LockBitランサムウェア検出：サイバー犯罪組織Evil Corpのアフィリエイト、すなわちUNC2165、米国制裁の回避を試みる

2019年12月に、 米国財務省外国資産管理局（OFAC）が 悪名高いDridexマルウェアを展開・配布したことで追跡されるロシア関連のサイバー犯罪グループ、Evil Corp（別名Dridex、INDRIK SPIDER）を制裁し、 Dridexマルウェアが 10年近くにわたり銀行や金融機関を標的にしている。制裁を回避するため、脅威アクターは新しいマルウェアのサンプルを開発・適用することで、より高度なランサムウェア操作に移行しようとしていた。その例として WasterLocker and Hadesランサムウェアが挙げられ、後者はコードの難読化強化セットで強化されている。

最新の Mandiantの研究によると、UNC2165と呼ばれる金銭目的の脅威グループが以前にHadesマルウェアを配信し、 LockBitランサムウェアイントラジュージョンにも関連していることが確認されており、アクターはEvil Corpと重なる部分や類似した敵行動パターンに基づいて関係付けられる。そのため、UNC2165グループによる悪意のある活動は、Evil Corp関連操作の進化のもう一歩と考えられる。 

UNC2165関連のEvil Corp活動を検出する 

ランサムウェア攻撃の進化は世界的な組織に深刻な脅威をもたらし、効率的なサイバーセキュリティ戦略を構築する際にタイムリーな検出が重要な考慮事項とされる。悪名高いEvil Corp関連のアフィリエイトがその敵工具を絶えず進化させる悪意のある活動を検出するには、SOC PrimeのDetection as Codeプラットフォームから提供されるSigmaルールの専用セットを探索してください。

UNC2165として追跡されるEvil Corp関連アクティビティを検出するためのSigmaルール

すべての検出は、SOC Primeのプラットフォームでサポートされている業界トップのSIEM、EDR、およびXDRソリューションに適用可能であり、関連する脅威に対する包括的な可視性を確保するMITRE ATT&CK®フレームワークと一致しています。 

脅威検出とハンティング能力を強化したいInfoSecの専門家は、カスタムのセキュリティニーズに合わせてSOC Primeプラットフォームで利用可能なSigmaルールの全コレクションを探求することをお勧めします。LockBitランサムウェアを検出し、関連する脅威を即座に検索するためのSOCコンテンツの包括的なリストを探索するには、 検出とハント ボタンをクリックしてください。MITRE ATT&CKの参照、関連するCTI、詳細な脅威調査のための他のメタデータを即座に探索するには、SOC Primeの検索エンジンで脅威検出、脅威ハンティング、およびCTIを探索するために 脅威コンテキストを探索 ボタンをクリックしてください。

検出＆ハント 脅威コンテキストを探索

UNC2165がLockBitランサムウェアを展開：新しい攻撃ベクトル

詳細な 調査 によれば、UNC2165として追跡されるハッカーコレクティブは、金銭的利益を得るためにLockBitランサムウェアをますます使用していることが確認されています。セキュリティ専門家は、UNC2165がEvil Corpアクターと著しい重なりがあり、再びツールセットを変えることで米国の制裁を回避しようとするコレクティブの新たな化身であると指摘しています。

2019年にDridexマルウェアキャンペーンで制裁を受けた後、Evil Corpグループは金融目的の作戦を継続するためにツールセットを数回シフトさせてきました。以前、グループは「FakeUpdates」感染チェーンを通じて対象ネットワークへの侵入を試み、WastedLockerとHadesのカスタムバリアントを展開しました。しかし最近、Evil Corpは LockBitランサムウェア・アズ・ア・サービス（RaaS） を専用ランサムウェアサンプルの代わりにますます利用するようになっている。理由は、他のLockBit RaaSアフィリエイトに隠れることでOFAC制裁を回避し、LockBitインフラストラクチャを使用して匿名化されたオペレーションを行うためです。

Mandiantの専門家は、新しい攻撃チェーンを分析し、UNC2165のアクターが最初の侵入にFakeUpdatesを使用していることを結論付けました。特に、ハッカーはDONUTとCOLOFAKEローダーを使用してCobalt Strike Beaconを展開し、ネットワークに足場を築きます。さらに、MimikatzとKerebroasting攻撃が特権昇格のために利用され、一連のネイティブMicrosoft Windowsユーティリティ（whoami、nltest、cmdkey、 and net）が内部偵察に使用されます。環境全体の機密データがハッカーによってアクセスされ、流出された後、UNC2165はLockBitペイロードを落とし、標的資産を暗号化します。

最も包括的なSOCチームのツールセットにアクセスし、脅威検出能力を向上させ、脅威ハンティング速度を加速させるために、 SOC PrimeのDetection as Codeプラットフォームを利用！今すぐ無料で参加し、検出コンテンツの最大のライブラリと共に、サイバーセキュリティ操作の効果を高めるための高度なツールに即座にアクセスできます。