Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた

Infra Used in Cisco Hack Also Targeted Workforce Management Solution

2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。

有名なバンキング・トロジャン Dridex の始祖である Evil Corp は、2019年12月に米国財務省が課した制裁を回避するために、一連のランサムウェアを実行する手口を、長年にわたり洗練させてきた。


同社の IT ネットワークへの最初のアクセスは、盗み出した VPN の認証情報を用いて達成されおり、その後に、横移動のために市販のツールを活用し、被害者の環境の深部へのアクセスを獲得していた。

eSentire は、「Cobalt Strike を使用することで、攻撃者は最初の足場を築くことが可能なった。被害者の環境への最初のアクセスから、VPN ネットワークに攻撃者の仮想マシンを登録するまで、実働は即時かつ迅速だった」と指摘している。


UNC2165 と mx1r の関係だが、Active Directory サービスに対する Kerberoasting 攻撃の手法や、社内ネットワークでの感染拡大に RDP(Remote Desktop Protocol)アクセスを使用する手口など、両者の戦術と技法に重なる部分があることに起因している。

それらの接点とは関係なく、この攻撃に使用された Cobalt Strike (HiveStrike) インフラは、以前に Hive や Yanluowang を展開することで知られていた、Conti ランサムウェア・アフィリエイトのものと一致すると言われている。Yanluowang は 2022年5月末に Cisco を侵害して盗み出したファイルを、自身のデータ漏洩サイトに掲載している。

Cisco は、このインシデントは IAB (Initial Access Broker) に起因するものであり、3つの別々のグループである UNC2447/LAPSUS$/Yanluowang に関連していると捉えている。

eSentire は、「ContiEvil Corp にインフラを貸すとは考えにくい。最近の UNC2165 が LockBit ランサムウェアに軸足を移したことを考慮すると、Evil Corp アフィリエイトである UNC2165 が、Conti の新たな下部組織の1つと協力している可能性が高い。また、イニシャル・アクセスは、Evil Corp のアフィリエイトが仲介したが、最終的に Hive のオペレーターとアフィリエイトに売り渡された可能性もある」と述べている。

この、Cisco に対するハッキングですが、8月10日の「Cisco をハッキングした Yanluowang ランサムウェア:2.8GB のファイルを公開」に詳細が記されていますので、よろしければ、ご参照ください。また、Yanluowang ですが、ブログ内を検索したところ、2021年12月1日の「Yanluowang ランサムウェアが米国の金融業界を狙っている」が見つかりました。Symantec によると、FiveHands グループが開発した Thieflock という RaaS があり、かつての Thieflock アフィリエイトが、いまは Yanluowang を運用していると捉えているようです。文中には、Evil Corp のアフィリエイトだという、eSentire の指摘もあるので、未知の部分が多いサイバー攻撃グループなのでしょう。

%d bloggers like this: