CISA 対 Conti:マルウェア配信に使用された 100 ほどのドメイン名を公開

CISA updates Conti ransomware alert with nearly 100 domain names

2022/03/09 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、悪質な操作に使用された 100近いドメイン名で構成される IoC (indicators of compromise) を含む、Conti ランサムウェアに関する警告を更新した。この、2021年9月22日に公開された勧告には、米国内の組織を標的とした Conti ランサムウェア攻撃について、CISA と FBI が観測した詳細が含まれており、今回のサイバーセキュリティ勧告の更新には、米国シークレットサービスからのデータも含まれている。

Conti の IoC ドメイン

ランサムウェア Conti の内部情報は、同グループがウクライナ侵攻をめぐり、ロシア側に立つことを公言した2月末に流出し始めた。流出元はウクライナの研究者であり、当初は一味のメンバーが交わしたプライベート・メッセージを公開し、その後、ランサムウェアや管理パネルなどのツールのソースコードを公開した。

また、キャッシュされたデータには、高価値標的のネットワークへのイニシャル・アクセスに使用される、マルウェア BazarBackdoor による侵害に使用されたドメインも含まれている。CISA によると、Conti の脅威アクターたちは、世界中の 1,000以上の組織を攻撃しており、最も一般的な攻撃ベクトルは TrickBot マルウェアと Cobalt Strike ビーコンであるとのことだ。

今日 CISA は、マルウェアを配布しているグループが Conti ランサムウェア攻撃で使用したものと、登録および命名の特徴が類似している、98 のドメイン名を一括で公開した。同庁は、これらのドメインが悪意の操作に使用されている一方で、いくつかは放棄されているか、偶然に類似した特徴を共有している可能性があるとも指摘している。

上記の、Conti ランサムウェア攻撃に関連するドメインのリストは、ウクライナの研究者が BazarBackdoor の感染から流出させた数百のドメインとは異なるようだ。最近になって Conti は、内部チャットやツールの公開により不要な注目を集めたにもかかわらず、その活動にブレーキをかけることはなかった。3月の初めから Conti は、米国/英国/カナダ/ドイツ/スイス/イタリア/セルビア /サウジアラビアにおける 20件以上の被害者を、Web サイトにリストアップしている。

2022年2月25日の「Conti ランサムウェア:ロシア政府のウクライナ侵攻を全面的に支持すると表明」と、3月1日の「ウクライナの研究者が反撃:Conti ランサムウェアのソースコードが大規模に流出」にあるように、ただでさえ目立っている Conti が、さらに目立つ存在になってきました。そこで CISA が、Conti の悪質な操作に使用された、100近いドメイン名を公表したようです。最近の Conti は、TrickBot を買収するなど、とても活発に動き、その TTP を素早く変化させています。よろしければ、Conti で検索も、ご利用ください。→ Ukraine まとめページ

%d bloggers like this: