FBI、CISA、MS-ISACは共同で、ランサムウェア「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
米国連邦捜査局(FBI)、国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、複数国家情報共有・分析センター(MS-ISAC)は2025年2月19日(米国時間)、ランサムウェア(身代金要求型マルウェア)「Ghost」に関する共同サイバーセキュリティアドバイザリを発表した。
米国の政府機関は省庁横断で「#StopRansomware」と呼ぶランサムウェア対策活動に取り組んでいる。このアドバイザリは「#StopRansomware: Ghost(Cring) Ransomware」と題して発表された。
アドバイザリは、FBIの2025年1月までの調査に基づいている。それによると、Ghostアクター(Ghostを使用する攻撃者)は2021年初めから、インターネットに接続され、古いバージョンのソフトウェアやファームウェアを実行しているサービスを運用する組織を標的として、攻撃を仕掛けるようになった。
Ghostアクターは、脆弱(ぜいじゃく)性を含むネットワークをこうして無差別に攻撃し、中国を含む70カ国以上の組織が侵害を受けた。Ghostアクターは中国に拠点を置き、金銭目的で攻撃活動をしている。攻撃対象には、重要インフラ、学校、大学、医療機関、政府ネットワーク、宗教組織、テクノロジー企業、メーカー、多数の中小企業が含まれている。
Ghostアクターは、ランサムウェアの実行可能なペイロードをローテーションし、暗号化されたファイルの拡張子を変更し、脅迫状の文面も変え、多数の連絡用メールアドレスを使用する。そのため、Ghostアクターは時間の経過とともに、さまざまなグループ名で呼ばれるようになった。その中にはGhost以外に、「Cring」「Crypt3r」「Phantom」「Strike」「Hello」「Wickrme」「HsHarada」「Rapture」などが含まれる。Ghostが攻撃に使用したランサムウェアファイルの例としては、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeなどがある。
Ghostアクターは、公開されている脆弱性悪用ツールを使用し、既知の脆弱性を突いて、インターネットに接続されたサーバにアクセスする。利用可能なパッチが適用されていないネットワークを標的にしている。
Ghostアクターがこうしたネットワークへの初期アクセスのために悪用した脆弱性には、Fortinet FortiOSアプライアンスの脆弱性(CVE-2018-13379)、Adobe ColdFusionの脆弱性(CVE-2010-2861、CVE-2009-3960)、Microsoft SharePointの脆弱性(CVE-2019-0604)、Microsoft Exchangeの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)などがある。Microsoft Exchangeの3つの脆弱性は、ProxyShell攻撃チェーンで悪用されることが知られている。
アドバイザリは、Ghostアクターのランサムウェア攻撃の技術的詳細について、以下の項目に沿って解説している。
さらに、連絡用メールアドレスや脅迫状を含む侵害の指標(IOC)を列挙するとともに「MITRE ATT&CK」フレームワークに基づいてGhostアクターの戦術と手法を整理している。
企業や組織におけるサイバーセキュリティ態勢を改善するため、アドバイザリでは、次の緩和策の実施を推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
Security & Trust 記事ランキング