記事本文(要約)
複数のランサムウェアグループが、Skitnetというマルウェアを使用し、データの窃取や遠隔操作を行っています。Skitnetは2024年4月から地下フォーラムで販売されており、2025年初頭から実際の攻撃で用いられ始めました。このマルウェアはRustとNimのプログラミング言語を使用し、DNSを介してリバースシェルを起動するなどの機能を持ち、検出を回避しようとしています。また、永続性を確保するメカニズムやリモートアクセスツール、データの抽出コマンド、追加のペイロードを提供する.NETローダーも含まれています。
一方、2025年2月から使用されているTransferLoaderという別のマルウェアローダーは、アメリカの法律事務所を狙ったランサムウェアMorpheusを配信しており、このローダーにはダウンローダー、バックドア、専用ローダーという3つのコンポーネントが含まれています。バックドアはInterPlanetary File System (IPFS)を用いてC2サーバーの更新を行い、逆コンパイルを困難にするために難読化技術が用いられています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 19 May 2025 20:08:00 +0530
Original URL: https://thehackernews.com/2025/05/ransomware-gangs-use-skitnet-malware.html
詳細な技術情報
この文章では、Skitnetというマルウェアがランサムウェア攻撃者によって悪用されている状況が説明されています。以下に、Skitnetとその脆弱性、攻撃手法、影響、および推奨される対策について詳しく説明します。
脆弱性の仕組み
- マルウェア構造: Skitnetは多段階マルウェアで、RustとNimというプログラミング言語で作成されています。これにより、検出を回避することを目指しています。
- 通信手段: Nimで作成されたバイナリがDNSを用いてC2サーバと通信し、リバースシェル接続を確立します。これにより、検出が困難になります。
攻撃手法
- DNSを介したリバースシェル: DNS解決を用いてリバースシェルを確立し、API関数アドレスを動的に解決することで検出を回避します。
- データの遠隔盗難と操作者の定着化: ランサムウェア攻撃時に機密データを盗み出し、被害者のデバイスに悪意のあるソフトウェアを永続化させます。
- フィッシングキャンペーン: 特に組織を対象としたTeamsをテーマにしたフィッシングキャンペーンで使用されています。
- 追加ペイロードの展開: .NETローダーバイナリをダウンロードして追加のペイロードを展開可能です。
潜在的な影響
- 機密情報の漏洩: 組織の内部ネットワークにアクセスすることで、機密データが漏洩するリスクがあります。
- リモートアクセスと制御: 遠隔から被害者のデバイスを制御される可能性があります。
- システムの継続的な感染: 永続化により、再感染がおこり得る状況が作られます。
推奨される対策
- DNSトラフィックの監視: DNSを利用した異常なトラフィックを監視し、不審な通信を検知します。
- フィッシング対策の強化: 組織内でのフィッシングメールの教育とフィルタリングの強化を行います。
- ソフトウェアのアップデート: アンチウイルスやエンドポイントセキュリティソリューションを最新状態に保ち、脆弱性を早急に修正します。
- セキュリティ製品の適用: PowerShellのスクリプト実行を制限し、リモートアクセスツールの監視を強化します。
- C2通信のブロック: 既知のC2サーバーとの通信を防ぐためにネットワークフィルタリングを強化します。
その他の関連情報
- CVE番号: 現時点では具体的なCVE番号は記載されていませんが、継続的に監視し、適切なアップデートを適用することが重要です。
- TransferLoader: 類似のリスクとしてTransferLoaderが記載されています。こちらも注意が必要です。
