行進 2025 サイバー脅威の戦術に大きな進化が見られました, ランサムウェアグループが新しいテクニックを採用し、その運用を拡大している. セキュリティ研究者は、今月、いくつかの衝撃的な脅威を特定しました, 企業スパイグループのランサムウェアへのシフトを含む, 新しいEDR回避ツール, 洗練された国民国家攻撃, ビジネスをターゲットにした欺ceptiveフィッシングキャンペーン. この包括的な分析は、セキュリティの専門家や企業が認識すべきである最も重要なサイバーセキュリティの開発をカバーしています.
ソース: からデータを分析しました アクロニス脅威研究ユニット 業界の影響評価と組み合わせて
RedCurlが進化します: コーポレートスパイグループは、QWCryptを使用して最初のランサムウェアキャンペーンを開始します
3月 26, 2025, セキュリティ研究者は、悪名高いハッキンググループのRedCurlを特定しました (アースカプレとレッドウルフとしても知られています) 伝統的な企業のスパイ活動から、初めてランサムウェアの展開に移行しました. この戦略的なピボットは、グループの戦術の重要な進化を示しています, テクニック, および手順 (TTPS).
QWCRYPTランサムウェアのテクニカル分析
新しく特定されたランサムウェア株, qwcryptという名前, 特に仮想マシンをターゲットにします, 仮想化されたインフラストラクチャを備えた組織にとって特に危険なものにします. マルウェアの攻撃チェーンは、HRをテーマにしたルアーを含む洗練された槍フィッシングメールから始まります. これらの電子メールは、合法的なAdobe実行可能ファイルを介してマルウェアをサイドロードする悪意のあるPDFおよびISOファイルを提供します, 検出を回避するための信頼できるアプリケーションパスを活用します.
| 攻撃フェーズ | 技術的な詳細 |
|---|---|
| 初期アクセス | 悪意のあるPDFとISOファイルを含むHRをテーマにしたルアーを含むスピアフィッシングメール |
| 実行 | 合法的なAdobe実行可能ファイルを介してマルウェアをサイドロードする |
| 持続性 | システムの特権で作成されたレジストリの変更とスケジュールされたタスク |
| 横方向の動き | 証明されていない脆弱性の資格盗難と搾取 |
| インパクト | 仮想マシンの暗号化, インフラストラクチャ全体を動作できなくレンダリングします |
ランサムウェアの設計は、LockbitやHardbitなどの確立されたグループの要素を模倣するように見えます, 潜在的に帰属の努力を混乱させる. 特に, 研究者は、これらの攻撃に関連する専用のリークサイトを特定していません, 身代金の需要が本物であるかどうか、またはランサムウェアの展開がグループの伝統的なスパイ活動からの注意散漫として機能するかどうかについての質問を提起する.
ターゲットと地理的分布
RedCurlは、歴史的にカナダの組織をターゲットにしています, ドイツ, ノルウェー, 英国, そして米国. グループのランサムウェア操作への移行は、脅威プロファイルをデータの盗難からこれらの地域全体で運用上の混乱に拡大する可能性があります.
edrkillshifter: Ransomhubのセキュリティ回避ツールは、複数のサイバー犯罪グループをリンクしています
3月中に追跡された重要な開発で, セキュリティ研究者は、EdrkillShifterと呼ばれる一般的なセキュリティ回避ツールを使用して、3つの別々のサイバー犯罪グループ間のつながりを発見しました。. このツール, もともとは、Ransomhub Ransomware-as-a-Serviceの関連会社向けに開発されました (Raas) 手術, エンドポイントの検出と応答を無効にするために、脆弱なドライバーを悪用します (edr) ソフトウェア.
ツール機能と技術的な詳細
edrkillshifterは高度なものを表します “あなた自身の脆弱なドライバーを連れてきてください” (BYOVD) セキュリティ防御を無効にするアプローチ. このツールは、正当だが脆弱なシステムドライバーをターゲットにします, オペレーティングシステム内の保護対策をシャットダウンするためにそれらを利用する. 正常に展開したとき, セキュリティツールをその後の悪意のあるアクティビティに効果的に盲目にします.
新しく特定された脅威俳優, Quadswitcherと呼ばれます, 複数のランサムウェアグループに起因する攻撃でedrkillshifterを使用して観察されています, 含む:
- ランサムハブ
- ランサムウェアを再生します
- Medusaランサムウェア
- バイアンランサムウェア
研究者は、共有されたedrkillshifterサンプルとコマンドアンドコントロールサーバーインフラストラクチャを分析することにより、これらのグループ間の接続を確認しました, さまざまなランサムウェア操作でツールがどのように共有されているかを示す.
防衛の推奨事項
これらの攻撃には管理アクセスが必要なため, 組織はいくつかの予防措置を実施できます:
- 既知の脆弱なドライバーのドライバーブロックリストを実装します
- Windows Defenderのドライバーブロックリスト機能を使用して保護します
- ドライバーの読み込みイベントを監視します, 特にサードパーティのツールに関連するもの
- セキュリティソフトウェアを無効にしようとする試みを検出できる高度なEDRソリューションを展開する
- 攻撃者が管理特権を得るのを防ぐために、強力なアクセス制御を実装する
EDR Killersの台頭は、ランサムウェアの戦術の傾向に懸念を強調しています, 脅威の関係者が継続的にバイパスに適応するにつれて、ますます洗練されたセキュリティ防御がますます.
中国のaptグループ有名なグループは、Shadowpadを使用して攻撃ツールキットを発展させます
セキュリティ研究者は、米国に対する標的攻撃を特定しました. 中国の高度な永続的な脅威に起因する貿易グループとメキシコ研究所 (apt) グループ有名なパロウ. キャンペーン, 3月上旬に最初に検出されました 2025, この特定のツールを使用して、ShadowPadマルウェアとともにグループの署名Sparrowdoorバックドアの展開を伴う-padマルウェアの最初の観察されたインスタンスのマーク.
攻撃の技術的な詳細
キャンペーンの分析により、Sparrowdoorの2つの新しいバージョンが明らかになりました, コマンド実行機能が改善された大幅に強化されたモジュラーバリアントを含む. 攻撃シーケンスは、国民国家の俳優にとって馴染みのあるパターンに従います:
- 初期アクセス: 時代遅れのWindowsサーバーとMicrosoft Exchange Serverの脆弱性の悪用
- 持続性: アクセスを維持するための洗練されたWebシェルの展開
- ペイロード配信: Sparrowdoor BackdoorとShadowpadマルウェアのインストール
Sparrowdoorのモジュラーバージョンは、複数の高度な機能をサポートしています, 含む:
- 資格盗難のためのキーストロークロギング
- データ除去のためのファイル転送
- ステルスを維持するためのプロセス操作
- ビジュアルインテリジェンス収集のためのリモートデスクトップキャプチャ
シャドウパッド, 中国の国家主催の脅威アクターに一般的に関連するモジュラーバックドア, 有名な能力を大幅に拡大します, 中国のAPTグループ間の潜在的なコラボレーションまたはツール共有を提案します.
FBI警告: 偽のファイルコンバーター情報を盗み、ランサムウェアを展開します
FBIデンバーフィールドオフィスは、偽のオンラインドキュメントコンバーターが機密情報を盗み、ランサムウェアを展開するために使用されているという報告の増加を観察した後、緊急の警告を発しました。. この警告, 3月に発行されました 20, 2025, 個人ユーザーとビジネスユーザーの両方をターゲットにする傾向に関する強調.
攻撃の仕組み
Cybercriminalsは、無料のドキュメント変換サービスを提供するが悪意のある意図を隠すと主張する欺cept的なWebサイトを作成します:
- ドキュメント変換ツールを検索するユーザーは、これらのサイトに遭遇します, 多くの場合、Google広告を通じて宣伝されます
- サイトは合法的に見え、実際に約束された変換機能を提供する場合があります
- ユーザーがコンバージョンのためにドキュメントをアップロードするとき, サイトは、ファイルの内容から機密情報を抽出します
- 返された変換されたファイルには、リモートアクセスを確立する埋め込みマルウェアが含まれています
- より深刻な場合, ランサムウェアが展開されます, 被害者のファイルを暗号化します
研究者は、これらの不正なコンバーターサイトを特定するのに役立つ複数の指標を特定しました:
| 警告サイン | 詳細 |
|---|---|
| ドメイン年齢 | 通常、過去に登録されています 30 日々 |
| プライバシーポリシー | 欠落または非常にあいまいなプライバシー情報 |
| 連絡先 | 正当なビジネスの連絡先の詳細はありません |
| SSL証明書 | 多くの場合、最小限の検証で無料の証明書を使用します |
| ウェブサイトのデザイン | 軽微な修正を伴う合法的なサービスのクローン |
これらのサービスを通じて配信されるマルウェアは、幅広い機密情報を抽出できます, 名前を含む, パスワード, 暗号通貨シード, 銀行資格情報, 被害者の重大な経済的損失につながります.
偽のコンバーター攻撃の防止
これらの脅威から保護するため, FBIはいくつかの予防措置を推奨しています:
- 確立のみを使用します, 評判の良いファイル変換ツールとサービス
- 悪意のあるWebサイトを識別できる包括的なセキュリティソフトウェアをインストールします
- 機密文書をアップロードする前に、Webサイトの正当性を確認します
- 機密情報を処理するときは、オフライン変換ツールを使用することを検討してください
- ランサムウェア攻撃の場合に回復を有効にするために、重要なファイルを定期的にバックアップします
すでにこれらの詐欺の犠牲になった企業や個人のために, プロンプト マルウェアの削除プロセス 潜在的な損傷を緩和するために不可欠です.
洗練されたフィッシングキャンペーンの対象となるSEOの専門家
新たに特定されたフィッシングキャンペーンは、Googleアカウントの資格を盗むために設計された偽のSemrush Google広告を使用してSEOの専門家をターゲットにしています. semrush, SEO向けのツールを提供する人気のSaaSプラットフォーム, オンライン広告, コンテンツマーケティング, この高度にターゲットを絞ったキャンペーンにはなりすまれています.
キャンペーンの詳細と目的
セキュリティアナリストは、ブラジルの脅威グループがこのキャンペーンの背後にあると信じています, これは、さらに不正攻撃を開始するためにGoogle広告アカウントをキャプチャすることを目的としています. この操作は、デジタルマーケティングエコシステムの洗練された理解を示しています:
- 攻撃者は、Semrushのインターフェースを模倣する説得力のあるフィッシングサイトを作成します
- これらのサイトは、Semrushと同様のドメイン名を使用していますが、トップレベルのドメインが異なります
- 犠牲者は介して認証を余儀なくされています “Googleでログインします” 機能性
- 資格情報が入力されたとき, 攻撃者は、被害者のGoogleアカウントにアクセスできます
- このアクセスにより、Google AnalyticsとGoogle Search Consoleからの繊細なビジネスデータの盗難が可能になります
関連する開発, もう1つの継続的なフィッシングキャンペーンは、Googleの検索結果に偽のDeepseek広告を活用してHeracles MSIL Trojanを提供することです。, 暗号通貨ウォレットをターゲットとする情報を統合するマルウェア. このキャンペーンでは、スポンサー付きのGoogle検索結果を使用して、Infostealerを配布する悪意のあるWebサイトに被害者を誘導します.
業界の影響と予防
これらのフィッシングキャンペーンは、特定の専門家グループに対する標的攻撃の進化する性質を強調しています. SEOおよびデジタルマーケティングの専門家は、追加のセキュリティ対策を実装する必要があります, 含む:
- すべてのGoogleアカウントで多要因認証を有効にします
- 資格情報を入力する前に、ログインページのURLを慎重に確認する
- フィッシング検出機能を備えたパスワードマネージャーを使用します
- ソフトウェアサービスのGoogle広告に懐疑的です, 検索結果の上部に表示されたとしても
- これらの特定の脅威に関する全社的なセキュリティ意識トレーニングを実装します
組織も実装を検討する必要があります 包括的なセキュリティソリューション フィッシングの試みやマルウェアのダウンロードを自動的に検出してブロックすることができます.
調整された防御: 進化する脅威の状況に対応します
これらの脅威が示すように, サイバークリミナル戦術は、洗練と影響で進化し続けています. 組織は、含まれる多層セキュリティアプローチを採用する必要があります:
- 脆弱性管理: システムの最新のインベントリを維持し、定期的なパッチを実装する, 特に、Microsoft Exchangeなどのインターネット向けアプリケーションで.
- 電子メールセキュリティ: 高度な電子メールフィルタリングソリューションを展開して、洗練されたフィッシングの試みを検出およびブロックする, 特にHRをテーマにしたルアーを使用しているもの.
- EDR/XDRソリューション: セキュリティツールを無効にしようとする試みを検出して応答できる最新のエンドポイント保護プラットフォームを実装する.
- セキュリティ認識: 従業員のために定期的なトレーニングを実施します, フィッシングの試みと疑わしいウェブサイトの認識に特に焦点を当てて.
- インシデント対応計画: セキュリティ侵害が発生した場合に迅速な封じ込めと回復を確保するために、インシデント対応手順を定期的にテストしてテストします.
ランサムウェア操作の収束, 国民国家戦術, ターゲットを絞ったフィッシングキャンペーンは、警戒と積極的な防衛措置を必要とする挑戦的なセキュリティ環境を作成します. 新たな脅威について情報を提供し、適切なセキュリティ制御を実施することによって, 組織は、この進化する景観におけるリスクエクスポージャーを減らすことができます.
潜在的な感染症を懸念する個人や企業のため, のようなツールの使用を検討してください トロイの木馬リムーバー すでにシステムを侵害している可能性のあるマルウェアをスキャンして排除する.