SOC Prime Bias: 重大

16 Jun 2026 12:58 UTC

インターロックとリシダ:ランサムウェアエコシステムにおけるAI

Author Photo
SOC Prime Team linkedin icon フォローする
インターロックとリシダ:ランサムウェアエコシステムにおけるAI
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

IBM X-Forceの研究により、Interlock(Hive0163)とRhysidaランサムウェアエコシステムの間に強い関連性があることが明らかになりました。このレポートは、マルウェアファミリーの共通、特殊な暗号器、そして調整された初期アクセスブローカーの複雑なネットワークを説明しています。InterlockはNodeSnakeやInterlockRATのようなカスタムツールを使用する非常に成熟した脅威グループと思われ、以前Rhysidaに関連していたオペレーターから進化した可能性があります。

調査

X-Forceは、2年以上にわたりマルウェアサンプル、攻撃チェーン、段階的インフラストラクチャを分析する長期的な研究を行いました。調査により、複数のバックドア全体でのコードの類似性が明らかになり、JunkFictionやTombなどの専用暗号器の開発を追跡しました。また、研究者は脅威アクターと初期アクセスブローカーとの関連を、インフラストラクチャやツールの使用の重複を通じてマッピングしました。

緩和策

組織は、予期しないPowerShellの活動や無許可のレジストリ変更を含む疑わしいプロセス動作を特定するために、強力なエンドポイント検出および応答機能を導入する必要があります。CVE-2026-20131などの脆弱性を含むインターネットに面したネットワークデバイスの迅速なパッチ適用は、悪用のリスクを低減するために不可欠です。厳格なWDAC制御の施行と、承認されていないRMMツールの活動の監視も、侵害後の操作を制限することができます。

対応

InterlockまたはRhysidaの活動が疑われる場合、RDPまたはSOCKS5トンネルを介した横方向の移動を停止するために、影響を受けたシステムを直ちに隔離してください。ステージングインフラストラクチャを徹底的にレビューし、ConnectWise ScreenConnectなどの許可されていないリモート管理ツールを確認してください。不審なPowerShellの実行ログを確認し、スケジュールされたタスクまたはsystemdサービスを含む無許可の変更を調査してください。

攻撃フロー

検知

持続性のあるポイントの可能性 [ASEPs – Software/NTUSER Hive] (レジストリイベント経由)

SOC Prime チーム
2026年6月16日

Powershellを介したダウンロードまたはアップロード(cmdline経由)

SOC Prime チーム
2026年6月16日

可能なシステム列挙(cmdline経由)

SOC Prime チーム
2026年6月16日

リモートシステム探索または接続性チェックの可能性(cmdline経由)

SOC Prime チーム
2026年6月16日

管理者アカウントまたはグループ列挙の可能性(cmdline経由)

SOC Prime チーム
2026年6月16日

不審なドメイン信頼性検出(cmdline経由)

SOC Prime チーム
2026年6月16日

エバージョンチェックの可能性(powershell経由)

SOC Prime チーム
2026年6月16日

自動起動位置の不審なバイナリ/スクリプト(ファイルイベント経由)

SOC Prime チーム
2026年6月16日

コマンドとコントロールチャンネルとしてのTelegramの不正使用の可能性(dns_query経由)

SOC Prime チーム
2026年6月16日

不審なプロセスによって実行されたSteamコミュニティDNSリクエスト(dns_query経由)

SOC Prime チーム
2026年6月16日

検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート3

SOC Prime AIルール
2026年6月16日

検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート2

SOC Prime AIルール
2026年6月16日

検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート1

SOC Prime AIルール
2026年6月16日

検出用IOC(SourceIP):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida

SOC Prime AIルール
2026年6月16日

検出用IOC(DestinationIP):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida

SOC Prime AIルール
2026年6月16日

JunkFictionダウンローダとスケジュールされたPowerShellスクリプト検出 [Windows Powershell]

SOC Prime AIルール
2026年6月16日

SupperバックドアとJunkFictionダウンローダの検出 [Windowsプロセス作成]

SOC Prime AIルール
2026年6月16日

NodeSnakeおよびInterlockRAT活動の検出 [Linuxプロセス作成]

SOC Prime AIルール
2026年6月16日

シミュレーション実行

前提条件:テレメトリーとベースラインプレフライトチェックが合格していること。

根拠:このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行を詳述しています。コマンドと物語は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は、誤診につながります。

  • 攻撃シナリオとコマンド: 敵は、サプライチェーン攻撃(T1195.003)を通じて開発者のワークステーションを上手く侵害しました。彼らは、 InterlockRAT.js という名前の悪意のあるNode.jsペイロードを一時ディレクトリにドロップしました。目標は、持続的なバックドアを確立し、ネットワーク内での横方向移動を促進することです。攻撃者は、 node ランタイムを使用してスクリプトを実行し、トラフィックをトンネルするためのSOCKS5プロキシを初期化する特定の引数を渡します。この特定のコマンドは、既存の検出ロジックをトリガーするように設計されています。

  • 回帰テストスクリプト:

    # マルウェア用のダミーディレクトリを作成
    mkdir -p /tmp/malware_drop
    # 「悪意のある」InterlockRAT.jsファイルを作成
    cat < /tmp/malware_drop/InterlockRAT.js
    // シュミレーションされたマルウェアロジック
    console.log("InterlockRATペイロードを初期化中...");
    EOF
    # ルールをトリガーするために必要な特定の文字列でファイルを実行
    node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5
  • クリーンアップコマンド:

    # シミュレーションされたマルウェアファイルおよびディレクトリを削除
    rm -rf /tmp/malware_drop