SOC Prime Bias:

17 Dec 2025 13:49 UTC

FunkSec の RaaS オペレーション: ハクティビズムとサイバー犯罪の融合

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
FunkSec の RaaS オペレーション: ハクティビズムとサイバー犯罪の融合
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

FunkSecは2024年末に登場したランサムウェア・アズ・ア・サービスのグループで、複数の被害者を報告しつつ小額の身代金を要求しています。このRustベースのマルウェアは、ChaCha20暗号方式を用いてデータを暗号化し、影響を受けたファイルに.funksec拡張子を追加します。ランサムウェア以外にも、DDoS、リモートデスクトップアクセス、資格情報生成用の補助ツールを流通させています。FunkSecはハクティビストのレトリックと金銭的な恐喝を組み合わせています。

調査

分析では、オペレーターが大規模な言語モデルをどのように利用してコードと通信を作成するか、特権の昇格にPowerShellを使用し、暗号化前にセキュリティコントロールを無効化する方法を説明しています。終了したプロセスとサービスを列挙し、暗号化のワークフローを概説し、ビットコイン支払いアドレスを含む身代金要求の構造を要約しています。追加コンポーネントとしてFDDOS、JQRAXY_HVNC、funkgenerateが、より広範なツールキットの一部として文書化されています。

緩和策

防御者はPowerShellの実行ポリシーを厳格化し、Windows Defenderの無効化やシャドウコピーの削除の試みを監視し、既知の悪意あるプロセスの起動を防ぐべきです。FunkSecのシミュレーションをセキュリティ検証プラットフォームで実行することで、コントロールのギャップを明らかにできます。指摘されたプロセスとサービスの終了について、検出コンテンツを最新の状態に保つことで、早期の特定が可能になります。

対応

活動が検出された場合、影響を受けたホストを隔離し、.funksec拡張子を確認し、揮発性の証拠を収集します。インシデント対応プレイブックを起動し、バックアップから復旧し、特定のPowerShellコマンドや身代金要求テキストなどの指標を探します。脅威インテリジェンスを使用して関連するインフラを監視および相関させます。

攻撃フロー

シミュレーションの実行

前提条件:テレメトリとベースライン事前検査が通過していること。

理論根拠:このセクションでは、検出ルールをトリガーするために設計された敵の技術(TTP)を正確に実行します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。

  • 攻撃のシナリオとコマンド:

    1. ランサムウェアのペイロードを昇格させる: 攻撃者はPowerShellの Start-Process -Verb runas コマンドを使って、不正なスクリプト(FunkSec.exe)を管理者権限で再実行し、ルールが監視しているコマンドラインパターンに一致させます。
    2. 全てのシャドウコピーを削除する: 昇格後すぐに、攻撃者は vssadmin delete shadows /all /quiet を実行し、システムの復元ポイントを消去し、ルールの第2の条件を満たします。
    3. 両方のコマンドは同じユーザーコンテキストから連続して実行され、Sigmaルールの相関ウィンドウ内に表示されることを保証します。
  • 回帰テストスクリプト: 以下のスクリプトは正確な動作を再現します。前述のログ構成が施されたWindowsホストで実行してください。

    # ==============================
    # FunkSec Ransomware Escalation & Shadow Copy Deletion Simulation
    # ==============================
    # 1. Define path to the (dummy) malicious binary.
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    # Create a dummy file to act as the ransomware payload.
    New-Item -Path $maliciousExe -ItemType File -Force | Out-Null
    
    # 2. Relaunch the dummy payload with elevated privileges.
    $elevatedCmd = "Start-Process -Wait -Verb runas -FilePath `"$maliciousExe`" -ArgumentList ''"
    Write-Host "Executing elevated launch..."
    Invoke-Expression $elevatedCmd
    
    # 3. Delete all Volume Shadow Copies.
    Write-Host "Deleting all shadow copies..."
    vssadmin delete shadows /all /quiet
    
    # Cleanup dummy payload (optional, for test hygiene)
    Remove-Item -Path $maliciousExe -Force
  • クリーンアップコマンド: シミュレーション中に作成されたアーティファクトを削除します。

    # Ensure dummy executable is gone
    $maliciousExe = "$env:ProgramDataFunkSec.exe"
    if (Test-Path $maliciousExe) { Remove-Item -Path $maliciousExe -Force }
    
    # Verify no lingering shadow copy delete remnants – (no action needed as vssadmin is stateless)
    Write-Host "Cleanup complete."