Netskope Japan株式会社
企業ネットワークを標的とする高度な攻撃手法を使用
セキュリティとネットワーク業界をリードするNetskopeの調査研究部門であり、クラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、企業ネットワークを段階的に侵害する高度なランサムウェアキャンペーンを発見しました。「DOGE Big Balls」と命名されたこのランサムウェアは、既存のFogランサムウェアから派生した新たな亜種で、システムへの侵入から暗号化実行まで複数のカスタムツールと特殊技術を組み合わせた攻撃を行います。この名称は、米国の政府効率化部門(Department of Government Efficiency、DOGE)を皮肉る挑発的な意図で付けられており、ランサムウェアのペイロードには身代金を要求するメッセージをはじめとする複数の箇所に、著名な公人の名前やYouTube動画を引用した政治的声明や挑発的なコメントが含まれています。
過去数ヶ月間、このランサムウェアの活動に関する報告がTrend Micro、Cyble、DFIR Reportから発表されています。本プレスリリースでは、新たに発見されたマルウェアペイロードとその感染チェーン全体について解説します。
主な分析結果
- Netskope Threat Labsは、DOGE Big Ballsランサムウェアの攻撃者(アフィリエイト)が使用していると思われる複数の新しいスクリプトとバイナリファイルを発見しました。
- 攻撃の各段階で使用される多様なツールを特定しました。これには横方向への移動、権限昇格、認証情報窃取を実行するためのカスタムツールとオープンソースツールが含まれています。また、脆弱性のあるドライバーを悪用する機能、ランサムウェアペイロード、およびHavoc Demonペイロードも発見しました。
- 攻撃者はNetlifyプラットフォーム上でペイロードを公開し、感染プロセスの全段階を確実に成功させるため、新たなカスタムスクリプトやツールを追加するなど定期的に内容を更新しています。
多段階感染チェーンの仕組み
この攻撃はMSIファイルから始まり、エンコードされたPowerShellスクリプトを実行して、Windowsのスタートアップフォルダやスケジュールタスクを通じて感染の継続性を確保します。主な感染スクリプトは複数のツールをダウンロードし、セキュリティ対策を無効化しながらネットワーク全体へと感染を拡大させます。
攻撃に使用される主な手法:
- セキュリティ検知を回避するための高度なAMSIバイパス技術
- Mimikatzおよびそれに類似するツールによるパスワードなどの認証情報の窃取
- SMB、PsExec、窃取したKerberosチケットなど複数の手法を用いたラテラルムーブメント(ホスト間移動)
- ドメインコントローラーへの攻撃と管理者アカウント作成による権限昇格
- ZeroTierネットワークソフトウェアによるリモート接続の確保
- 追加の収益源としての暗号資産マイニングの実行
攻撃者はツールキットを継続的に改良しており、Netlifyサービス上でホストしているペイロードを頻繁に更新していることが確認されています。最新版では、ドメイン管理者を標的にするための特殊なスクリプトや、侵害したシステムへのアクセスを維持するための仕組みが新たに追加されています。
高度なマルウェア拡散手法の解析
調査の過程で、ペイロードとそのダウンロードに使用されるURLの両方が頻繁に更新されていることが判明しました。新たなバージョンのダウンロードを試みた際に発見したstage1.ps1の別バージョンでは、addadmins.ps1とshwatchdog.ps1という2つのスクリプトが新たにダウンロード・実行される仕様になっていました。
1つ目のスクリプトは感染したマシン上に管理者アカウントを作成し、ドメインユーザーを管理者グループに追加する役割を担っています。2つ目のスクリプトは、特定のペイロード(確認されたファイルではsh.exe)が常時実行されていることを確認するために使用されます。
Netskopeによる脅威検知
- Generic.ShellCode.Marte.2.F02D5747
- Script-PowerShell.Trojan.Powdow
- Win64.Backdoor.Swrort
- Win32.Infostealer.Tinba
- Win32.Trojan.ShellcodeRunner
- Gen.Malware.Detected.By.IT
継続的な監視と対策の重要性
このランサムウェアに関連するペイロードの数の多さと、それらが更新される頻度は、ラテラルムーブメント、権限昇格、認証情報窃取など様々な攻撃段階をカバーする多数のツールを駆使する、このランサムウェア攻撃の複雑性と危険性を示しています。その動機や荒らし行為が目的であるかどうかにかかわらず、環境やビジネスに重大な悪影響をもたらす可能性があります。Netskope Threat Labsチームは今後も、これらの悪意あるキャンペーン、このランサムウェアに関連する活動、および攻撃に使用される悪意あるペイロードの監視を継続していきます。
IOC(侵入の痕跡)
このマルウェアに関連するすべてのIOCとスクリプトは、当社のGitHubリポジトリで公開しています。
DOGE Big Ballsランサムウェアの詳細については、当社のブログ(英語)をご覧ください。
Netskope Threat Labsについて
業界屈指のクラウド脅威およびマルウェア研究者が在籍するNetskope Threat Labsは、企業に悪影響を及ぼす最新のクラウド脅威に対する発見、分析および防御策の設計を行っています。クラウドフィッシング、詐欺、マルウェア配信、コマンド&コントロール、データの抜き出しやデータの暴露など、クラウド関連の脅威に関する独自のリサーチと詳細な分析を用いることで、同ラボは、ネットスコープのお客様を悪意ある脅威アクターから守り、研究、助言、ベストプラクティスを通じてセキュリティの世界的コミュニティに貢献しています。同ラボはシリコンバレーを始めとする世界各地で企業の設立・経営に携わった経験を持つセキュリティ研究者やエンジニアによって率いられており、本社を拠点に世界中に展開しています。同ラボの研究者は、DefCon、BlackHat、RSAなどを含む最も権威あるセキュリティ会議に定期的に参加し、登壇者およびボランティアとして尽力しています。
Netskopeについて
Netskopeは、最新のセキュリティとネットワーク技術で業界をリードしています。人、デバイス、データがどこにあっても、最適化されたアクセスとリアルタイムのコンテキストベースのセキュリティを提供し、セキュリティチームとネットワークチームの両方のニーズに応えることができます。Fortune 100企業の30社以上を含む数千社のお客様が、Netskope Oneプラットフォーム、ゼロトラストエンジン、そして強力なNewEdgeネットワークを信頼し活用しています。これらのソリューションにより、あらゆるクラウド、AI, SaaS、ウェブ、プライベートアプリケーションの利用状況を可視化し、セキュリティリスクの低減とネットワーク性能の向上を実現しています。
詳しくは、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp
本記事はアフィリエイトプログラムによる収益を得ている場合があります
