ウィズセキュア、中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発行
- 2023/03/20 10:30
- SecurityInsight
ウィズセキュアは3月16日、同社が観測した中国のサイバー犯罪者からロシアのランサムウェアギャングへのサイバー攻撃ツール「SILKLOADER」の提供に関するレポートを発行した。レポートはサイバー犯罪集団間でのツール共有のダイナミズムについて説明している。その概要は以下のとおり。
ウィズセキュアのリサーチ部門であるWithSecure IntelligenceのリサーチャーたちがSILKLOADERを初めて観測したのは、フランスの社会福祉団体への攻撃で同ツールが使用されたケースで、少なくとも2022年初頭から攻撃で使用されていたものとみられる。
2022年夏以前は、中国のサイバー犯罪集団が東アジアのターゲット(主に香港と中国)への攻撃においてのみSILKLOADERを使用していた。しかし、同年7月に一旦その活動を停止。その後9月に入ると、台湾、ブラジル、フランスなどさまざまな国の多くのターゲットに向けた攻撃で再び観測されるようになった。
こうした攻撃の傾向から、ウィズセキュアのリサーチャーたちはSILKLOADERがロシアのサイバー犯罪集団の手に渡ったと結論付けた。最も可能性の高い説明は、中国のサイバー犯罪者がロシアの同業者たちにSILKLOADERを販売したということになる。
ローダー(Loader)と呼ばれるマルウェアの一種であるSILKLOADERは、VLC Media Playerを使用したDLLサイドローディングと呼ばれる手法を悪用し、デバイス上でCobalt Strikeのビーコンを起動させる。これらのビーコンは、攻撃者が感染したデバイスに継続的にアクセスし、さらに使用し続けることを可能にする。