Gwisinの検出: 脅威アクターが韓国企業を標的にしたGwisinランサムウェアを拡散

複数の業界で韓国企業を標的とするGwisinランサムウェアが、サイバー脅威の場で現在増加しています。韓国語を話す脅威アクターに起因するGwisinランサムウェアは、ランダムな個人ではなく特定の組織をターゲットにした攻撃で使用され、独自に悪意のある行動をとらないため、検出が困難です。ランサムウェアはMSIインストーラー形式で広まり、感染を広げるための様々な動作を適用し、これはすべての被害を受けた組織で異なります。 

Gwisinランサムウェアを検出する 

サイバーセキュリティコミュニティは、増大するランサムウェア攻撃によって引き起こされる課題に、継続的に直面しています。そのボリュームやベクターだけでなく、その影響とスピードにおいても加速度的に増加しています。Gwisinランサムウェアに関連する悪意のある活動を積極的に検出するために、我々の優れたThreat Bounty開発者 Onur Atali は専用のSigmaルールをリリースしました。

関連コマンドの検出によるGwisinランサムウェア実行の可能性（cmdline経由）

このルールは、23のSIEM、EDR、およびXDR形式への変換をサポートし、 MITRE ATT&CKフレームワーク v.10. は、主な技術としてCommand and Scripting Interpreter (T1059)、User Execution (T1204)、Data Encrypted for Impact (T1486)、およびDisk Wipe (T1561)により、実行と影響の戦術に対応しています。

共同のサイバー防御に参加し、新たな脅威に耐えうるサイバーセキュリティコミュニティを支援したいですか？ SOC PrimeのThreat Bounty Programに参加し、自分のSigmaルールを提出し、再発報酬を得ながら、サイバーのより安全な未来に貢献してください。増加するランサムウェアの脅威を考慮し、脅威ハンターとSOCアナリストは、増大する数のセキュリティインシデントにタイムリーに対応し、ノイズを切り分け、攻撃の表面をより良く見えるようにするための革新的な脅威検出アプローチを必要としています。登録されたSOC Primeのプラットフォームユーザーは、さまざまなランサムウェアの脅威を検索するための最大の検出アルゴリズムプールにアクセスでき、「 検出 & ハント 」ボタンを押すだけでアクセスできます。登録されていないユーザーは、「 脅威のコンテクストを探る 」ボタンを押すことで、ランサムウェア関連のルールキットやMITRE ATT&CKの参照、CTIリンクを含むすべての関連メタデータにアクセスできます。

検出 & ハント 脅威のコンテクストを探る

Gwisinランサムウェア分析

によると SOC PrimeのDetection as Code Innovation Report 2021、2021年から2022年にかけてランサムウェア攻撃は成長し続け、侵入の高度化やランサムウェアオペレーターの数の増加が続いています。韓国企業を攻撃するGwisinランサムウェアは現在増加しており、韓国語に堪能な同名の日和見活動者によるものとされています。 Gwisinの最も一般的な特性 の中には、Windowsシステムプロセスに注入されることで悪意のある行動を行う能力、赎池メモに表示される内部DLLファイル内の被害を受けた会社に関する情報を含むランサムウェア機能、及びセーフモードでのファイル暗号化に対応する洗練された機能が含まれます。

韓国語で「幽霊」を意味するGwisinと名付けられたマルウェアを広める脅威アクターは、注目の韓国の医療、産業、製薬企業を標的とする新たなランサムウェアファミリのGwisinLockerを広め、WindowsおよびLinux ESXiサーバーを暗号化する能力を備えています。これらの攻撃では、ランサムウェアはMSIインストーラーファイル形式を使用し、MSIに含まれるDLLファイルを実行するために引数値を活用します。コマンドライン引数の使用はサイバー防御者がランサムウェアサンプルを検出および分析することを困難にします。 

Windowsシステムへのランサムウェア攻撃とは別に、 ReversingLabsの研究者 もLinuxシステムを標的とするGwisinLockerマルウェアのバージョンを明らかにしました。実施された調査によると、GwisinランサムウェアオペレーターはLinuxホストを制御し、VMWare ESXI仮想マシンと二重強請攻撃を行い、組織の機密データを盗むことを目的としています。

高名なランサムウェア攻撃のボリュームが増加する中で、サイバー防御者は関連する脅威に対して積極的に防御し、悪意のある活動をタイムリーに特定するための新しい方法を求めています。 SOC PrimeのDetection as Codeプラットフォーム は、25以上のSIEM、EDR、およびXDRソリューションに合わせた20万以上のユニークな検出アルゴリズムをキュレーションし、組織ごとに特定されたコンテンツニーズに合致しています。野心的な検出エンジニアや脅威ハンターは、 SOC Primeのクラウドソーシングイニシアティブ に参加し、SigmaおよびYARAルールを作成して、業界の仲間と共有し、貢献に対して再発的な金銭的報酬を得ることで、集団的サイバーセキュリティの専門知識を豊かにすることもできます。