DEV-0569 脅威アクターの Royal ランサムウェアと新たな攻撃手法
Yahoo ニュースにも記事が掲載されていましたが、Microsoft が DEV-0569 と一時的に名付けて追跡している脅威アクターの活動についての情報です。
DEV-0569 finds new ways to deliver Royal ransomware, various payloads - Microsoft Security Blog
2022年9月に出現した Royal ランサムウェアは複数の脅威アクターから展開されており、DEV-0569 は防御を回避し新たなランサムウェア展開を行っていると警告しています。
- 標的となる組織の Webサイトで問合せフォームに投稿し、応答に対してフィッシングメールを仕掛ける
- TeamViewer や Adobe Flash Player、Zoom など正規のソフトウェアダウンロードやアップデートを装い、偽のインストーラファイルをダウンロードさせる
- Google 広告を使用し、特定の条件下でマルウェアのダウンロードサイトへリダイレクトする「マルバタイジング」手法のキャンペーンを確認
DEV-0569 の典型的な攻撃は、悪意ある広告、偽のフォーラムページ、ブログのコメント、フィッシングメールを介して配信される悪意あるリンクから始まり、BATLOADER と呼ばれるマルウェアダウンローダーを起動させます。
また、オープンソースツール NSudo を使用してウイルス対策ソリューションを無効化しようとします。
DEV-0569 は、初期アクセスにマルバタイジングとフィッシングを利用し続ける可能性が高いとされており、防御対策としては、
- Microsoft Defender SmartScreen などで悪意あるリンクアクセスを阻止する
- Microsoft Defender for Office 365 の「安全なリンク」機能でメール本文中のリンクURL をチェック
- Microsoft Defender AntiVirus のクラウド保護、ファイルサンプルの送信を有効にする
などが挙げられています。