TargetCompanyは、ランサムウェアグループです。
これまでにWindows環境をターゲットにした攻撃活動を展開していることが確認されています。
TargetCompanyは、最近、その活動範囲を広げているようです。
- 追加ターゲット環境はESXi
ESXiが、この脅威アクターのターゲットに追加されました。
ESXiはVMware社の提供するハイパーバイザで、1つの物理サーバー上で複数の仮想サーバーを動作させるためのソフトウェアです。
この環境を狙うことで、被害者はより大きな被害を受けることになります。
被害者が身代金を支払う可能性をより大きくできるということなのでしょうか。 - ペイロードの配布方法はシェルスクリプト
いろいろな方法でペイロードが配布されますが、この脅威活動ではシェルスクリプトが使用されました。
TargetCompanyの活動としては、これまでは見られなかったことです。 - 流出先の冗長化
攻撃用シェルスクリプトは、環境に持ち込んだペイロードで盗み出す情報を生成します。
生成が完了すると、そのデータを外部に送信します。
送信には、環境にあることが想定されるwgetかcurlが使用されます。
これらはともにHTTPクライアントです。
HTTPクライアントを使ってPOSTする形式で動作します。
持ち出し先の宛先は冗長化されています。
持ち出し先が何らかの理由でオフラインになったり侵害されたりしても、盗み出した情報を保持したいということなのでしょうか。
脅威アクターの取り組みは、継続的な変更を伴います。
防御側も継続的な活動の見直しが必要ということなのでしょうね。
TargetCompany’s Linux Variant Targets ESXi Environments
https://www.trendmicro.com/en_us/research/24/f/targetcompany-s-linux-variant-targets-esxi-environments.html
| この記事をシェア |
|
|---|
