Kaspersky Labは9月20日(現地時間)、「Twelve: from initial compromise to ransomware and wipers|Securelist」において、ハクティビストグループ「Twelve」がロシア国内の組織を標的に破壊的なサイバー攻撃を実施していると報じた。直近の攻撃は2024年6月下旬に確認され、その調査結果から活動は継続中と推測されている。
Twelve: from initial compromise to ransomware and wipers|Securelist
○侵害経路
Kaspersky Labの調査によるとTwelveの初期アクセスは、標的企業のVPN(Virtual Private Network)またはSSH(Secure SHell)とされる。いずれかの不正アクセスに成功すると関連企業の環境から標的ネットワークのVPN証明書を窃取し、標的ネットワークに侵入する。次に、RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)を介して標的システムに侵入する。
Twelveの侵害経路 引用:Securelist
Twelveは標的システムに侵入すると、さまざまな攻撃を実施する。具体的にはバックドアの設置、権限の昇格、認証情報の窃取、グループポリシーによるタスクスケジューラーの設定などを行う。最後のグループポリシーによるタスクスケジューラーの設定は、ドメインに参加しているコンピュータ全体にタスクを同時実行させる目的で使用される。タスクはランサムウェアおよびワイパーマルウェア(全データ消去)の実行とされ、最終的にドメイン参加コンピューターの全データが消去される。
○影響と対策
攻撃者はランサムウェアを使用して多くのデータを窃取し、その後ワイパーマルウェアを起動して全データを消去する。Kaspersky Labの調査対象となった被害環境からは、財務文書、図面、電子メール、Telegramのキャッシュ情報などが窃取されている。
なお、ランサムウェアは身代金の要求ファイルに攻撃者のロゴのみを記録する。そのため、攻撃者と交渉することはできない。また、ワイパーマルウェアにはマスターブートレコードを破壊する処理が含まれており、処理に成功したコンピュータは起動できなくなる。
使用されたランサムウェアおよびワイパーマルウェアは公開または流出した既知のマルウェアとされる。そのため、これらマルウェアはセキュリティソリューションから検出可能とされる。
わくわくメール
ITトピックス
ITランキング
- 1
セブン-イレブンの担当者が語る!「秋の味覚祭」のスイーツ開発秘話画像あり
- 2
iPhoneとAndroidユーザー狙う豚の屠殺詐欺、日本も標的画像あり
- 3
『Marvel Rivals』日本メディア先行体験会 / セブン-イレブンの担当者が語る、スイーツ開発秘話【まとめ記事】画像あり
- 4
キャラクターデザインの開発秘話も飛び出した!『Marvel Rivals』日本メディア先行体験会画像あり
- 5
Microsoft装うフィッシングメール、被害者が気づくことはほぼ不可能画像あり
- 6
台湾の2大半導体後工程受託メーカーが経営統合画像あり
- 7
井桁弘恵さんが案内する、未来のものづくり / 大容量の折り畳みコンテナ【まとめ記事】画像あり
- 8
開催まであと10日!「闘会議2016」の最後の発表会を開催画像あり
- 9
NEC×琉球朝日放送、AIアナウンサーを活用した番組制作の取り組みを開始画像あり
- 10
シャネル がZ世代をターゲット。チャンスの新キャンペーンとアプリゲームで獲得を狙う画像あり