関連インシデント
Loading...
- 調査の全文は Check Point でご覧ください。このインシデントレポートでは、図、グラフ、表、および特定の詳細は省略されています。 * 要点 ---------- - FunkSec ランサムウェアグループは 2024 年後半に出現し、12 月には 85 人以上の被害者を公開し、その月の他のすべてのランサムウェアグループを上回りました。 - FunkSec のオペレーターは、経験の浅いアクターでも高度なツールを迅速に作成して改良できる AI 支援のマルウェア開発を使用しているようです。 - このグループの活動はハクティビズムとサイバー犯罪の境界線上にあり、彼らの真の動機を理解する取り組みを複雑にしています。 - このグループから漏洩したデータセットの多くは、以前のハクティビズムキャンペーンから再利用されたものであり、開示内容の信憑性に疑問が生じています。 - ランサムウェアグループの脅威を評価する現在の方法は、アクター自身の主張に依存することが多く、より客観的な評価手法の必要性が浮き彫りになっています。はじめに ------------ FunkSec ランサムウェア グループは、2024 年後半に初めて公に登場し、12 月の他のどのランサムウェア グループよりも多くの 85 人以上の被害者を公開したことで急速に注目を集めました。新しい Ransomware-as-a-Service (RaaS) オペレーションとして登場した FunkSec は、以前に特定されたランサムウェア ギャングとの既知のつながりはないようであり、その起源やオペレーションについて現在入手できる情報はほとんどありません。グループの活動を分析したところ、公開された被害者の印象的な数は、実際の被害者とグループの専門知識のレベルの両面で、より控えめな現実を覆い隠している可能性があることがわかりました。FunkSec のコア オペレーションのほとんどは、経験の浅いアクターによって実行されている可能性があります。さらに、グループの主な目的は知名度と認知度を高めることであると思われるため、漏洩した情報の信憑性を検証することは困難です。証拠によると、漏洩した情報は以前のハクティビスト関連の漏洩から再利用されたものがいくつかあり、その信憑性に疑問が生じています。本レポートでは、FunkSec とハクティビストの活動とのつながりを探り、アルジェリアを拠点とする比較的経験の浅いマルウェア作成者が開発したと思われるカスタム暗号化ツールなど、同グループの公開された活動やツールを詳細に分析しています。意外なことに、暗号化ツールを含む同グループのツールの開発は AI の支援を受けた可能性が高いことがわかりました。作成者が技術的な専門知識を欠いているように見えたにもかかわらず、ツールが急速に進化したのも AI の支援によるものかもしれません。この事例は、ハクティビズムとサイバー犯罪の境界線がますます曖昧になっていることを浮き彫りにし、両者を区別することの難しさを強調しています。そのような区別が本当に存在するのか、あるいは運営者がその区別を認識しているか、定義することに関心があるかどうかは不明です。さらに重要なのは、ランサムウェア グループがもたらすリスクを評価する現在の方法の信頼性にも疑問が投げかけられることです。特に、その評価が攻撃者自身の公の主張に依存している場合はなおさらです。 背景 - FunkSec の活動 ----------------------------- FunkSec は、2024 年 12 月にデータ漏洩サイト (DLS) を立ち上げ、ランサムウェア活動を一元化した新興のランサムウェア グループです。このグループは、データ窃盗と暗号化を組み合わせた二重の恐喝戦術を使用して、被害者に身代金を支払うよう圧力をかけています。DLS には、侵害の発表、カスタム開発された DDoS ツール、さらに最近では、ランサムウェア アズ ア サービス (RaaS) として提供されるカスタム ランサムウェアが備わっています。FunkSec は、その攻撃的な戦術と標的の数で世間の注目を集め、1 か月強の活動で 85 人以上の被害者を主張しています。特に、FunkSec は異常に低い身代金を要求し、時にはわずか 1 万ドルという低価格で盗んだデータを第三者に販売していました。このグループの活動はサイバー犯罪フォーラムで広く議論されており、悪評の高まりにさらに寄与しています。FunkSec の活動と DarkWeb の議論を詳しく分析すると、グループに関する興味深いヒントがいくつか得られます。つまり、彼らの動機はハクティビズムとサイバー犯罪の境界線上にあるようです。興味深いことに、FunkSec にリンクされているメンバーの中には、以前にハクティビスト活動に従事していた人がおり、活動に複雑な層を加え、真の目的について疑問を投げかけています。この戦術と背景の融合により、FunkSec は特に詳細な調査が必要な興味深いケースとなっています。 FunkSec の提供物 ----------------- ### ランサムウェア FunkSec の運営者は最近、急速に進化するカスタム ランサムウェアの提供を開始しました。多くは数日おきに公開される新しいバージョンごとに、Web サイトが更新され、追加された機能が強調されます。最新バージョン V1.5 の発表では、運営者はその検出率の低さを自慢し、公開時点で 3 つのウイルス対策エンジンによってのみ検出されたことを示す VirusTotal のスクリーンショットを共有しました。彼らの出版物で参照されているファイル (
5226ea8e0f516565ba825a1bbed10020982c16414750237068b602c5b4ac6abd) はdev.exeという名前で、アルジェリアのソースからアップロードされ、アップロード時に実際に検出されたのは 3 つのエンジンだけでした。このランサムウェアは拡張子 ".funksec" で識別され、Rust で記述され、C:\Users\Abdellah\の環境でコンパイルされています。このマルウェアの完全な分析は、技術分析セクションで提供されています。このランサムウェアの分析では、経験の浅いマルウェア作成者によって進行中の開発作業である可能性が高い、そのすべてのバージョンが明らかになりました。特に、ほとんどのバージョンは、おそらく作成者自身によってアルジェリアからアップロードされました。これらのサンプルを分析すると、身代金要求のメモの 2 つのバリエーションが明らかになりました。最初のものは FunkSec を参照し、2 つ目は Ghost Algeria を参照しており、これも開発者がアルジェリア出身であることを示しています。興味深いことに、作成者は Rust で書かれたマルウェアのソース コードの一部もアップロードしています。*ransomware.rs*という名前のソース コード ファイルには、コンパイルされたバイナリの機能の一部が含まれており、12 月 15 日にアルジェリアの情報源から VirusTotal にアップロードされました。このランサムウェアのプロトタイプ バージョンは簡略化された実装で、次の機能が含まれています。- ユーザーのシステム上のすべてのファイルを暗号化 (C:\ディレクトリ内)、RSA と AES 暗号化の組み合わせを使用して暗号化します。暗号化後、元のファイルは削除され、新し�い拡張子 (.funksec) を持つ暗号化バージョンが作成されます。- 身代金要求メモを作成 (readme.me)。ユーザーにファイルが暗号化されたことを通知し、復号キーを取得するために身代金を支払う手順を示します。 - システム環境を変更します (例: デスクトップの背景を黒に変更する)。 - 実行する前に 管理者/ルート権限 があるかどうかを確認します。 ### その他の無料ツール ランサムウェアに加えて、FunkSec グループは追加のツールを提供しています。そのほとんどは、ハクティビストの活動に関連するものです。 - FDDOS (Python の「Scorpion DDoS ツール」) は、HTTP または UDP フラッド メソッドを使用して分散型サービス拒否 (DDoS) 攻撃を実行するように設計されたネットワーク ストレス テスト ツールです。 - JQRAXY_HVNC HVNC サーバーおよびクライアント C++ プログラムは、リモート デスクトップの管理、自動化、およびデータ操作用に設計されています。 - funkgenerate は、指定された URL から電子メールと潜在的なパスワードをスクレイピングし、新しいパスワードの候補を生成するように設計されたスマートなパスワード生成およびスクレイピング ツールです。関連する脅威アクター ------------------------ 2024 年後半、FunkSec が予告なく出現し、ハクティビズムを装ってランサムウェアの被害者のフィードとモニターを瞬く間に支配しました。インドと米国を標的にし、「パレスチナ解放」運動に同調することで、このグループは複数のペルソナと別名を利用してイメージを作り、認知度を高めました。 ### Scorpion Scorpion は FunkSec の最も著名なメンバーであり、グループの公開プロフィールの大部分に関連付けられています。このアクターは複数の別名を使用しており、最も有名なのは DesertStorm です。このアクターは、2024 年 10 月に「Scorpion」(@scorpioncybersec) チャンネル経由で投稿された YouTube 動画を通じて FunkSec の名前を紹介し、Breached Forum に初めて登場しました。動画では、当時の米国大統領候補のドナルド・トランプとイスラエルのベンヤミン・ネタニヤフ首相の通話内容を FunkSec がリークしたと主張しています。しかし、その録画は明らかにAIによって生成されたものだった。DesertStormのYouTubeプロフィールでは所在地がロシアと記載されていたが、動画の共有URLはブラジルからアップロードされたことを示唆していた。DesertStormは2024年11月にアカウントが禁止されるまで、Breached Forumにリーク情報を投稿し続けていたが、そのほとんどは未確認かFunkSecによるものではない。DesertStormの投稿の1つで、彼らは誤って、所在地がアルジェリアで、キーボード設定がフランス語であることが明らかになる不利なスクリーンショットを共有していた。関係者とみられるXTNは、DesertStormにこの運用セキュリティ(OpSec)の不備を公に警告したが、DesertStormは不利な情報を削除しなかった。DesertStormが禁止される前に、このアクターはFunkSecのリークと活動に関連するフォーラム投稿で、El_FaradoとBlakoという2人の他のユーザーにタグ付けを開始した。 Blako がフォーラムで活動していない間、El Farado は徐々に重要な役割を担うようになり、フォーラムで FunkSec を宣伝したり、リークを共有したり、グループの .onion サイトを署名に追加したりしました。この人物は、Keybase アカウントに「Scorpionlord」という名前でリンクされており、FunkSec の管理者としてリストされて��います。このアカウントは、FunkSec の恥サイトと Breached Forum の DesertStorm のユーザーに関連付けられています。Scorpionlord は、FunkSec の Web サイトが宣伝されていた他の 2 つのサイバー犯罪フォーラムのユーザー名でもあります (これらのユーザーはその後削除されました)。特に、El Farado の Keybase プロファイルは Scorpionlord と同じ日に登録されており、協調的な取り組みを示唆しています。3 つ目の Keybase プロファイルである Blako は、そのわずか数日後に登録されており、これらのペルソナがすべて密接に関連しているという考えをさらに裏付けています。 ### El_farado El Farado は、2024 年 11 月に DesertStorm が Breached Forum から追放された後、FunkSec の活動において重要人物として浮上しました。El Farado は、FunkSec の宣伝、フォーラムでの可視性の確保、疑惑のリークの共有という任務を引き受けました。FunkSec との主要なつながりは次のとおりです。 - DesertStorm によるタグ付け: DesertStorm の投稿は頻繁に El Farado にタグ付けされ、FunkSec に直接リンクされていました。 - Keybase プロファイルの登録: El Farado の Keybase アカウントは Scorpionlord と同じ日に登録されており、2 人のペルソナの間に強いつながりがあることを示唆しています。 - プロモーション活動: El Farado は、Breached Forum で FunkSec の .onion サイトを積極的に宣伝し、リーク (多くの場合、信頼できないか、リサイクルされたもの) を共有しました。 - 新人のような行動: El Farado は時折、「ハッカーは漏洩したデータで何をするのか?」などの基本的なハッキングの質問をするスレッドを投稿しました。この行動は経験不足を示唆しており、Scorpion が認めた同グループの技術的ノウハウの欠如を裏付けるものである。 ### XTN XTN は、FunkSec の Web サイトで宣伝されている「データ ソート」サービスと関連しているが、このサービスの目的は完全には明らかではない。彼らの Keybase アカウント「xtnn」は、Breached Forum プロフィールに接続しており、そこで彼らは自分たちの場所を「El Farado の部屋」と説明し、署名で El Farado に言及している。XTN は、DesertStorm の OpSec の失態について公に警告することで、FunkSec とのつながりをさらに強固なものにした。 ### Bjorka インドネシアのハクティビストとして知られる Bjorka は、FunkSec とのつながりがさらに曖昧である。FunkSec に起因するリークが DarkForums の Bjorka というユーザーによって再投稿されたが、直接の協力は確認されていない。さらに、「Bjorkanism」という名のTelegramチャンネルが、FunkSecの一部のオペレーションを「Bjorkanism Ransomware (FunkSec)」と呼んで、自らの功績だと主張しました。これらの主張はBjorkaの公式プラットフォームでは裏付けられておらず、Bjorkaになりすまそうとしたか、せいぜいゆるやかな提携関係にあることを示唆しています。 ### 関連するハクティビストグループ FunkSecは、解散したハクティビストグループとの提携を試みました。 - Ghost Algéria: FunkSecのものとほぼ同じランサムウェアメモで言及されています。 - Cyb3r Fl00d: このグループの改ざんスクリーンショットがFunkSec関連の活動に含まれており、FunkSecはCyb3r Fl00dが「古いグループ」だと主張しています。これらの提携は、直接のメンバーシップやコラボレーションではなく、よく知られた名前と提携することでFunkSecの信頼性を高めようとする試みである可能性が高いです。 AI 支援機能 ------------------------ FunkSec の背後にいる個人は、その出版物やツールからもわかるように、AI を広範に活用して能力を強化しているようです。公開されているスクリプトには、LLM エージェントによって生成されたと思われる完璧な英語 (他の媒体の非常に基本的な英語とは対照的) による広範なコード コメントが含まれています。グループのランサムウェアにリンクされている Rust ソース コードにも同様のパターンが見られ、AI の支援を受けて開発された可能性があることを示唆しています。公開されたメッセージの一部では、グループはランサムウェアの開発を AI 支援エージェントに具体的にリンクしており、ランサムウェアのソース コードを提供し、その出力を単にサイトで共有した可能性があります。このようなツールの使用は、グループの公の主張と密接に一致しており、彼らは活動をサポートするために Miniapps に基づく AI チャットボットもリリースしています。Miniapps は、AI アプリケーションとチャットボットの作成と使用を容易にするプラットフォームであり、ChatGPT などのより一般的なシステムに見られるような制限はありません。FunkSec によって開発されたボットは、悪意のある活動をサポートするように特別に設計されています。技術分析 ------------------ マルウェアをより深く理解するために、配布されたサンプルの 1 つを調べました。これはストリップされた Rust バイナリであり、効果的なリバース エンジニアリングが困難です。特に、ライブラリ コードの積極的なインライン化の対象となっています (これがどのように機能し、リバース エンジニアリング タスクがどのように複雑になるかを明確に示すには、以前の出版物 Inside Akira Ransomware's Rust Experiment を参照してください)。また、逆アセンブラがそのままでは認識できない多くの特性実装が含まれており、その多くは、たとえばWriteFileExやCryptGenRandomのラッパーです。ただし、注意深く分析すると、興味深い詳細がいくつか明らかになります。全体として、バイナリの冗長性の量に主に驚きました。制御フローは繰り返され、さまざまな実行パスから関数を何度も呼び出しているように見えますが、一般的なランサムウェアでは、これらは 1 回しか呼び出されません。バイナリ全体にわたって、これらの関数の多くは 2 回、あるいは 3 回、4 回呼び出されます。上記の「セキュリティを無効にする」ルーチンは、同じ基本ブロックで 2 回呼び出されます。指定されたディレクトリのすべてのサブディレクトリを反復処理し、その中のターゲット ファイルを暗号化する以下の再帰関数は、バイナリ全体で合計 5 回呼び出されます。繰り返しの一部は、毎回異なるハードコードされた定数を使用して「すべてのディレクトリを暗号化」ロジックを呼び出す重複コードによるものです。たとえば、定数RansomwarePassword123を使用するこの呼び出しなどです。重複した機能とは別に、マルウェアの主な実行フローは、最初に前述の操作シーケンス (「セキュリティを無効にする」など) を呼び出し、次に実行を「すべてのドライブを暗号化」関数に移します。操作シーケンスは、昇格された権限があるかどうかの確認 (net sessionの実行を試行することによって) から始まります。そ�うでない場合、バイナリは、こちらで説明されている方法 (start-process -wait -Verb runas -filepath '%~nx0' -ArgumentList '<arguments>') を使用して、昇格された権限で再起動を試みます。 概要 ------- このレポートでは、明らかにハクティビストの傾向があるランサムウェア グループである FunkSec の詳細な分析を提供します。経験の浅いアルジェリア人作成者によって開発されたカスタム暗号化機能は、迅速な開発と改善を可能にする AI 支援要素を備えています。FunkSec のデータ漏洩は、以前のハクティビストのキャンペーンからの情報を再利用することが多く、その主張の信憑性に疑問が生じます。こうした制限にもかかわらず、Tor ベースの活動と低い身代金要求は、サイバー犯罪フォーラムで広く注目を集めています。FunkSec の活動は、マルウェア開発における AI の役割、ハクティビズムとサイバー犯罪の重なり、漏洩したデータの検証の難しさなどを浮き彫りにしています。また、ランサムウェア グループによる脅威をどのように評価するかという疑問も生じます。なぜなら、私たちはグループ自身の主張に頼ることが多いからです。これらの調査結果は、脅威の状況が変化していることを反映しており、スキルの低い攻撃者でも、アクセス可能なツールを使用して非常に大きな影を落とすことができます。Harmony Endpoint は、セキュリティ侵害やデータ侵害を回避するために不可欠な、最高レベルのセキュリティで包括的なエンドポイント保護を提供し、この脅威から保護します。