Cloud-Delivered Security Services
Code to Cloud Platform
Cortex
Unit 42 Incident Response
This post is also available in: English (英語)
概要
本稿には、パロアルトネットワークス Unit 42 が追跡している脅威アクターの同チームが指定した名称の一覧を記載します。ここではこれらの名称を脅威アクターに割り当てられた星座名のアルファベット順で記載してあります。本稿に記載する情報は網羅的にこれらのアクターについてまとめたもので、各脅威アクターの所属カテゴリー、主な影響セクター (業界)、脅威概要全般などの重要情報も付記しています。私たちはこのページを、ここさえ見ておけば注目すべきサイバー脅威に関してパロアルトネットワークスが行ってきた幅広い調査結果を読者の皆さんがまとめて確認できる、という場所にしておきたいと考えています。
パロアルトネットワークスのお客様は、Advanced WildFire、Advanced DNS Security、Advanced Threat Prevention、Advanced URL Filtering などの Cloud-Delivered Security Services (クラウド配信型セキュリティサービス) を有効にした次世代ファイアウォール (NGFW) を含む製品の利用により、本稿で取り上げたこれらの脅威アクターからの保護を受けています。また弊社のお客さまは、Cortex 製品や Prisma SASE などの製品ラインを通じ、より強力に保護されています。
侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.com まで電子メールにてお問い合わせください (ご相談は弊社製品のお客さまには限定されません)。
| 関連する Unit 42 のトピック | サイバー犯罪, 国家支援型脅威サイバー攻撃 |
国家支援型脅威アクター グループ
Unit 42 は以下のグループの動機は「金銭型」ではなく主に「国家支援型」と考えています。このカテゴリーの脅威グループに「サイバー犯罪型」の動機が含まれる可能性もありますが、主たる動機は支援国家の利益促進にあると考えられます。
Draco – パキスタン
Draco (りゅう座) は、パキスタン系脅威グループを表すのに選ばれた星座です。これらのグループはインドその他の南アジア諸国を標的にしていることが判明しています。
Mocking Draco
別名
G1008, sidecopy, unc2269, white dev 55
概要
Mocking Draco はパキスタンを拠点とする脅威アクターで、少なくとも 2019 年から活動しています。主に南アジア諸国、特にインドとアフガニスタンを標的にしています。彼らのマルウェアの一般名である Sidecopy は、Venomous Gemini のマルウェア、SideWinder をまねようとした感染チェーンに由来しています。Mocking Draco は Opaque Draco との類似点が報告されており、後者の派生グループである可能性があります。
影響を受けるセクター
Mocking Draco はこれまで、以下のセクターの組織に影響を与えてきました。
- 政府
Opaque Draco
別名
APT36, C-Major, Cmajor, COPPER FIELDSTONE, Fast-Cargo, G0134, Green Halvidar, Havildar Team, Lapis, Mythic Leopard, ProjectM, Transparent Tribe
概要
Opaque Draco は、2013 年から活動しているパキスタンを拠点とする脅威グループです。主にインドの政府、軍事、教育部門を標的にしています。
影響を受けるセクター
Opaque Draco はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 政府
- 軍
Gemini – インド
インド系脅威アクターグループはふたご座 (Gemini) にちなんで名付けられています。
Venomous Gemini
別名
DEV-0124, Dropping Elephant, Leafperphorator, Orange Chandi, Rattlesnake, Razor Tiger, Sidewinder, T-APT-04, UNC1687, G0121
概要
Venomous Gemini は、インドとのつながりが疑われている脅威グループ (または複数のグループ) で、2012 年から活動しています。Venomous Gemini の活動は活発で、頻繁にパキスタンを標的にしています。またそれより数は少ないながら、ネパールやスリランカ、バングラデシュ、中国など、アジアの他の国々も標的にしています。主な標的には政府機関や軍事組織が含まれていますが、ほかの産業も標的になっていることが報告されています。
影響を受けるセクター
Venomous Gemini はこれまで、以下のセクターの組織に影響を与えてきました。
- 連邦政府
- 軍
Lynx – ベラルーシ
ベラルーシの脅威グループは、やまねこ座 (Lynx) にちなんで名付けられています。
White Lynx
別名
Ghostwriter, Storm-0257, UNC1151
概要
White Lynx は高確度でベラルーシ政府と関連していると評価されている国家支援型脅威アクターです。その主な焦点は、ウクライナ、リトアニア、ラトビア、ポーランド、ドイツなど、ベラルーシに隣接する国々です。標的にはベラルーシの反体制派、メディア団体、ジャーナリストも含まれます。
影響を受けるセクター
White Lynx はこれまで、以下のセクターの組織に影響を与えてきました。
- 建設
- 教育
- 連邦政府
- ヘルスケア
- ハイテク
- 保険
- 製造
- メディア、エンターテイメント
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 卸売、小売
Pisces – 北朝鮮
北朝鮮系脅威アクター グループは、うお座 (Pisces) で表されています。これらのグループは、サイバースパイ活動と金融犯罪に重点を置き、多くの業界に影響を及ぼしてきました。
Jumpy Pisces
別名
Andariel, Black Artemis, COVELLITE, Onyx Sleet, PLUTONIUM, Silent Chollima, Stonefly, UNC614, Lazarus, Lazarus Group
概要
Jumpy Pisces は、悪名高い Lazarus グループや朝鮮民主主義人民共和国 (DPRK) と関連している国家支援型脅威アクターです。Jumpy Pisces は、2013 年頃に分岐した Lazarus グループのサブグループと考えられています。同グループは、サイバースパイ活動、金融犯罪、ランサムウェア攻撃に重点を置き、その活動において高度な適応性、複雑性、技術的専門知識を発揮してきました。
Jumpy Pisces は韓国の組織を主な標的とし、スピアフィッシング、ウォーターホール型攻撃、サプライチェーン攻撃などのさまざまな攻撃ベクトルを使います。資産管理プログラムや既知だがパッチが適用されていない公共サービスなど、さまざまなソフトウェアの脆弱性を悪用し、マルウェアを配布している様子が確認されています。このグループはまた悪意のある活動のため、正規のソフトウェアやプロキシー ツール、トンネリング ツールなどを悪用します。
影響を受けるセクター
Jumpy Pisces はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 金融サービス
- 政府
- ヘルスケア
- IT サービス
- 製造
- 製薬、ライフ サイエンス
- 公共事業・エネルギー
Slow Pisces
別名
Dark River, DEV-0954, Jade Sleet, Storm-0954, Trader Traitor, TraderTraitor, UNC4899, Lazarus, Lazarus Group
概要
Slow Pisces は、北朝鮮の総参謀部偵察局 (RGB) の配下にある北朝鮮の国家支援型脅威グループです。同グループは Lazarus グループから派生したグループと考えられており、その主眼は資金調達と暗号通貨業界の標的に置かれています。2020 年以降の主な任務は北朝鮮政権のために収益を生み出すことで、彼らはこれを膨大な暗号通貨を取り扱う組織を標的にすることによって実現しています。彼らは 2023 年だけで 10 億ドル以上を盗んだとも言われています。
Slow Pisces は収入創出に加えて航空宇宙や防衛、産業などの組織も侵害しています。これはおそらく北朝鮮の軍事力向上を目的としたスパイ活動が目的と思われます。
影響を受けるセクター
Slow Pisces はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 暗号通貨業界
- 金融サービス
- ハイテク
Serpens – イラン
イラン起源のグループは、Serpens (へび座) にちなんで名付けられています。これらのグループに関する弊社の調査からは、進化する彼らの標的と TTP が明らかになっています。
Academic Serpens
別名
COBALT DICKENS, DEV-0118, Mabna Institute, Silent Librarian, Yellow Nabu
概要
Academic Serpens は、少なくとも 2013 年から活動している国家支援型グループで、イランに帰属するとされています。彼らは伝統的に、中東や EU 内の北欧の大学を標的としてきました。Academic Serpens のメンバーはイランに拠点を置くマブナ研究所 (Mabna Institute) と関連しており、同研究所はイラン政府、特にイラン革命防衛隊 (Islamic Revolutionary Guard Corps: IRGC) の命令でサイバー侵入を行っていました。彼らは世界中の大学や政府機関、民間企業のもつ研究データやプロプライエタリー データを標的にしてきました。2020 年の新型コロナウイルス感染症 (COVID-19) による国際的危機以来、このグループの活動はめだって減少しています。
影響を受けるセクター
Academic Serpens はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 政府
Agent Serpens
別名
APT35, APT42, Ballistic Bobcat, Charming Kitten, Cobalt Illusion, Damselfly, DireFate, G0059, Greycatfish, Group 83, Iridium Group, ITG18, Magic Hound, Mint Sandstorm, Newscaster, PHOSPHOROUS, PHOSPHORUS, Saffron Rose, TA453, White Phosphorous, Yellow Garuda
概要
Agent Serpens はイランの支援を受けた脅威グループで、おそらくイスラム革命防衛隊 (IRGC) のために長期にわたるリソース集約型のサイバー スパイ活動を行っています。このグループは反体制派や活動家、ジャーナリストなど、イラン政府にとって危険ないし反抗的なグループを標的としており、特にイスラエルと米国のグループに重点を置いています。彼らは伝統的に初期アクセスとしてスピア フィッシングやエクスプロイト、リモート アクセス デバイスを使い、クレデンシャル (資格情報) の収集にも重きを置いてきました。彼らは商用型マルウェア (インフォスティーラー)、カスタム マルウェアの両方を使います。
影響を受けるセクター
Agent Serpens はこれまで、以下のセクターの組織に影響を与えてきました。
- 自動車
- 土木工学
- 教育
- 連邦政府
- ファイナンス
- 金融サービス
- ヘルスケア
- ハイテク
- 高等教育
- 製造
- メディア、エンターテイメント
- 非営利研究組織
- 製薬、ライフ サイエンス
- 電気通信
Agonizing Serpens
別名
Agrius, BlackShadow, Pink Sandstorm, Spectral Kitten
概要
Agonizing Serpens は 2020 年から活動している国家支援型グループで、イラン情報安全保障省 (MOIS) に帰属しています。同グループは中東の標的に対してスパイ活動、ランサムウェア、破壊的マルウェア攻撃を行っており、特にイスラエルに対する攻撃に重点を置いています。彼らが中心的に行うのはデータ窃取とスパイ活動で、その後ワイパーを展開して痕跡を隠します。
影響を受けるセクター
Agonizing Serpens はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 情報技術
- 保険
- 専門・法律サービス
- 卸売、小売
Boggy Serpens
別名
COBALT ULSTER, Earth Vetala, G0069, Mercury, MuddyWater, Seedworm, Static Kitten, TEMP.Zagros, Yellow Nix
概要
Boggy Serpens は少なくとも 2017 年から活動しているサイバー スパイグループで、イランの情報安全保障省 (Ministry of Intelligence and Security: MOIS) 内の下位組織であるものと評価されています。Boggy Serpens は、中東、アジア、アフリカ、ヨーロッパ、北米の通信、地方自治体、防衛、石油・天然ガスなど、さまざまな分野の政府機関や民間組織を標的にしてきました。
伝統的に、スピア フィッシングや既知の脆弱性のエクスプロイトを通じてアクセスを獲得します。彼らは盗んだデータやアクセスをイラン政府やほかの脅威アクターに提供しています。Boggy Serpens はカスタム マルウェアを開発し、難読化した PowerShell スクリプトを多用します。
影響を受けるセクター
Boggy Serpens はこれまで、以下のセクターの組織に影響を与えてきました。
- 金融サービス
- ヘルスケア
- 保険
- 電気通信
- 運輸・物流
Devious Serpens
別名
Cobalt Fireside, Curium, G1012, Imperial Kitten, Tortoiseshell, Yellow Liderc
概要
Devious Serpens はイランを拠点とする脅威アクターで、ソーシャル エンジニアリング戦術や IMAP 経由で通信するマルウェアの使用で知られています。彼らは水飲み場型攻撃を行うこともあれば、被害者の興味を引くために自らの管理するサイト上にニセ採用情報をホストすることもあります。
彼らが作成したマルウェアはよく、コマンド & コントロール (C2) に特定の電子メール アドレスを持つ IMAP を使っています。このようなツールでは通常、通信は C2 の電子メール アドレス上の特定のフォルダーやメッセージ プロトコルを介して行われます。
影響を受けるセクター
Devious Serpens はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 情報技術サービス
Evasive Serpens
別名
Alibaba, APT34, Chrysene, Cobalt Gypsy, Crambus, Europium, G0049, Group 41, Hazel Sandstorm, Helix Kitten, IRN2, OilRig, Powbat, TEMP.Akapav, Twisted Kitten, Yossi
概要
Evasive Serpens は Unit 42 が 2016 年 5 月に発見した脅威グループで、イランに帰属する国家支援型の脅威アクターです。この脅威グループは非常に執拗で、初期攻撃ベクトルにはスピア フィッシングを集中的に使っています。ただし彼らはそのほかにも、クレデンシャル収集キャンペーンや DNS ハイジャックなどのさらに複雑な攻撃とも関連付けられています。
スピア フィッシング攻撃ではマクロを有効にした Microsoft Office (Word および Excel) ドキュメントを使い、Windows 実行可能ファイル (PE)、PowerShell、VBScript として提供されるカスタム ペイロードをインストールしていました。緊張を利用しこのグループのカスタム ペイロードは、C2 チャネルとして DNS トンネリングを頻繁に使用していました。
影響を受けるセクター
Evasive Serpens はこれまで、以下のセクターの組織に影響を与えてきました。
- 化学製品製造
- 金融サービス
- 政府
- 電気通信
- 公共事業・エネルギー
Taurus – 中国
中国の脅威攻撃グループの名前は Taurus (牡牛座) に由来しています。中国系 APT は長い歴史と多様性を持つことから、弊社の研究アーカイブにはこれらのグループについてまだまだ発見すべきことがあります。
Alloy Taurus
別名
G0093, GALLIUM, Granite Typhoon, Operation Soft Cell, Othorene, Red Dev 4
概要
Alloy Taurus は、少なくとも 2012 年から活動しているサイバー スパイ グループです。このアクターはインターネット接続された Web アプリケーションをエクスプロイトして被害組織への初期アクセスを獲得します。
アクセス確立後は、カスタム ツールやマルウェア、オープン ソース ツール (またはそのカスタム亜種) を組み合わせて使います。ときには窃取した正規の証明書でコードに署名することもあります。これまで彼らは、アフガニスタン、オーストラリア、ベルギー、カンボジア、マレーシア、モザンビーク、ネパール、フィリピン、ロシア、南アフリカ、ベトナムの標的を攻撃してきました。
影響を受けるセクター
Alloy Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 連邦政府
- 金融サービス
- 電気通信
Charging Taurus
別名
Circle Typhoon, DEV-0322, TGR-STA-0027, Tilted Temple
概要
Charging Taurus は、中国に帰属する国家支援型サイバー スパイ グループで、2021 年から活動しています。このグループの目的は中国の国益に資する知的財産の窃取にあります。彼らは未公開のゼロデイ脆弱性を悪用する能力を持っています。このグループは Insidious Taurus とつながっている可能性があります。
影響を受けるセクター
Charging Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- バイオテクノロジー
- ハイテク
- 半導体産業
Dicing Taurus
別名
Jackpot Panda
概要
Dicing Taurus は中国に帰属する国家支援型脅威グループです。彼らは東南アジアの違法オンライン ギャンブルの分野に焦点を当てており、特に中国におけるギャンブル関連活動の監視・対抗のためのデータ収集に重点を置いています。2024 年 2 月の i-Soon の漏えいからは、同社が中国公安部とともに Dicing Taurus のオペレーションに関与していた可能性が高いことが明らかになりました。
このグループはまた、CloudChat というチャット アプリケーションをトロイの木馬化してインストーラーを配布した当のグループでもあります。これは、中国本土の中国語圏違法ギャンブル コミュニティで人気のアプリケーションでした。CloudChat の Web サイトで提供していたトロイの木馬化されたインストーラーには、多段階からなるプロセスの第 1 段階が含まれていました。
影響を受けるセクター
Dicing Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- オンライン ギャンブル
- ソフトウェア、テクノロジー
Digging Taurus
別名
BRONZE HIGHLAND, Daggerfly, Evasive Panda
概要
Digging Taurus は中国を拠点とする脅威グループで、少なくとも 2012 年から活動しています。このグループは、個人や政府機関、組織を標的としたサイバー スパイ活動を行っています。
影響を受けるセクター
Digging Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- コンピューター統合システム設計
- 事務局
- 非営利組織
- 州政府および地方政府
- 電気通信
Insidious Taurus
別名
BRONZE SILHOUETTE, DEV-0391, UNC3236, Vanguard Panda, Volt Typhoon, Voltzite, G1017
概要
Insidious Taurus はスパイ活動と情報収集を中心に行う中国の国家支援型アクターで、2021 年から活動しています。彼らはさまざまな環境寄生型 (Living Off-The-Land、LotL) の手法で検出を回避し、目的遂行にシステム組み込みのツールを使うことで通常の雑多なシステム活動に紛れ込みます。
また彼らは侵害した SOHO (小規模オフィス/ホームオフィス) のネットワーク デバイスを中間インフラとして利用し、自らの活動をさらに隠蔽します。Insidious Taurus は、インターネット接続されたデバイスやシステムの脆弱性を初期アクセス ベクトルとして悪用します。
影響を受けるセクター
Insidious Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 情報技術サービス
- 製造
- 電気通信
- 運輸・物流
- 公共サービス
Jumper Taurus
別名
APT40, BRONZE MOHAWK, Electric Panda, Gadolinium, Gingham Typhoon, IslandDreams, Kryptonite Panda, Ladon, Leviathon, Pickleworm, Red Ladon, TEMP.Jumper, TEMP.Periscope
概要
Jumper Taurus は中国政府とつながりがあると考えられている国家支援型サイバー スパイ グループです。このグループは少なくとも 2013 年から活動しています。一貫して高度な戦術・技術・手順 (TTP) を示し、機微研究における中国の戦略目標の支援や、戦略的な地政学的関係の維持を行っています。
オペレーション時は、初期アクセスとしてフィッシング メールや Web サーバーの脆弱性が使われます。このグループは、中国の海軍近代化の取り組みや一帯一路構想に関連する海洋関連の標的に特に関心を示してきました。
影響を受けるセクター
Jumper Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 金融サービス
- 政府
- ヘルスケア
- 公共事業・エネルギー
Playful Taurus
別名
APT15, Backdoor Diplomacy, BRONZE PALACE, Buck09, Bumble Bee, G0004, Gref, Ke3chang, Mirage, Nickel, Playful Dragon, Red Hera, RoyalAPT, Vixen Panda
概要
Playful Taurus は中国に帰属する国家支援型スパイ活動グループです。少なくとも 2010 年から活動しているグループです。Playful Taurus は歴史的に北南米、アフリカ、中東の政府機関や外交機関を標的にしてきました。彼らは、商用ツールやマルウェア、カスタム バックドアを組み合わせて使います。
影響を受けるセクター
Playful Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 政府
- 非営利組織
- 電気通信
Sentinel Taurus
別名
Earth Empusa, Evil Eye, EvilBamboo, Poison Carp
概要
Sentinel Taurus は、チベット、ウイグル、台湾を標的として大きな関心を示している国家支援型脅威グループです。このグループは、スピア フィッシングと水飲み場攻撃の手法を使い、iOS と Android のモバイル マルウェア ペイロードを標的に配布したと伝えられています。
影響を受けるセクター
Sentinel Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 州政府および地方政府
Stately Taurus
別名
Rhysida, Bronze Fillmore, BRONZE PRESIDENT, DEV-0117, G0129, HoneyMyte, Luminous Moth, Mustang Panda, PKPLUG, Red Lich, RedDelta, TA416, Tantalum, TEMP.Hex
概要
Stately Taurus は中国を拠点としてサイバー スパイ活動を行う脅威アクターです。2017 年に初めて確認されましたが、少なくとも 2012 年から活動していた可能性があります。Stately Taurus は、米国、ヨーロッパ、モンゴル、ミャンマー、パキスタン、ベトナムなどの国々の政府機関、非営利団体、宗教団体、その他の非政府組織を標的にしてきました。
影響を受けるセクター
Stately Taurus はこれまで、以下のセクターの組織に影響を与えてきました。
- 連邦政府
- 専門・法律サービス
Ursa – ロシア
Unit 42 が追跡しているロシア系脅威グループは、Ursa (北斗七星) にちなんで名付けられています。私たちはこれらのグループについて定期的に報告しており、膨大な資料をアーカイブしています。
Cloaked Ursa
別名
APT29, Backswimmer, Blue Kitsune, Blue Nova, Cozy, CozyBear, CozyDuke, Dark Halo, DEV-0473, Dukes, Eurostrike, G0016, Group 100, Hagensia, Iron Hemlock, Iron Ritual, Midnight Blizzard, Nobelium, Noblebaron, Office Monkeys, Office Space, Solarstorm, StellarParticle, TAG-11, The Dukes, UAC-0029, UNC2452, YTTRIUM, UNC3524
概要
Cloaked Ursa は、ロシア対外情報庁 (SVR) に帰属する国家支援型脅威グループです。少なくとも 2008 年から活動しており、ヨーロッパや NATO 加盟国の政府ネットワーク、研究機関、シンクタンクを標的にすることが多いグループです。Cloaked Ursa は 2015 年の夏から民主党全国委員会 (DNC) を侵害し、2019 年から 2020 年にかけての SolarWinds の侵害にも関与したと報告されています。
影響を受けるセクター
Cloaked Ursa はこれまで、以下のセクターの組織に影響を与えてきました。
- 連邦政府
- ハイテク
- 製造
- 公共サービス
Fighting Ursa
別名
APT28, Fancy Bear, G0007, Group 74, IRON TWILIGHT, Pawn Storm, PawnStorm, Sednit, SNAKEMACKEREL, Sofacy, STRONTIUM, Swallowtail, TG-4127, Threat Group-4127, Tsar Team, TsarTeam, UAC-0028
概要
Fighting Ursa は、ロシア連邦軍参謀本部情報総局 (GRU) 所属第 85 主要特殊サービスセンター (GTsSS) 26165 軍事諜報部隊に帰属されている国家支援型脅威グループです。ロシアが関心をもつ標的、とくに軍事上関心をもつ標的に焦点を当てていることでよく知られています。彼らは、2016 年の選挙期間中に民主党全国委員会 (Democratic National Committee: DNC) と民主党議会選挙対策委員会 (Democratic Congressional Campaign Committee: DCCC) を侵害した 2 つのロシア系脅威グループのうちの 1 つとして知られています。
影響を受けるセクター
Fighting Ursa はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 教育
- 連邦政府
- 政府
- IT サービス
- メディア
- 電気通信
- 運輸
- 運輸・物流
- 公共事業・エネルギー
Mythic Ursa
別名
Blue Callisto, Callisto, Callisto Group, COLDRIVER, Dancing Salome, Grey Pro, IRON FRONTIER, Reuse Team, SEABORGIUM, Star Blizzard
概要
Mythic Ursa は、ロシア連邦保安庁 (FSB) 内の諜報組織「センター 18」とつながりをもつロシア系脅威グループで、著名人からの認証情報収集に重点を置いています。このグループは多くの場合、偽アカウントを使って標的と関係を築き、最終的にフィッシング リンクを送って認証情報を収集します。このグループによるカスタム マルウェアの使用が最後に確認されたのは 2022 年 11 月です。
影響を受けるセクター
Mythic Ursa はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 連邦政府
- 高等教育
- 国際関係
- 運輸・物流
Pensive Ursa
別名
Turla, Uroburos, Snake, BELUGASTURGEON, Boulder Bear, G0010, Group 88, IRON HUNTER, Iron Pioneer, Krypton, Minime, Popeye, Turla Team, Venomous Bear, Waterbug, White Atlas, WhiteBear, Witchcoven
概要
Pensive Ursa は、少なくとも 2004 年から活動しているロシアを拠点とする脅威グループで、ロシアの「センター18」連邦保安庁 (FSB) と関係があります。
影響を受けるセクター
Pensive Ursa はこれまで、以下のセクターの組織に影響を与えてきました。
- 防衛システム・装備
- 教育
- 政府
- ヘルスケア
- 非営利組織
- 医薬品
- 研究
Razing Ursa
別名
BlackEnergy, Blue Echidna, Cyclops Blink, ELECTRUM, G0034, Grey Tornado, IRIDIUM, IRON VIKING, OlympicDestroyer, Quedagh, Sandworm, Sandworm Team, Telebots, UAC-0082, Voodoo Bear
概要
Razing Ursa は、ロシア連邦軍参謀本部情報総局 (General Staff Main Intelligence Directorate: GRU) の下位グループに帰属する国家支援型脅威グループです。スパイ活動や破壊活動を目的として、スピア フィッシングや脆弱性を使ってシステムにアクセスします。このグループの活動は、産業用制御システムを標的にしたり、分散型サービス拒否 (DDoS) 攻撃で重要なインフラを混乱させるといったものでした。
影響を受けるセクター
Razing Ursa はこれまで、以下のセクターの組織に影響を与えてきました。
- 連邦政府
- 金融サービス
- メディア、エンターテイメント
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
Trident Ursa
別名
Actinium, Armageddon, DEV-0157, G0047, Gamaredon Group, IRON TILDEN, Primitive Bear, Shuckworm, UAC-0010
概要
Trident Ursa は、少なくとも 2013 年から活動している国家支援型脅威グループです。このグループは、ウクライナ政府やウクライナ軍と関係があると思われる個人を標的にしており、2015 年の Operation Armageddon (アルマゲドン作戦) の背後にいたアクターである可能性が高いと思われます。この作戦では、UltraVNC や Remote Manipulator System (RMS) などのリモート アクセス ツールが配布されていました。このグループは以前は商用ツールを使っていましたが、2016 年に独自開発ツールを使い始めました。
影響を受けるセクター
Trident Ursa はこれまで、以下のセクターの組織に影響を与えてきました。
- ファイナンス
- 卸売、小売
サイバー犯罪脅威アクター グループ
Unit 42 は以下のグループの動機は主に「政治型」ではなく「金銭型」と考えています。このカテゴリーの脅威グループにも若干政治的な動機が含まれている可能性はありますが、主な動機はサイバー犯罪の遂行にあります。このカテゴリーは、サイバー犯罪一般、ランサムウェアの 2 つのグループに分かれています。
Libra – サイバー犯罪
サイバー犯罪は、てんびん座 (Libra) で表わされています。正義の天秤のイメージを使っているのは、適切な選択といえます。
Muddled Libra
別名
G1015, Scattered Spider, Roasted 0ktapus, Scatter Swine, Star Fraud, UNC3944
概要
Muddled Libra は、2022 年後半に初めて報告されたサイバー犯罪グループです。0ktapus フィッシング キットを使い、標的を絞ってフィッシングやスミッシング キャンペーンを行うことから、世界中の組織にとって重大な脅威であると考えられています。このグループのマルウェアは、スキルの低い攻撃者でも高度な認証情報窃取・ MFA コード窃取を実行できるようにすることで急速に注目を集め、世界中の 100 を超える組織に影響を与えました。
Muddle Libra の機能拡張は進み、単なるフィッシング攻撃から価値の高い暗号通貨を狙う複雑なサプライチェーン攻撃へと移行していきました。このグループの運用モデルは従来のサイバー犯罪戦術と現代のデジタル恐喝手法の創造的にかけ合わせたもので、2023 年には Ambitious Scorpius の RaaS アフィリエイト プログラムへの参加もしています。こうした動きは、ランサムウェアを利用してデータの窃取、暗号化、恐喝を実行する、彼らの包括的なサイバー犯罪活動への移行を強調するものとなっています。
また、攻撃者は、保存されたデータを攻撃進行や恐喝に利用するために、SaaS (Software as a Service) アプリケーションやクラウド サービス プロバイダー (CSP) 環境を標的とする取り組みを拡大しました。
影響を受けるセクター
Muddled Libra はこれまで、以下のセクターの組織に影響を与えてきました。
- 金融サービス
- ハイテク
- ホスピタリティ
- メディア、エンターテイメント
- 鉱業
- 専門・法律サービス
- 電気通信
Scorpius – ランサムウェア
ランサムウェア グループは、さそり座 (Scorpius) にちなんで命名されており、よく私たちの調査目的となっています。
Ambitious Scorpius
別名
ALPHV, BlackCat, blackcat_raas
概要
Ambitious Scorpius 多重恐喝を使用し、BlackCat ランサムウェアを配布する RaaS (サービスとしてのランサムウェア) グループです。このランサムウェア ファミリーは 2021 年 11 月に初めて確認されました。このグループはロシア系であると疑われており、Darkside と BlackMatter の後継者の可能性があります。このグループは、知名度の高いサイバー犯罪フォーラムでアフィリエイトを募り、身代金の 80 ~ 90% をアフィリエイトの取り分にできるとします。
2023 年 12 月には合同法執行によって相当の混乱が生じ、同グループにとって大きな打撃となったようです。2024 年 2 月までは活発に新規被害組織のリストが上げられていましたが、被害組織の約 40% は通常見られるような価値の高い標的ではなく規模が小さめの事業者でした。
影響を受けるセクター
Ambitious Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 農業
- 建設
- 教育
- 連邦政府
- 金融サービス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 保険
- 製造
- メディア、エンターテイメント
- 鉱業
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Bashful Scorpius
別名
Nokoyawa
概要
Bashful Scorpius ランサムウェア グループは 2022 年 2 月に初めて確認されたグループで、Nemty ランサムウェアと Karma ランサムウェアの進化形という可能性のある Nokoyawa ランサムウェアを配布していました。多重恐喝戦略を採用しており、暗号化したファイルへのアクセス復元用ツールと窃取データの非開示、これら両方に対して支払いを要求します。
このグループは、Cobalt Strike などのサードパーティ フレームワークやフィッシング メールなど、さまざまな手段を通じてランサムウェアのペイロードを配布します。Nokoyawa ランサムウェアの作者は、漏えいした Babuk ランサムウェアのソース コードから関数を再利用していました。
Nokoyawa ランサムウェアを使うこのグループのランサムウェア オペレーターは、限られたコマンド セットを巧みにあやつり、感染の実行や最終的な成果を精確にコントロールすることができます。これにより、同脅威の有効性と潜在的な被害がさらに増大します。
影響を受けるセクター
Bashful Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- ファイナンス
- ヘルスケア
- ハイテク
- 非営利組織
- 専門・法律サービス
- 州政府および地方政府
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Bitter Scorpius
別名
BianLian, bianlian_group
概要
Bitter Scorpius ランサムウェア グループは適応力が高く、新たに公開された脆弱性をすかさず悪用します。Bitter Scorpius は BianLian ランサムウェアを配布します。この脅威アクターは、被害組織のネットワークへの初期アクセス獲得のために、ProxyShell の脆弱性チェーン (CVE-2021-34473、CVE-2021-34523、CVE-2021-31207) や SonicWall の仮想プライベート ネットワーク (VPN) デバイスを標的にしていました。
2022 年 7 月から活動しており、多重恐喝手法や環境寄生型手法 (Living off the Land: LotL) でラテラル ムーブを行います。彼らは感染ネットワークに存在する防御機能に合わせて活動を調整します。さらに Tor や不可視インターネット プロジェクト (Invisible Internet Project、I2P) ネットワーク上でデータ リーク用のブログを運営しており、窃取された情報には潜在的な漏えいリスクがあります。このグループはまた、暗号化せずに恐喝行為を行っている様子も確認されています。
影響を受けるセクター
Bitter Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 建設
- 教育
- ヘルスケア
- ハイテク
- ホスピタリティ
- 製造
- メディア、エンターテイメント
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 卸売、小売
Blustering Scorpius
別名
Stormous
概要
Blustering Scorpius は、2021 年に初めて登場したアラビア語を話すサイバー犯罪グループです。2022 年にロシア−ウクライナ戦争における緊張につけいって西側諸国の組織を標的にしたことで有名になりました。当初は特に米国の組織を標的にしようとしていましたが、ほどなく世界的な政治的緊張に基づいて組織を標的にし始めました。このグループは多数の攻撃について犯行声明をだしていますが、偽のデータを投稿したり、別グループによる攻撃を横取りしているとして非難されています。
Blustering Scorpius は、フィッシング、脆弱性の悪用、リモート データ プロトコル (RDP)、資格情報の不正使用、マルバタイジングを通じて初期アクセスを取得します。彼らは X (Twitter) や Telegram で自らの功績を喧伝し、フォロワーやアフィリエイトにリーチします。このグループはまた、地政学的緊張をめぐる感情につけいるのにもソーシャル エンジニアリングを利用しています。
Blustering Scorpius は 2023 年 7 月 13 日に GhostSec との共同作戦を開始し、それについて GhostSecのTelegram チャンネルで発表しました。両グループは共同でさまざまな国・セクターの複数の組織を攻撃しています。
影響を受けるセクター
Blustering Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 金融サービス
- ハイテク
- 製造
- メディア、エンターテイメント
- 電気通信
- 公共事業・エネルギー
- 卸売、小売
Chubby Scorpius
別名
Cl0p, CL0P
概要
Chubby Scorpius は、2019 年 2 月に初めて出現した RaaS グループで、Cl0p ランサムウェアを配布します。最初の侵害には大規模なスピア フィッシング キャンペーンが使われます。Chubby Scorpius は検証されデジタル署名されたバイナリーを使うことで、システムの防御をより効果的に回避できるようにしています。
Chubby Scorpius は多重恐喝戦術を採用し、被害者のデータを暗号化するだけでなく、盗んだデータを Tor ネットワーク上の CL0P^_-LEAKS という Web サイトに公開すると脅します。この戦術は被害者に身代金の支払いを強く迫ることになります。被害者はデータを失うだけでなく、機微情報を漏えいさせてしまう可能性にも直面するからです。
Chubby Scorpius ランサムウェア グループは、GoAnywhere MFT プラットフォームにおける CVE-2023-0669 などのゼロデイ脆弱性を悪用します。彼らは GoAnywhere MFT プラットフォームからデータを漏出させ、10 日間で約 130 人の被害者に影響を与えたと主張しています。ただし、被害組織のネットワーク内にはラテラル ムーブの証跡がなかったことから、侵害は GoAnywhere プラットフォーム自体に限定されていたことが示唆されています。このグループはオープンソース インテリジェンスにより被害企業の上級幹部を特定し、盗んだデータを分析しつつ身代金要求メモを送ったものと思われます。
Cl0p ランサムウェアは、MOVEit Transfer 脆弱性を悪用する脅威アクターにより、何千社もの組織の危殆化に使われました。
Chubby Scorpius は通常、組織の従業員に大量のスピア フィッシング メールを送信するか、Web に露出しているアセットの脆弱性を悪用することで、初期アクセスを取得します。アクセス権を得た後は RDP を使って侵害したシステムとやり取りします。Web シェルでデータを漏出させることもあります。
影響を受けるセクター
Chubby Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- ファイナンス
- 金融サービス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 保険
- 製造
- メディア、エンターテイメント
- 鉱業
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Dapper Scorpius
別名
BlackSuit
概要
Dapper Scorpius は、2023 年 5 月初旬に登場し、世界中の幅広い組織に影響を及ぼしているランサムウェア グループで、BlackSuit ランサムウェアを配布します。このグループは、Ignoble Scorpius ランサムウェア グループ (別名 Royal Ransomware) がブランド名を変更したものと思われます。
RaaS モデルを採用する多くのランサムウェア攻撃とは異なり、Dapper Scorpius はアフィリエイトをもたないプライベート グループとして活動しています。彼らはおそらく元 Conti グループや元 Ignoble Scorpius グループのメンバーで構成されています。Dapper Scorpius が採用する配布戦略は多面的で、そのなかにはフィッシング キャンペーンや悪意のある電子メールの添付ファイル、SEO ポイズニング、GootLoader などのローダーを使用したランサムウェア ペイロードの展開などが含まれます。
影響を受けるセクター
Dapper Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 建設
- 教育
- 連邦政府
- 金融サービス
- ヘルスケア
- ハイテク
- 保険
- 製造
- メディア、エンターテイメント
- 非営利組織
- 不動産
- 州政府および地方政府
- 運輸・物流
- 卸売、小売
Dark Scorpius
別名
Black Basta
概要
Dark Scorpius は、2022 年 4 月に登場したロシアの RaaS オペレーションで、Black Basta ランサムウェアを配布します。同グループは Ryuk ランサムウェア グループと Conti ランサムウェア グループから派生しました。Dark Scorpius は、Windows、Linux、VMware ESXi 仮想マシン向けのランサムウェアの亜種を開発し、多重恐喝戦術を採用して攻撃の急増をさせてきました。
このグループの展開戦術には、トロイの木馬 Qakbot への感染、エクスプロイト、フィッシング メールを利用したネットワーク侵入があげられます。Dark Scorpius の初期アクセス戦略には、初期アクセス ブローカー (IAB) との連携も含まれます。
Dark Scorpius はこうしたブローカーの助けを借りて標的ネットワークに容易に侵入し、ランサムウェアの展開や多重恐喝の戦術を簡素化しています。Dark Scorpius は第 2 段階の攻撃実行に多面的アプローチを採用したネットワーク内での認証情報収集やラテラル ムーブを行います。
影響を受けるセクター
Dark Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 農業
- 建設
- 金融サービス
- ヘルスケア
- ハイテク
- 保険
- 製造
- メディア、エンターテイメント
- 鉱業
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Fiddling Scorpius
別名
Play, PlayCrypt
概要
Fiddling Scorpius は 2022 年 6 月が初認のランサムウェア グループで、Play ランサムウェアを配布します。彼らは 2022 年 8 月にアルゼンチンのコルドバ司法当局を標的にしたことを受けて注目を集めました。彼らは被害者に多重恐喝を行っており、これまでに財務情報や個人情報、知的財産、その他の機密データを漏えいしてきました。身代金要求額は 500 ビットコインにも達し、支払いがあれば復号ツールが提供されるとしています。
影響を受けるセクター
Fiddling Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 農業
- 建設
- 連邦政府
- 金融サービス
- ハイテク
- ホスピタリティ
- 製造
- メディア、エンターテイメント
- 鉱業
- 非営利組織
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Howling Scorpius
別名
Akira
概要
Howling Scorpius は、2023 年 3 月が初認 RaaS オペレーションで、Akira ランサムウェアを配布します。このグループのアフィリエイトは通常、ブルートフォース攻撃や脆弱性の悪用、初期アクセス ブローカーからの危殆化した認証情報の購入により、被害組織の VPN アプライアンスを介したアクセスを実現しています。ネットワークに侵入した後は、偵察活動で被害者が重要なデータを保存している場所を特定し、Active Directory の構造を列挙し、ドメイン コントローラーと VMware ESXi サーバーの場所を特定しようとします。
このグループは、有効なローカル管理者アカウントを使って RDP 経由でラテラル ムーブを実行することがよくあります。この脅威アクターは、侵害したデバイスのセキュリティ保護を無効化にしようとします。
また、AnyDesk などのリモート アクセス ツールとして C2 インフラを頻繁に使用します。2023 年後半にはときおり恐喝のみを目的とした攻撃が行われていました。彼らは身代金要求のためにデータを漏出していましたが、被害者のシステムにランサムウェアを展開することはありませんでした。
影響を受けるセクター
Howling Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- ハイテク
- 製造
- 非営利組織
- 専門・法律サービス
- 不動産
- 小売
- 運輸・物流
- 公共事業・エネルギー
Ignoble Scorpius
別名
Royal, Zeon, royal_group
概要
Ignoble Scorpius ランサムウェア グループは 2022 年 9 月に初めて観測されたランサムウェア グループで、Royalランサムウェアを配布し、多重恐喝手法を使って被害者に身代金の支払いを迫ります。このグループは主に Conti ランサムウェア グループの元メンバーで構成されていると疑われており、ひそかに隠れて活動しています。
同グループの背後にいるメンバーのなかには Conti の前身となる Ryuk の開発に加わっていたメンバーもおり、長年の経験を持っています。彼らは、攻撃実行の強固な知識基盤を持ち、どうすれば被害者を効果的に脅迫できるかを知悉しています。その経験もあってか、すでに世界中の数多くの組織が彼らの影響を受けています。私たちは、彼らが最大で 2,500 万ドルの Bitcoin (BTC) を要求していたことを確認しています。
同グループはリーク サイトを活用し、被害者に身代金を支払うよう公然と要求します。Ignoble Scorpius は被害者へのメール送信や身代金要求メモの大量印刷などの手法により、支払いが確保されるまで被害者に嫌がらせをします。
影響を受けるセクター
Ignoble Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- 連邦政府
- ファイナンス
- 金融サービス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 保険
- 製造
- メディア、エンターテイメント
- 鉱業
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Invisible Scorpius
別名
Cloak
概要
Invisible Scorpius は中小企業を標的とし、初期アクセスに IAB (初期アクセス ブローカー) を使うランサムウェア グループです。2022 年の末に初めて確認された脅威アクターで、Stale Scorpius の被害者情報を自らのリーク サイトに投稿したことから、Stale Scorpius ランサムウェア グループとつながりがあると考えられています。
影響を受けるセクター
Invisible Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 連邦政府
- ホスピタリティ
- 専門・法律サービス
- 州政府および地方政府
- 運輸・物流
Mushy Scorpius
別名
Karakurt, Karakurt Lair, Karakurt Team
概要
Mushy Scorpius は、Karakurt ランサムウェアの背後にいるグループで、恐喝に重点を置いていることで知られています。このグループは Conti RaaS グループにリンクしています。2021 年に初めて出現したグループで、知的財産を盗んで被害者に身代金を要求しますが、そのさいデータを暗号化せず、機微データをオークションにかけたり一般公開すると脅します。
恐喝行動の過程では、盗んだファイルのディレクトリーのスクリーンショットやコピーを被害者にデータ窃取の証拠として提供します。彼らは嫌がらせメールや迷惑電話といったかたちで被害組織の従業員やビジネスパートナー、顧客に強引に連絡を取ります。また、社会保障番号や支払口座、個人の電子メール、そのほか機微なビジネス情報など、盗んだデータで圧力をかけてきます。
Mushy Scorpius は、身代金の支払いをあった場合は、被害組織から窃取したファイルを削除した証拠と、最初に被害者の防御を突破した方法についての簡単な説明をときおり提供してきます。このことは、同グループの動機が金銭的利益にあることを強調するとともに、自らの要求を満たすよう被害組織に一定の関与を求めていることも伺わせます。
影響を受けるセクター
Mushy Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- 金融サービス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 保険
- 製造
- メディア、エンターテイメント
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 電気通信
- 公共事業・エネルギー
- 卸売、小売
Pilfering Scorpius
別名
Robinhood
概要
Pilfering Scorpiusランサムウェア グループは、2019 年 4 月以降、数多くの地方自治体や州政府機関を攻撃したことで注目を集めました。この脅威グループは、フィッシング、悪意のある Web サイト、悪意のあるファイルの共有やダウンロードによって初期アクセスを取得することがよくあります。
アクセスを獲得した後は RDP を使って被害組織のネットワーク全体に展開して永続性を維持します。当初の報告からは、これらの攻撃を自動化プロセスで実行しているわけではなく、主に人間が実行していることが明らかになりました。
影響を受けるセクター
Pilfering Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 製薬、ライフ サイエンス
- 公共事業・エネルギー
- 運輸・物流
- 教育
- 非営利組織
- 保険
- ヘルスケア
- 製造
- 連邦政府
- 州政府および地方政府
- 不動産
- 建設
- 金融サービス
- 農業
- 卸売、小売
Powerful Scorpius
別名
BlackByte
概要
Powerful Scorpius は、2021 年 7 月から活動の続く RaaS グループで、BlackByteランサムウェアを配布します。このグループの活動戦術には、Microsoft Exchange Server の ProxyShell 脆弱性を含む脆弱性の悪用や、Cobalt Strike などのツールの使用、難読化やデバッグ対策技術による検出回避などが含まれます。
彼らのマルウェアはシステム言語をチェックし、ロシア語や特定の東ヨーロッパ言語が見つかればプログラムを終了します。それらの地域のシステムへの影響を避けるためでしょう。このグループは活動にさまざまな恐喝手法を使います。
影響を受けるセクター
Powerful Scorpius は、これまでに以下のセクターの組織に影響を与えてきました。
- 金融サービス
- 食料および農業
- 政府
- 製造
- 卸売、小売
Procedural Scorpius
別名
ThreeAM, 3AM
概要
Procedural Scorpius は 2023 年 9 月に発見されたランサムウェア グループです。ある失敗に終わった LockBit 攻撃で、Procedural Scorpius のマルウェアが展開されていることにリサーチャーが気づいたことから発見されました。このグループは 3 am ランサムウェアを配布していて、別の 2 つの悪名高いランサムウェア グループ、Conti ならびに Ignoble Scorpius (Royal ランサムウェアを配布するグループ) と関連していると考えられています。
Procedural Scorpius は被害者のソーシャル メディアのフォロワーにコンタクトして被害者のデータ漏えいを知らせるなど、恐喝手口をエスカレートさせています。彼らはまた、注目度の高い X アカウントに投稿するボットを使い、漏えいについて宣伝します。Procedural Scorpius は、独立国家共同体 (CIS) 以外の国の中規模から大規模の企業を対象としています。
影響を受けるセクター
Procedural Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 金融サービス
- 製造
- 専門・法律サービス
- 卸売、小売
Protesting Scorpius
別名
Cactus
概要
Protesting Scorpius は少なくとも 2023 年 3 月から活動しているランサムウェアグループです。主に大規模な商業組織を標的にしています。このグループは、VPN アプライアンスの脆弱性を悪用して、標的ネットワークへの初期アクセスを確保します。
侵入後、Protesting Scorpius はローカルおよびネットワークのユーザー アカウントとエンドポイントを列挙します。次に、新しいユーザー アカウントを作成し、カスタム スクリプトとスケジュール タスクを介してネットワーク全体にランサムウェアの暗号化プログラムを展開します。Protesting Scorpius は恐喝やデータ漏出を行います。
影響を受けるセクター
Protesting Scorpius は、これまで以下のセクターの組織に影響を与えてきました。
- ホスピタリティ
- 卸売、小売
Salty Scorpius
別名
Trigona
概要
Salty Scorpius は活動利益率の高さを喧伝しています。成功 1 件あたり 20% ~ 50% の利益を謳い、Trigona ランサムウェアを展開して世界中で攻撃を仕掛けています。2022 年 10 月に初めて特定された彼らの活動は、ネットワーク アクセス ブローカーらとの提携によって行われていました。これらのネットワーク アクセス ブローカーらは、ロシアの匿名マーケットプレイス (RAMP) フォーラム経由で、侵害された認証情報を提供していました。この提携は、標的への侵入で必要となる初期アクセスの獲得には不可欠でした。
Salty Scorpius は CryLock グループとつながりがあります。その証拠として、両者が使用する手法、戦略、身代金要求メモのファイル名と電子メール アドレスの一致があげられます。2023 年 4 月までに、Salty Scorpius は侵害された Microsoft SQL (MSSQL) サーバーを悪用してブルート フォース攻撃をしかけ、これらのシステムに侵入することに重点を移しました。
このグループは、標的ネットワーク内で詳細な偵察を行い、リモート監視および管理 (RMM) ソフトウェアによるマルウェアの配布を行い、新規ユーザー アカウントを作成し、最後にランサムウェアを展開します。
2023 年にはハクティビストによる妨害があったものの、2024 年にリーク サイトへの投稿をしています。
影響を受けるセクター
Salty Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- ホスピタリティ
- 卸売、小売
Shifty Scorpius
別名
Hunters International
概要
多くのセキュリティ リサーチャーは、Shifty Scorpius という RaaS グループは Itchy Scorpius (別名 HIVE) というグループがブランド名を変更したものと考えています。これら 2 つのグループのランサムウェア サンプルは、かなり大きくコードが重複しているためです。ただし Shifty Scorpius は Itchy Scorpius からソース コードとインフラを直接取得した独立グループだと主張しています。
他のランサムウェア グループとは異なり、Shifty Scorpius は暗号化ではなく、データ漏出に主眼をおいています。2023 年 10 月に最初に発見された Shifty Scorpius による攻撃は、主に日和見的なものでした。被害者はさまざまなセクターや地域にまたがっていますが、このグループは定期的にヘルスケア関連組織に影響を与えているようです。
影響を受けるセクター
Shifty Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 金融サービス
- ヘルスケア
- ホスピタリティ
- 製造
- 運輸・物流
Spicy Scorpius
別名
Avos, AvosLocker
概要
Spicy Scorpius は、2021 年に重大脅威として初めて登場した RaaS グループです。このグループは多重恐喝戦術を使います。また、リモート管理ツールの AnyDesk を使って被害者のマシン上で手動による操作を行います。セキュリティ対策を回避するためにセーフモードで操作を行う場合があります。身代金の要求に加え、盗んだデータをサイト上でオークションにかけることもあります。
このグループの展開戦略には、初期アクセスに Log4Shell などの脆弱性を利用することが含まれています。このグループは高度に組織化されており、従来のサイバー犯罪組織というよりも合法的な技術系企業のようです。
同様の攻撃では Windows システムが特に狙われやすいのですが、このグループが使う脅威は、その登場以来、特に Linux システムと VMware ESXi サーバーを集中的に狙うものとして進化してきました。
影響を受けるセクター
Spicy Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- ファイナンス
- 金融サービス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 保険
- 製造
- 鉱業
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Spikey Scorpius
別名
Agenda, Qilin, Qilin Team
概要
Spikey Scorpius は RaaS のアフィリエイト プログラムとして運営されています。ペイロードは Rust と Go で書かれていて、各被害者に合わせてカスタマイズすることで最大の効果を発揮するようにしています。そのさいは、暗号化ファイルのファイル拡張子変更や特定プロセス/サービスの終了といった戦略が使われます。Spikey Scorpius は独自データ リーク サイトを使って多重恐喝を行います。このサイトには、被害組織ごとに一意な ID と漏えいしたアカウント情報が記載されます。
影響を受けるセクター
Spikey Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- 連邦政府
- 金融サービス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 保険
- 製造
- メディア、エンターテイメント
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 電気通信
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Spoiled Scorpius
別名
RansomHub
概要
Spoiled Scorpius は、2024 年 2 月に初めて観察された RaaS オペレーションで、「koley」または「BackHub」という名前で知られるアクターが管理しています。この脅威アクターは、XSS や RAMP などのフォーラムでオペレーションを開始しました。ランサムウェア業界では新参者なので、このアクターの信頼性は今のところ不明です。
このグループは、一方的に電話を掛けてきて恐喝したり DDoS 攻撃をしかけたりなど、複雑な戦術で被害者を屈服させようとします。RansomHub 管理パネルには、身代金キャンペーンのカスタマイズ、被害者とのコミュニケーション、データ交渉ツールなどの機能が備わっています。このグループの利益分配モデルでは、アフィリエイトに 90% を、コア グループに 10% を分配することになっています。
Spoiled Scorpius の所有者は、中国、キューバ、北朝鮮、独立国家共同体諸国 (Commonwealth of Independent States: CIS) など特定の地域に対する攻撃を制限するルールを設けています。この制限はよくあるものですが、アクターがそれらのいずれかの国から活動していることを示唆している可能性があります。
同グループは非営利団体への攻撃にも制限を設けており、すでに身代金を支払った被害者に対する追加攻撃を抑止するルールも設けています。
影響を受けるセクター
Spoiled Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 農業
- 建設
- 教育
- 金融サービス
- ヘルスケア
- ハイテク
- 製造
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 運輸・物流
- 公共事業・エネルギー
- 卸売、小売
Squalid Scorpius
別名
8Base
概要
Squalid Scorpius ランサムウェア グループは、2022 年 3 月に初めて出現したグループで、多重恐喝戦術を使います。このグループは当初は攻撃が比較的少なく目立っていませんでしたが、2023 年 6 月に活動を激化させ、より攻撃的なアプローチを見せるようになりました。
彼らは暗号化技術とネーム・アンド・シェイム (name-and-shame、名指し非難) の戦略を組み合わせて被害者に身代金支払いを迫ります。Squalid Scorpius は、Phobos ランサムウェアのカスタマイズ バージョンを含む、多数のランサムウェア亜種を使ってきました。このことは、彼らの技術的適応力の高さだけでなく、検出回避や影響の最大化に重きを置く姿勢も示すものです。この適応力は彼らの使う高度な暗号化技術や戦略に顕著に表れています。彼らは Windows システムのユーザー アカウント制御 (UAC) メカニズムを回避し、即座に検出されることなく悪意のあるペイロードを実行することができます。
影響を受けるセクター
Squalid Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 公共事業・エネルギー
- 卸売、小売
Squeaking Scorpius
別名
Rhysida
概要
Squeaking Scorpius は、2023 年 5 月に初めて確認された RaaS グループです。多重恐喝を使い、被害者のデータを漏えいさせます。主な初期アクセス手法は、フィッシング メールを使うか、盗んだ資格情報で VPN などのリモート サービスに対する認証を行うかです。特に多要素認証を使っていない組織については後者の方法がとられます。
被害環境への侵入後は環境寄生型 (Living off the Land: LotL) 技術を使い、たとえば PowerShell で環境情報を列挙したり、RDP 接続をラテラル ムーブに使ったりします。被害環境では Cobalt Strike やマルウェア対策プログラムを終了するスクリプトも使われていました。このグループは 4096 ビットの RSA 暗号化キーでデータを暗号化する Rhysida ランサムウェアを配布します。
一部のリサーチャーらは、このグループと Vice Society ランサムウェアの背後にいるアクターとの間につながりがあることを示しており、これがグループ名の変更ではないかと示唆しています。
影響を受けるセクター
Squeaking Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 州政府および地方政府
Stale Scorpius
別名
Good Day
概要
Stale Scorpius は、2023 年 5 月に初めて確認されたランサムウェア グループです。Stale Scorpius のインフラや、彼らの被害者とされている組織は、Invisible Scorpius と密接に関連しています。このため、リサーチャーらは両グループがつながっていると考えています。Invisible Scorpius による攻撃で確認された脅威アクターのチャンネルや電子メール アドレスなどの連絡先情報は、Stale Scorpius による攻撃でも確認されています。
影響を受けるセクター
Stale Scorpius はこれまで、次のセクターの組織に影響を与えてきました。
- 建設
- 教育
- 連邦政府
- ヘルスケア
- ハイテク
- 保険
- 製造
- メディア、エンターテイメント
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 卸売、小売
Stumped Scorpius
別名
NoEscape, No Escape
概要
Stumped Scorpius は、2023 年 5 月に初めて出現したRaaS グループです。2021 年に活動を停止した Avaddon ランサムウェア グループの後継者として急速にその地位を確立しました。ヘルスケアを含む幅広いセクターを標的とし、多重恐喝戦術を積極的に使います。
彼らは Windows、Linux、VMware ESXi サーバー上のファイルを暗号化し、数十万ドルから 1,000 万ドルを超える身代金を要求します。開発者らは、マルウェアやインフラをゼロから構築したと主張しており、既存コードを再利用することの多い他のランサムウェアファミリーとは一線を画しています。
Stumped Scorpius は、反射型 DLL インジェクションなどの手法を用いて VMware ESXi サーバーを標的にします。強力な RaaS プラットフォームを持っており、アフィリエイトはこのプラットフォーム上で暗号化戦略や身代金要求などの攻撃をカスタマイズできるようになっています。
彼らのランサムウェアは Windows の UAC を回避し、シャドウ コピーとシステム バックアップを削除するコマンドを実行してファイルの復旧を防止します。ファイルの暗号化には Microsoft Enhanced RSA や AES 暗号化プロバイダー (AES Cryptographic Provider) を使います。
影響を受けるセクター
Stumped Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- 連邦政府
- メディア、エンターテイメント
Transforming Scorpius
別名
Medusa (注: 2019 年から提供されているべつの RaaS、MedusaLocker と名前は似ていますが混同しないようにしてください)
概要
Transforming Scorpius は、2021 年 6 月が初認の RaaS グループです。典型的には、多重恐喝攻撃を行い、AES2-256 による暗号化と暗号化された C2 チャネルを使います。Transforming Scorpius はさまざまなファイル タイプを暗号化の対象としつつも、システムの操作性が損なわれないよう、DLL や EXE、LNK などの特定の拡張子を回避し、特定のフォルダーを暗号化から除外します。
影響を受けるセクター
Transforming Scorpius は、これまで以下のセクターの組織に影響を与えてきました。
- 建設
- 教育
- 連邦政府
- ヘルスケア
- ハイテク
- 保険
- 製造
- メディア、エンターテイメント
- 非営利組織
- 製薬、ライフ サイエンス
- 専門・法律サービス
- 不動産
- 州政府および地方政府
- 卸売、小売
Twinkling Scorpius
別名
HelloKitty, Gookie, HelloGookie
概要
Twinkling Scorpius は 2020 年 11 月に識別された、HelloKitty ランサムウェアを配布するランサムウェア グループです。Windows システムを標的としています。SonicWall デバイスなどに存在するパッチが適用されていない脆弱性を利用し、被害組織のネットワークへの初期アクセスを獲得します。Unit 42 は 2021 年 7 月、このグループが VMware ESXi ハイパーバイザーを標的とする HelloKitty の Linux 亜種を使っていたことを観察しています。
このグループは通信に電子メールと Tor チャットの両方を使います。2023 年の後半に「Gookee/kapuchin0」「Guki」の名で知られるランサムウェア開発者兼運営者がソース コードを公開して活動を停止しました。
2024 年 3 月に同グループはブランド名を変更し、現在は自ら Gookie または HelloGookie と名乗っています。ブランド変更を記念し、このマルウェアの作者は CD Projekt Red の侵害と 2022 年の Cisco の攻撃で盗んだデータを公開しました。
影響を受けるセクター
Twinkling Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 航空宇宙、防衛
- 情報技術サービス
Weary Scorpius
別名
Phobos
概要
Weary Scorpius は 2018 年に初めて登場した RaaS グループで、Phobos ランサムウェアを配布します。彼らの作成物は Dharma ランサムウェア ファミリーと密接に関連していて、戦術・技術が共通しています。
Phobos ランサムウェアの設計はシンプルですが、安全でない RDP 接続やフィッシング メールなど、効力が折り紙付きの攻撃ベクトルでシステムを侵害することから、サイバー犯罪者の間で人気を博しています。組織のサーバーを主な標的とし、組織にとってそれらのサーバーが持つ価値を盾にとって、身代金要求額を釣り上げます。サイズの大きいファイルに対しては暗号化を部分的に行う戦略を使い、暗号化ルーチン完了に必要な時間を短縮します。
このランサムウェアは進化の過程で復旧処理の有効性低下を狙った技術を組み込むようになりました。たとえばシステム回復オプションを無効にしたり、シャドウ コピーやバックアップ カタログを削除したりする技術を使います。
Phobos ランサムウェアは、米国、ポルトガル、ブラジル、日本を含むさまざまな国で報告されています。こうした標的範囲の広さからは Weary Scorpius の適応力の高さと、いかに多様な組織に影響を及ぼす脅威であるかがわかります。
影響を受けるセクター
Weary Scorpius はこれまで、以下のセクターの組織に影響を与えてきました。
- 教育
- ファイナンス
- ヘルスケア
- ハイテク
- ホスピタリティ
- 専門・法律サービス
- 卸売、小売
2024-08-08 09:10 JST 英語版更新日 2024-08-07 12:05 PDT の内容を反映し、見出しを明確化
脅威リサーチ
脅威アクター グループ
Unit 42 からの最新情報を取得