全1922文字
PR

 相次ぐランサムウエア攻撃。被害に遭うと業務データを暗号化されるとともに、業務データをダークウェブなどで公開される恐れがある。

 攻撃者の目的は金銭だ。攻撃したことを相手に知らせて脅迫。暗号化された業務データを復元したければ、また業務データを公開されたくなければ身代金を支払うよう求める。

 だが、金銭目的ではないと思われるランサムウエア攻撃が確認された。攻撃者は、企業の知的財産や機密情報を狙うサイバースパイとみられる。

 秘密裏に行動するはずのサイバースパイが、なぜ攻撃したことを知らせるランサムウエアを使うのか。その謎に迫る。

別のサイバースパイと手口が類似

 セキュリティー企業の米セキュアワークスは2022年6月下旬、ランサムウエアを使うサイバースパイを報告した。このサイバースパイは「ブロンズスターライト(Bronze Starlight)」と名付けられた。

 ランサムウエアを使うブロンズスターライトを、なぜサイバースパイと見抜いたのか。それは、別のサイバースパイ「ブロンズリバーサイド(Bronze Riverside)」と手口が似ているからだ(表1)。

表1●共通点は「HUI Loader」の使用
攻撃者グループ「ブロンズスターライト」と「ブロンズリバーサイド」の比較。主な攻撃や標的などは異なるものの、いずれも「HUI Loader」と呼ばれる独特なマルウエアを使用する。表は米セキュアワークスの資料を基に作成した。
表1●共通点は「HUI Loader」の使用
[画像のクリックで拡大表示]

 ブロンズリバーサイドは、中国政府が支援しているとされるサイバースパイ。主に日本企業の知的財産を狙ってサイバー攻撃を仕掛けている。

 ブロンズスターライトとブロンズリバーサイドの共通点の1つが「HUI Loader」と呼ばれるマルウエア(悪質なプログラム)を使うこと。HUI ローダーは正規のプログラムによりDLLとして呼び出されて動き出す(図1)。そしてインターネットから暗号化された別のマルウエアをダウンロードおよび復号して実行する。暗号化されているのは、ダウンロード時にゲートウエイのセキュリティー製品などに検知されないようにするためだ。

図1●別のマルウエアをダウンロードして実行
図1●別のマルウエアをダウンロードして実行
HUI Loaderの大まかな動き。ブロンズスターライトとブロンズリバーサイドが共通して使用するHUI Loaderは、別のマルウエアをダウンロードして実行する。「ローダー」と呼ばれるマルウエアに分類される。
[画像のクリックで拡大表示]

 セキュアワークスによると、HUI ローダーを使うのは中国政府が支援するサイバースパイに限られるという。