H0lyGh0stの検出: 北朝鮮APTに関連付けられた新しいランサムウェア

[post-views]
7月 18, 2022 · 6 分で読めます
H0lyGh0stの検出: 北朝鮮APTに関連付けられた新しいランサムウェア

新しい日、サイバーディフェンダーにとっての頭痛の種!Microsoft Threat Intelligence Center (MSTIC) は、新しいランサムウェアの変種が2021年6月以降、世界中の小規模から中規模の企業を攻撃していると報告しています。このマルウェアはH0lyGh0stと名付けられ、新興の北朝鮮APTによってDEV-0530のモニカーで追跡されて初めて開発されました。このランサムウェア攻撃は明らかに金銭的な動機に基づいており、製造業、教育、金融サービス、技術などのセクターを対象としています。

DEV-0530活動の分析によると、ラザラスグループの一員であるプルトニウム(別名アンダリエル)として知られる、北朝鮮支援の他の脅威アクターとのつながりが明らかになっています。セキュリティ専門家は、攻撃を進めるためにクラスター間での活発なコミュニケーションおよび共有された悪意のあるツールを観察しています。

H0lyGh0stの検出

H0lyGh0stランサムウェアに関連する行動を識別するには、熟練したThreat Bounty寄稿者がリリースした以下の脅威検出コンテンツを利用します。 Aytek Aytemur and Muhammed Hamdi Akin:

H0lyGh0stランサムウェア活動の検出

ルールキットはMITRE ATT&CK®フレームワークv.10に合わせられており、26のSIEM、EDR & XDRプラットフォームに翻訳されています。

同じことを繰り返しているように聞こえるかもしれませんが、脅威の防止と検出のタイミングが最も重要であることを強調したいです。SOC PrimeのDetection as Codeプラットフォームに無料で登録して、ランサムウェアの脅威に関する最も関連性の高い検出コンテンツにアクセスするには、以下の 検出&ハント ボタンをクリックしてください。関連する脅威を簡単に検索し、CTIやMITRE ATT&CKリファレンスなどのコンテキストメタデータを瞬時に探索するには、 脅威コンテキストを探る ボタンをクリックし、SOC Primeの脅威検出、脅威ハンティング、CTIのサーチエンジンを使用して関連する検索結果を掘り下げてください。

検出&ハント 脅威コンテキストを探る

H0lyGh0stの説明

詳細な 調査 によると、H0lyGh0stランサムウェアは北朝鮮政府によって支援される新興のDEV-0530 APTによって開発された比較的新しい変種です。脅威アクターは金融目的でこのマルウェアを利用し、資金を国に流入させるために、世界中のランダムな小規模および中規模の企業を選んで攻撃します。

2021年9月以降観察されたすべての攻撃は同じパターンに従っています。脅威アクターは、顧客向けのWebアプリケーションやCMS(例えばCVE-2022-26352など)の未修正の脆弱性を利用してH0lyGh0stランサムウェアをドロップします。次に、H0lyGh0stを使用して、ターゲットのインスタンス上のすべてのファイルを.h0lyenc拡張子で暗号化します。さらに、攻撃を証拠づけるためのファイルのサンプルが被害者に送られ、ランサムノートと共に提供されます。脅威アクターは通常、1.2から5BTCの範囲でBitcoinでの支払いを要求します。被害者とのコミュニケーションは、専用の.onionウェブサイトを通じて整えられ、そこでは機密データの販売または公開の脅威を示して、二重恐喝の圧力を被害者にかけます。それでも、最近では攻撃は成功には至っておらず、アクターの暗号通貨ウォレットの分析によると、2022年7月初旬以降、成功した支払いはありません。

H0lyGh0stランサムウェアの分析によると、2021年から2022年の間に攻撃者はWindowsシステムを対象としたマルウェアの4つのサンプル(TLC_C.exe、HolyRS.exe、HolyLock.exe、BLTC.exe)をリリースしました。BTLC_C.exe(SiennaPurpleと名付けられた)はC++でプログラムされているのに対し、他のバージョン(SiennaBlueと追跡される)はGoで作成されており、クロスプラットフォームランサムウェア開発の試みを示しています。最新バージョンは、ストレインの難読化やスケジュールされたタスクの削除能力を含む主要機能への大幅な改善を伴って登場しました。H0lyGh0stハッカーは最近の金融的利益の面での成功には欠けていますが、セキュリティ研究者は彼らのダークウェブでの活動について警戒しています。

6月に、いくつかの 大幅な改善 をSOC PrimeのThreat Bounty Programに紹介しました。サイバーワールドで最も有名な検出コンテンツ開発者プログラムについて詳しく知り、SOC Primeと共に業界リーダーの中であなたの地位を確保してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事