最新の脅威分析: Killnet Hack-for-Hire Group

以下は脅威分析で、 Quadrant Securityが Killnet のハック・フォー・ハイヤー・グループに対して実施した調査の詳細です。

キルネットとは？

Killnet は、ロシア政府の戦略的目標と強力ではあるが間接的な結びつきを持つハッキング・フォー・ハイヤー・グループであり、主に分散型サービス妨害 ( DDoS ) を優先攻撃ベクトルとして利用しています。これまでのところ、このグループの影響は限られていますが、Killnet が悪意のあるネットワークを通じて攻撃を展開し、エスカレートし続けることを示す強力な兆候があります。

キルネット活動の背景

いくつかの情報源は、KillNet が「政府の医療情報源」からロッキード マーチンに至るまでのデータ侵害の責任を主張していると述べています。これは、サービス拒否攻撃自体の予想される結果ではありません。この記事の執筆時点では、Killnet がこの情報をどのように取得できたかを示す直接的な証拠はありませんが、公開サービスに対するブルート フォース辞書攻撃が観察されたとある情報源は述べています。ただし、このソースは参照を提供しませんでした。

他のアナリストは、DDoS の継続的な使用は、防御手段やチームの注意をそらし、誤った方向に向けて、ランサムウェア/ワイパー マルウェア感染などのより有害な攻撃の発生を可能にする可能性があることを示唆しています。

親ロシア派の姿勢が強いため、他の親ロシア派グループが彼らの支援に来て、Killnet ターゲットの攻撃を標的/支援する可能性があると信じている人もいます。リストされている特定のグループの 1 つは、Conti Ransomware グループです。 Killnet と Conti の両方が、ウクライナ侵攻後のロシアへの支援を表明しました。さらに、Killnet は、力を結集し、他の親ロシア派のハッキング グループをまとめたいという願望を公に表明しています。複数の Telegram チャネルを維持していますが、Killnet は攻撃者を集めるための独自のフォーラムも設立しています。

インフィニティ フォーラムに飛び込む

フォーラムを詳しく調べると、Killnet / Infinity Forum の資金調達から、フィッシング キャンペーン、盗まれたクレジット カード情報、盗まれたデータの使用方法など、さまざまな悪意のある活動を提供する機能しているストアに至るまで、複数のセクションが表示されます。

フォーラムのもう 1 つの憂慮すべき部分は、「指名手配」セクションとして機能します。観測された投稿の 1 つは、ワイパー マルウェアの開発者を勧誘するもので、彼らはすでに病院に侵入し、権限をエスカレートしたと述べています。病院の名前は明らかにされていませんが、スクリーンショットから、侵害された標的がウクライナ人であることがわかります。同様のスレッドに関する他のコメントは、VNC が MRI スキャンの表示と編集に利用されたと述べている、英語を話す病院の妥協を示しています。

このフォーラムのニュース セクションは、ウクライナの「SVO」 (Spetsialnaya Voennaya Operatsiya == SMO (Eng)、特別軍事作戦) に関する親ロシアのプロパガンダでいっぱいです。このようなフォーラムは、「オープンな」インターネット上ではなく、TOR 接続上にあることが期待されます。一部のフォーラムは、月末にTORへの移行が予想される可能性があることを示しています。

研究のまとめ

DDoS の脅威はいくらか懸念されますが、Killnet の犯罪パートナーシップが「標的を共有」する可能性は、はるかに憂慮すべきことです。これは、最近のアクティブな侵害を示すインフィニティ フォーラムのアクティブなスレッドによって悪化します。 KillNet がこの悪意のあるネットワークを介して攻撃を展開し、エスカレートし続けることを示す強力な兆候があります。

KillNet ATP グループの最大の懸念は、TTP が暗示的に暗号化ベースのマルウェア (ランサムウェア/ワイパー マルウェア) に進化していることと、恐喝/二重恐喝攻撃の可能性、または最終目標としての標的のデータの完全な損失であると私たちは判断しています。 .

アナリストの推奨事項を含む完全な脅威分析の詳細を表示またはダウンロードするには、https: //quadrantsec.com/blog/threat-analysis-killnetにアクセスしてください。