: 以下のスクリプトは正確な動作を再現します。前述のログ構成が施されたWindowsホストで実行してください。

    # ==============================
# FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation
# ==============================
# 1. Define path to the (dummy) malicious binary.
$maliciousExe = "$env:ProgramDataFunkSec.exe"
# Create a dummy file to act as the ransomware payload.
New-Item -Path $maliciousExe -ItemType File -Force | Out-Null

# 2. Relaunch the dummy payload with elevated privileges.
$elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
Write-Host "Executing elevated launch..."
Invoke-Expression $elevatedCmd

# 3. Delete all Volume Shadow Copies.
Write-Host "Deleting all shadow copies..."
vssadmin delete shadows /all /quiet

# Cleanup dummy payload (optional, for test hygiene)
Remove-Item -Path $maliciousExe -Force

  • クリーンアップコマンド: シミュレーション中に作成されたアーティファクトを削除します。

    # Ensure dummy executable is gone
$maliciousExe = "$env:ProgramDataFunkSec.exe"
if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }

# Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless)
Write-Host "Cleanup complete."

SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

無料で参加