インターロックとリシダ:ランサムウェアエコシステムにおけるAI
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
IBM X-Forceの研究により、Interlock(Hive0163)とRhysidaランサムウェアエコシステムの間に強い関連性があることが明らかになりました。このレポートは、マルウェアファミリーの共通、特殊な暗号器、そして調整された初期アクセスブローカーの複雑なネットワークを説明しています。InterlockはNodeSnakeやInterlockRATのようなカスタムツールを使用する非常に成熟した脅威グループと思われ、以前Rhysidaに関連していたオペレーターから進化した可能性があります。
調査
X-Forceは、2年以上にわたりマルウェアサンプル、攻撃チェーン、段階的インフラストラクチャを分析する長期的な研究を行いました。調査により、複数のバックドア全体でのコードの類似性が明らかになり、JunkFictionやTombなどの専用暗号器の開発を追跡しました。また、研究者は脅威アクターと初期アクセスブローカーとの関連を、インフラストラクチャやツールの使用の重複を通じてマッピングしました。
緩和策
組織は、予期しないPowerShellの活動や無許可のレジストリ変更を含む疑わしいプロセス動作を特定するために、強力なエンドポイント検出および応答機能を導入する必要があります。CVE-2026-20131などの脆弱性を含むインターネットに面したネットワークデバイスの迅速なパッチ適用は、悪用のリスクを低減するために不可欠です。厳格なWDAC制御の施行と、承認されていないRMMツールの活動の監視も、侵害後の操作を制限することができます。
対応
InterlockまたはRhysidaの活動が疑われる場合、RDPまたはSOCKS5トンネルを介した横方向の移動を停止するために、影響を受けたシステムを直ちに隔離してください。ステージングインフラストラクチャを徹底的にレビューし、ConnectWise ScreenConnectなどの許可されていないリモート管理ツールを確認してください。不審なPowerShellの実行ログを確認し、スケジュールされたタスクまたはsystemdサービスを含む無許可の変更を調査してください。
攻撃フロー
検知
持続性のあるポイントの可能性 [ASEPs – Software/NTUSER Hive] (レジストリイベント経由)
表示
Powershellを介したダウンロードまたはアップロード(cmdline経由)
表示
可能なシステム列挙(cmdline経由)
表示
リモートシステム探索または接続性チェックの可能性(cmdline経由)
表示
管理者アカウントまたはグループ列挙の可能性(cmdline経由)
表示
不審なドメイン信頼性検出(cmdline経由)
表示
エバージョンチェックの可能性(powershell経由)
表示
自動起動位置の不審なバイナリ/スクリプト(ファイルイベント経由)
表示
コマンドとコントロールチャンネルとしてのTelegramの不正使用の可能性(dns_query経由)
表示
不審なプロセスによって実行されたSteamコミュニティDNSリクエスト(dns_query経由)
表示
検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート3
表示
検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート2
表示
検出用IOC(HashSha256):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida パート1
表示
検出用IOC(SourceIP):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida
表示
検出用IOC(DestinationIP):ランサムウェアエコシステム内のセキュリティAI:InterlockとRhysida
表示
JunkFictionダウンローダとスケジュールされたPowerShellスクリプト検出 [Windows Powershell]
表示
SupperバックドアとJunkFictionダウンローダの検出 [Windowsプロセス作成]
表示
NodeSnakeおよびInterlockRAT活動の検出 [Linuxプロセス作成]
表示
シミュレーション実行
前提条件:テレメトリーとベースラインプレフライトチェックが合格していること。
根拠:このセクションでは、検出ルールをトリガーするよう設計された敵の技術(TTP)の正確な実行を詳述しています。コマンドと物語は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は、誤診につながります。
-
攻撃シナリオとコマンド: 敵は、サプライチェーン攻撃(T1195.003)を通じて開発者のワークステーションを上手く侵害しました。彼らは、
InterlockRAT.jsという名前の悪意のあるNode.jsペイロードを一時ディレクトリにドロップしました。目標は、持続的なバックドアを確立し、ネットワーク内での横方向移動を促進することです。攻撃者は、nodeランタイムを使用してスクリプトを実行し、トラフィックをトンネルするためのSOCKS5プロキシを初期化する特定の引数を渡します。この特定のコマンドは、既存の検出ロジックをトリガーするように設計されています。 -
回帰テストスクリプト:
# マルウェア用のダミーディレクトリを作成 mkdir -p /tmp/malware_drop # 「悪意のある」InterlockRAT.jsファイルを作成 cat </tmp/malware_drop/InterlockRAT.js // シュミレーションされたマルウェアロジック console.log("InterlockRATペイロードを初期化中..."); EOF # ルールをトリガーするために必要な特定の文字列でファイルを実行 node /tmp/malware_drop/InterlockRAT.js --mode SOCKS5 --target reverse shell 10.0.0.5 -
クリーンアップコマンド:
# シミュレーションされたマルウェアファイルおよびディレクトリを削除 rm -rf /tmp/malware_drop