BianLian
BianLian は、高度なデータ窃取および恐喝の手法で重要なインフラ部門を標的にすることで知られるランサムウェア グループであり、当初は二重の恐喝モデルを採用していましたが、その後、純粋なデータ恐喝に移行しました。
BianLianの由来
BianLianは、ロシアを拠点としていると思われるランサムウェアおよびデータ恐喝グループであり、複数の関連組織が同地域に拠点を置いています。このグループは2022年6月から活動しており、当初はデータ窃取とファイル暗号化を組み合わせた二重の恐喝モデルを採用していました。しかし、2024年1月現在、BianLianは窃取のみを目的とした恐喝モデルに完全に移行しています。現在では、データの窃取と、公開を阻止するための金銭の要求のみに注力しており、被害者のシステムを暗号化することはなくなりました。このグループ名は、所在地を誤認させるために選ばれたと思われますが、攻撃者の特定を困難にしようとする意図を反映しています。
BianLianの標的国
BianLianによる攻撃の大部分は米国に集中しており、攻撃全体の57.8%を占めています。その他の主要な標的としては、英国(10.2%)、カナダ(6.8%)、インド(4.8%)などが挙げられます。さらに、オーストラリア、スウェーデン、ドイツ、オーストリアといった国も、規模は小さいものの影響を受けています。この分布は、このグループが堅牢なデジタルインフラと膨大な量の貴重なデータを持つ先進国に重点を置いていることを浮き彫りにしています。
BianLianがターゲットとする産業
BianLianは特定の業界を特に狙っており、医療業界への攻撃件数が最も多く、次いで製造業、専門・法務サービス、ハイテク、建設業となっています。その他の注目すべき標的としては、運輸・物流、卸売・小売業、金融サービス、教育などが挙げられます。この傾向は、BianLianが機密性の高い重要データを扱う業界に注力していることを浮き彫りにしており、これらの業界は恐喝や妨害行為の格好の標的となっています。
ソース パロアルトの42番ユニット
BianLianの被害対象
BianLianは、金融、医療、不動産開発分野の中堅・大規模企業を含む522社以上の企業を標的としました。このグループは、侵害されたRDP認証情報を利用して機密データを窃取する手法をとっており、被害を受けた組織は甚大な経済的損害と信用毀損に見舞われました。
BianLianの攻撃方法
BianLianは、フィッシングや初期アクセスブローカーから入手した、侵害されたリモートデスクトッププロトコル(RDP)認証情報を通じてネットワークにアクセスします。また、ProxyShellの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。
CVE-2022-37969 などの脆弱性を悪用して、Windows システム上の権限を昇格します。
このグループは、PowerShellとレジストリの変更を利用して、Windows DefenderやSophosの改ざん防止機能などのウイルス対策ツールを無効化します。また、UPXパッキングを用いてマルウェアを難読化します。
BianLian の攻撃者は、Local Security Authority Subsystem Service (LSASS) メモリをダンプし、ファイルに保存されているプレーンテキストの資格情報を検索することで、資格情報を盗みます。
攻撃者は、Advanced Port Scanner や SharpShares などのツールを使用して、ネットワーク サービス、共有フォルダー、ドメイン アカウントを列挙し、ターゲットの環境をマッピングします。
ネットワーク内でのラテラルムーブには、RDP、PsExec、および Server Message Block (SMB) 接続が使用されます。
機密データは、抽出のために準備される前に識別、圧縮、暗号化されます。
データはFTP、Rclone、またはMegaを使用して盗まれます。以前の攻撃とは異なり、エンドポイントデータは暗号化されなくなりました。
BianLian の活動は恐喝にまで及び、盗んだデータを公開すると脅し、評判、金銭、法的影響に対する被害者の恐怖を利用して身代金の支払いを要求します。
BianLianは、フィッシングや初期アクセスブローカーから入手した、侵害されたリモートデスクトッププロトコル(RDP)認証情報を通じてネットワークにアクセスします。また、ProxyShellの脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。
CVE-2022-37969 などの脆弱性を悪用して、Windows システム上の権限を昇格します。
このグループは、PowerShellとレジストリの変更を利用して、Windows DefenderやSophosの改ざん防止機能などのウイルス対策ツールを無効化します。また、UPXパッキングを用いてマルウェアを難読化します。
BianLian の攻撃者は、Local Security Authority Subsystem Service (LSASS) メモリをダンプし、ファイルに保存されているプレーンテキストの資格情報を検索することで、資格情報を盗みます。
攻撃者は、Advanced Port Scanner や SharpShares などのツールを使用して、ネットワーク サービス、共有フォルダー、ドメイン アカウントを列挙し、ターゲットの環境をマッピングします。
ネットワーク内でのラテラルムーブには、RDP、PsExec、および Server Message Block (SMB) 接続が使用されます。
機密データは、抽出のために準備される前に識別、圧縮、暗号化されます。
データはFTP、Rclone、またはMegaを使用して盗まれます。以前の攻撃とは異なり、エンドポイントデータは暗号化されなくなりました。
BianLian の活動は恐喝にまで及び、盗んだデータを公開すると脅し、評判、金銭、法的影響に対する被害者の恐怖を利用して身代金の支払いを要求します。
BianLianが使用するTTP
Vectra AIでBianLian を検知する方法
ランサムウェア攻撃を示すVectra AI プラットフォーム で利用可能な検知のリスト
よくある質問 (FAQ)
BianLianが最初のアクセスを得るための主な方法は?
BianLian は主に、侵害された RDP 認証情報(多くの場合、フィッシング経由または初期アクセスブローカーから入手)を通じて初期アクセスを取得します。
BianLianはどうやって発見を逃れるのか?
攻撃者は、PowerShell を使用してウイルス対策ツールと改ざん防止機能を無効にし、検知を回避するために Windows レジストリを変更します。
BianLianの主な目標は?
BianLian は、医療、金融サービス、不動産開発などの分野を含む、米国の重要なインフラ部門とオーストラリアの民間企業をターゲットにしています。
BianLian はどのようにしてデータを流出させるのか?
BianLian は、FTP、Rclone、または Mega を使用してデータを流出させ、機密ファイルをクラウドストレージサービスにアップロードします。
2023年、BianLianは恐喝の手口にどのような変更を加えたのか?
2023年、BianLianは被害者のシステムを暗号化することから、身代金を支払わなければ盗んだデータを公開すると脅迫する、情報流出をベースとした恐喝に重点を移しました。
BianLian がネットワーク検知に使用しているツールは?
Advanced Port Scanner、SoftPerfect Network Scanner、PingCastle などのツールを使用して、ネットワーク内の貴重なターゲットを特定します。
BianLianはネットワーク内でどのように特権をエスカレートさせるのか?
BianLianはローカル管理者アカウントをアクティブにし、パスワードを変更して権限を昇格させ、さらなる悪用を容易にする。
BianLianはラテラルムーブにどのような方法を用いているのか?
BianLian は、PsExec と RDP を使用し、有効な認証情報を使用してネットワークを横移動します。
組織はどのようにしてBianLianの手口から身を守ることができるのか?
リモート アクセス ツールに対する厳格な制御を実装し、不要なサービスを無効にし、強力なパスワード ポリシーを適用し、定期的なソフトウェアの更新とパッチを適用します。
BianLianに対する防御において、XDRソリューションはどのような役割を果たすことができるのか?
XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検知および軽減することで支援することができます。