BianLian ランサムウェア検出: AA23-136A 共同サイバーセキュリティ勧告 BianLian オペレーターが使用する TTP に関する詳細を継続的な悪意のあるキャンペーンについて

イランに関連するハッカー集団として追跡されているサイバー攻撃の波に続き、 パイオニアキテン、FBI、CISA、著作団体が米国およびオーストラリアの重要インフラ組織を主に標的とするBianLianランサムウェアグループがもたらす脅威の増大を報告する新しい警告を発行しました。

BianLianランサムウェアを検出

Sophosによる2024年のランサムウェアレポートによれば、世界中の59％の組織がランサムウェア攻撃を受け、その70％がデータ暗号化の成功に至っています。2024年の平均要求身代金は2.73百万ドルに上昇し、2023年と比べて約1百万ドルの増加となります。これは積極的なランサムウェア検出の必要性を強調し、サイバー防御者にとって最優先課題の一つとなっています。

CISA、FBI、およびパートナーによる最新の共同アドバイザリ（AA23-136A）は、BianLianランサムウェアの運営者によって採用されている新しい戦術、技術、手順についてセキュリティ専門家に警告しています。組織がBianLianランサムウェア攻撃を積極的に検出するのを助けるために、SOC Primeの集合的サイバー防御プラットフォームは関連するSigmaルールのセットを集約します。すべての検出は30以上のSIEM、EDR、データレイクソリューションに対応し、 MITRE ATT&CK®フレームワーク にマッピングされ、セキュリティ専門家が脅威調査および追跡活動を効率化するのを助けます。

ボタンを押してください。 検出を探る 下のボタンをクリックして、BianLianランサムウェア攻撃の検出を目標としたコンテンツバンドルにすぐに掘り下げてください。

検出を探る

BianLian攻撃を回顧的に分析し、ランサムウェア集団に関連する悪意のある活動のさらなる文脈を得るには、 こちらのリンクから関連コンテンツをご覧ください。コンテンツ検索を簡素化するために、SOC Primeはカスタムタグ「AA23-136A」と「BianLian」によるフィルタリングをサポートしています。 脅威検出マーケットプレイス. 

また、セキュリティ専門家は Uncoder AI、検出エンジニアリングのための業界初のAIコパイロットを使用して、妥当性の危険指標を即座に狩猟することができます。Uncoder AIはIOCのパッケージャーとして機能し、サイバー防御者がIOCを無理なく解釈し、個別に狩猟クエリを生成できるようにします。これらのクエリは、選択したSIEMまたはEDRシステムにシームレスに統合され、即座に実行されます。

BianLianランサムウェアグループ攻撃分析

2024年11月20日、米国およびオーストラリアの主導権を持つ組織が新しい AA23-136Aサイバーセキュリティ警告 を発行し、BianLianランサムウェア集団による攻撃の増加をグローバルなサイバー防御者コミュニティに警告しました。このハッカー集団は、ランサムウェアの開発、展開、そしてデータ恐喝に関与しており、ロシアから運営している可能性が高く、その国には多数のランサムウェアアフィリエートが存在します。

2022年初夏以来、BianLianは米国およびオーストラリアの重要インフラセクターを標的にしており、プロフェッショナルサービスおよび不動産開発組織ともに狙っています。敵対者は有効なRDP資格情報を使用して標的システムにアクセスし、探索および資格情報収集のためにオープンソースユーティリティを利用し、FTP、Rclone、またはMegaを介してデータを流出させます。最初は二重恐喝モデルを使っていましたが、2023年1月にデータ流出に基づく恐喝に切り替え、2024年1月までにこの手法を専ら利用しました。

BianLianランサムウェア集団は、WindowsおよびESXiインフラストラクチャの公に面したアプリケーションを攻撃することに焦点を当てており、 ProxyShellエクスプロイトチェーン （CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）を使って最初のアクセスを得る可能性があります。

敵対者はまた、カスタムGoで書かれたバックドアを展開し、持続性のためにリモート管理ソフトウェアをインストールし、ローカル管理者アカウントを作成または修正します。彼らは、逆プロキシおよびSOCKS5ネットワークトンネリングのためにNgrokや改変されたRsocksのようなツールを使用し、C2トラフィックを隠蔽する可能性があります。さらに、BianLianは、Windows 10/11の特権昇格のためにCVE-2022-37969を武器化していることが観察されています。

このハッカー集団は、検出を妨害するための幅広い手法を適用します。例えば、PowerShellおよびWindows Command Shellを使用して、Windows DefenderやAMSIを含むアンチウイルスツールを無効にします。Windowsのレジストリを書き換えて、Sophosのようなサービスの操作防止を無効にし、これらのサービスをアンインストールできるようにします。さらに、実行ファイルをUPXでパックして検出を回避するために、バイナリおよびスケジュールされたタスクを正当なWindowsサービスやセキュリティツールと似た名前に変更することがあります。

BianLian集団はさらに、コンパイル済みツールとネイティブのWindowsユーティリティを組み合わせて、被害者環境に関する情報を収集します。Advanced Port Scannerを使って開いているポートを確認し、SoftPerfect Network Scannerでコンピュータにpingを送り共有フォルダを探し、SharpSharesでネットワーク共有を列挙し、PingCastleでActive Directoryを列挙します。

さらに、敵対者は横移動やより攻撃的な活動のために有効なアカウントを悪用します。また、Windows Command Shellを使用してローカルマシン上の非保護データを検索し、LSASSメモリから資格情報を収集し、RDP RecognizerのようなツールをダウンロードしてRDPパスワードのブルートフォース攻撃や脆弱性のチェックを行います。注目すべきは、敵対者が身代金を支払わせるために追加の戦術を講じ、ネットワークプリンタで身代金メモを印刷したり、対象組織の従業員に脅迫電話をかけたりすることです。

ロシアとつながりのあるBianLianランサムウェアアフィリエートによる重要インフラセクターへのサイバー攻撃の増加は、グローバルな組織に対し、防御を強化する実現可能なセキュリティソリューションを模索するよう促します。BianLianグループアクターによるランサムウェア攻撃のリスクを最小化するために、防御者はRDPの使用を制限し、コマンドラインおよびスクリプト許可を無効にし、WindowsシステムでのPowerShellアクセスを制限することを推奨しています。さらに、最先端の技術に支えられた積極的なサイバーセキュリティ戦略のタイムリーな適用は、セキュリティチームが新たな脅威を効果的に阻止し、セキュリティ体制を将来にわたって強化する力を与えます。 SOC Primeの集合的サイバー防御プラットフォーム は、業界の垂直市場全体の組織に、コミュニティ主導の脅威情報とAIに支えられた次世代ソリューションを提供し、最も洗練された攻撃から組織のビジネスに最大の脅威をもたらすものから積極的に保護します。