Google TAG 警告:Conti ランサムウェアの元メンバーがウクライナを攻撃している

Google says former Conti ransomware members now attack Ukraine

2022/09/07 BleepingComputer — Google によると、サイバー犯罪組織 Conti の元メンバーの一部が、現在 UAC-0098 として追跡されている脅威グループに参加し、ウクライナの組織やヨーロッパの非政府組織 (NGO) を標的にしているという。UAC-0098 は、イニシャル・アクセス・ブローカーであり、企業ネットワーク内の侵害済みシステムへの、バンキング型トロイの木馬 IcedID を用いるアクセスを、ランサムウェア・グループに提供することで知られている。

Google の Threat Analysis Group (TAG) は、同社のユーザーを国家主導の攻撃から保護するための、セキュリティ専門家チームである。そして、TAG チームは、Conti と連携して AnchorMail バックドアをプッシュする、フィッシング・キャンペーンを検出した後の 2022年4月に、この脅威グループの追跡を開始した。


Google TAG は、「最初に UAC-0098 を発見した際に、lackeyBuilder が初めて観測された。これは、Conti グループが使用するプライベート・バックドアの1つであり、これまで公開されていなかった AnchorMail のビルダーだ」と述べている。

同チームは、「最初の発見以来、この行為者は一貫して、イニシャル・アクセスを獲得するために、サイバー犯罪行為者たちが伝統的に採用しているツールやサービスを活用している。使用されているツールには、トロイの木馬 IcedID/悪意のあるドキュメントビルダー EtterSilent/ソーシャルエンジニアリング・マルウェア配布サービス Stolen Image Evidence などが含まれる」と指摘している。

このグループの攻撃は、4月中旬〜6月中旬に観測されている。彼らは、TTP (tactics, techniques, and procedures) だけではなく、ツールやルアーなどを頻繁に変更しながら、ウクライナのホテルチェーンなどの組織を標的とし、ウクライナ国家サイバー警察やイーロン・マスクなどになりすまし、攻撃を行っていた。

その後のキャンペーンで UAC-0098 は、ウクライナの組織とヨーロッパの NGO を標的としたフィッシング攻撃において、IcedID/Cobalt Strike などの悪意のペイロードを配信していたことが確認されている。

File sharing site delivering UAC-0098 malicious payloads
UAC-0098 の悪意あるペイロードを配信しているファイル共有サイト (Google TAG)

サイバー犯罪グループ Conti との関連性

Google TAG は、一連の攻撃の特性について、UAC-0098/TrickBot/Conti 間に、複数の重複が見られるとしている。TAG は、「我々は複数の指標に基づき、UAC-0098 の一部のメンバーが、ウクライナを標的とするために技術を再利用する、サイバー犯罪グループ Conti の元メンバーであると推定している」と述べている。

さらに、UAC-0098 は、FIN12/WIZARD SPIDERとして知られる、ロシアのサイバー犯罪集団 Quantum や Conti などの、さまざまなランサムウェア・グループへのイニシャル・アクセス・ブローカーとして機能していたと推測される。

UAC-0098 の活動は、東欧における資金的に動機づけられたグループと、政府が支援するグループの境界があいまいになっている代表的な例であり、脅威者が地域の地政学的利益に沿うようにターゲットを変える傾向を示している」と述べている。

今日に、Google が検出し、明らかにした脅威グループの活動は、IBM Security X-Force/CERT-UA が以前に報告した、ウクライナの組織や政府機関に対する攻撃と、サイバー犯罪組織 TrickBot/Conti との関連性も一致している。

依然として Conti は存在している

ロシアを拠点とする Conti は、ランサムウェア・グループ Ryuk の後を継いで、2020年にランサムウェアの運用を開始した。時間の経過とともに、このギャングはサイバー犯罪シンジケートへと成長し、TrickBot/BazarBackdoor などの、複数のマルウェアの開発を引き継いだ。

あるウクライナのセキュリティ研究者が、ロシアのウクライナへの侵攻後から Conti がロシア側についた後に、このギャングに属する 170,000 を超える内部チャットの会話と、Conti のランサムウェア暗号化プログラムのソースコードを流出させた。

その後、同グループは Conti ブランドを閉鎖したが、サイバー犯罪シンジケートは小規模なセルに分裂し、他のランサムウェアやサイバー犯罪のオペレーションに潜入したり乗っ取ったりして、活動を続けている。

Conti のメンバーが潜入したランサムウェア集団には、BlackCat/Hive/AvosLocker/Hello Kitty や、最近復活した Quantum などが含まれている。また、BlackByte/Karakurt/Bazarcall などの、データを暗号化しない独自のデータ強奪作戦を展開している Conti の元メンバーも存在するという。

あれだけ組織化され、巨大化していた Conti ですから、そう簡単には消滅しないでしょう。これまでのポストの中で、Conti に関連するものとしては、5月19日の「Conti ランサムウェアの解体と分散化:リブランドの状況と背景を探ってみた」や、6月23日の「Conti 解体新書:研究開発部/人事部を有するグローバル RaaS 産業に成長」、6月24日の「Conti がデータ漏洩と交渉のサイトを閉鎖:サイバー犯罪シンジケートとして活動を継続?」などがあります。よろしければ、Conti で検索も、ご利用ください。

%d bloggers like this: