サイバー攻撃速報EV証明書を悪用する脅威者の手口

サイバー攻撃速報EV証明書を悪用する脅威者の手口

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

ビアンリアン

BianLian は、高度なデータ流出と恐喝のテクニックによって重要なインフラ部門を標的にすることで知られるランサムウェアグループで、当初は二重の恐喝モデルを採用していましたが、その後純粋なデータ恐喝へと移行しました。

検知 ビアンリアンのTTP
貴社はBianLianの攻撃に対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

ビアンリアンの由来

BianLianはランサムウェアとデータ強要を行うグループで、ロシアを拠点に活動している可能性が高い。このグループは2022年6月から活動しており、当初はデータの盗難とファイルの暗号化を組み合わせた二重の恐喝モデルを使用していました。しかし、2024年1月現在、BianLianは完全に流出のみの恐喝モデルに移行しています。彼らは現在、データを盗み出し、一般公開を防ぐために支払いを要求することだけに集中しており、被害者のシステムを暗号化することはなくなっている。BianLianという名前は、おそらく場所を誤認させるために付けられたもので、帰属を複雑にしようとする彼らの試みを反映しています。

ビアンリアンの由来
ターゲット

ビアンリアンの目標

ビアンリアンがターゲットにしている国

BianLianの攻撃の大半は米国に集中しており、57.8%を占めている。その他の重要な標的は、英国(10.2%)、カナダ(6.8%)、インド(4.8%)などである。さらに、オーストラリア、スウェーデン、ドイツ、オーストリアなどの国も、程度は低いものの、被害を受けている。この分布は、強固なデジタル・インフラと大量の貴重なデータを持つ先進国にグループが焦点を当てていることを強調している。

ソース ランサムウェア.ライブ

ビアンリアンがターゲットとする産業

BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。

ソース パロアルトの42番ユニット

ビアンリアンがターゲットとする産業

BianLianは特定の業種を好む傾向が顕著であり、ヘルスケア・セクターの攻撃件数が最も多く、次いで製造業、専門・法律サービス、ハイテク、建設業となっている。そのほか、運輸・物流、卸売・小売、金融サービス、教育なども標的とされている。このパターンは、BianLianが機密かつ重要なデータを扱うセクターに重点を置いていることを浮き彫りにしており、恐喝や破壊行為の格好の標的となっている。

ソース パロアルトの42番ユニット

ビアンリアンの犠牲者

BianLianは、金融、ヘルスケア、不動産開発分野の中堅から大企業を含む522以上の被害者を 標的としていました。漏洩したRDP認証情報を活用し、機密データを流出させるというこのグループの手法は、被害を受けた組織に多大な財務的・風評的損害をもたらしました。

ソース ランサムウェア.ライブ

攻撃方法

ビアンリアンの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

BianLian は、phishing や初期アクセス・ブローカーから入手した侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介してネットワークにアクセスします。また、ProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

CVE-2022-37969のような脆弱性を悪用し、Windowsシステム上で特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、PowerShellとレジストリの変更を使用して、Windows DefenderやSophosの改ざん防止を含むウイルス対策ツールを無効にします。彼らはまた、malware を難読化するために UPX パッキングを採用しています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

BianLianのアクターは、Local Security Authority Subsystem Service (LSASS) のメモリをダンプし、ファイルに保存されたプレーンテキストの認証情報を検索することで、認証情報を盗み出します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

Advanced Port ScannerやSharpSharesのようなツールを使って、ネットワークサービス、共有フォルダ、ドメインアカウントを列挙し、ターゲットの環境をマッピングする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

彼らは、RDP、PsExec、サーバー・メッセージ・ブロック(SMB)接続を使用して、ネットワーク内をラテラルムーブする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

機密データは特定、圧縮、暗号化された後、流出のためにステージングされる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データはFTP、Rclone、Megaを使って盗まれる。以前の作戦とは異なり、エンドポイントのデータは暗号化されなくなった。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

BianLianの作戦は恐喝で頂点に達し、盗んだデータを公に漏らすと脅し、被害者の風評、金銭的、法的影響への恐怖を利用して身代金の支払いを要求する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

BianLian は、phishing や初期アクセス・ブローカーから入手した侵害されたリモート・デスクトップ・プロトコル (RDP) 認証情報を介してネットワークにアクセスします。また、ProxyShell の脆弱性(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)など、公開アプリケーションの脆弱性も悪用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

CVE-2022-37969のような脆弱性を悪用し、Windowsシステム上で特権を昇格させる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、PowerShellとレジストリの変更を使用して、Windows DefenderやSophosの改ざん防止を含むウイルス対策ツールを無効にします。彼らはまた、malware を難読化するために UPX パッキングを採用しています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

BianLianのアクターは、Local Security Authority Subsystem Service (LSASS) のメモリをダンプし、ファイルに保存されたプレーンテキストの認証情報を検索することで、認証情報を盗み出します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

Advanced Port ScannerやSharpSharesのようなツールを使って、ネットワークサービス、共有フォルダ、ドメインアカウントを列挙し、ターゲットの環境をマッピングする。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

彼らは、RDP、PsExec、サーバー・メッセージ・ブロック(SMB)接続を使用して、ネットワーク内をラテラルムーブする。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

機密データは特定、圧縮、暗号化された後、流出のためにステージングされる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データはFTP、Rclone、Megaを使って盗まれる。以前の作戦とは異なり、エンドポイントのデータは暗号化されなくなった。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

BianLianの作戦は恐喝で頂点に達し、盗んだデータを公に漏らすと脅し、被害者の風評、金銭的、法的影響への恐怖を利用して身代金の支払いを要求する。

MITRE ATT&CK マッピング

ビアンリアンが使用したTTP

BianLian は、MITRE ATT&CK のフレームワークに沿ったさまざまな TTP を採用している。主な TTP には次のようなものがある:

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1112
Modify Registry
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1482
Domain Trust Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1083
File and Directory Discovery
T1082
System Information Discovery
T1069
Permission Groups Discovery
T1057
Process Discovery
T1046
Network Service Discovery
T1033
System Owner/User Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1560
Archive Collected Data
T1115
Clipboard Data
TA0011: Command and Control
T1219
Remote Access Software
T1105
Ingress Tool Transfer
T1090
Proxy
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1537
Transfer Data to Cloud Account
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIを使った検知 BianLianの方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト:

AWS Ransomware S3 Activity

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

Ransomware File Activity

Suspicious Port Scan

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

ビアンリアンが最初のアクセスを得るための主な方法は?

BianLian は主に、侵害された RDP 認証情報(多くの場合、フィッシング経由または初期アクセスブローカーから入手)を通じて初期アクセスを取得します。

ビアンリアンはどうやって発見を逃れるのか?

彼らはPowerShellを使用してウイルス対策ツールや改ざん防止機能を無効にし、検出を避けるためにWindowsレジストリを変更する。

ビアンリアンの主な目標は?

ビアンリアンは、米国では重要インフラ部門を、オーストラリアではヘルスケア、金融サービス、不動産開発などの民間企業をターゲットにしている。

BianLian はどのようにしてデータを流出させるのか?

BianLian は、FTP、Rclone、または Mega を使用してデータを流出させ、機密ファイルをクラウドストレージサービスにアップロードします。

2023年、ビアンリアンは恐喝の手口にどのような変更を加えたのか?

2023年、BianLianは被害者のシステムを暗号化することから、お金を払わなければ盗んだデータを公開すると脅す、流出ベースの恐喝に重点を置くようになった。

BianLian がネットワーク検知に使用しているツールは?

彼らは、Advanced Port Scanner、SoftPerfect Network Scanner、PingCastleなどのツールを使って、ネットワーク内の貴重なターゲットを特定する。

BianLianはネットワーク内でどのように特権をエスカレートさせるのか?

BianLianはローカル管理者アカウントをアクティブにし、パスワードを変更して権限を昇格させ、さらなる悪用を容易にする。

ビアンリアンは横への移動にどのような方法を用いているのか?

BianLian は、PsExec と RDP を使用し、有効な認証情報を使用してネットワークを横移動します。

組織はどのようにしてビアンリアンの手口から身を守ることができるのか?

リモート・アクセス・ツールの厳格な管理、不要なサービスの無効化、強力なパスワード・ポリシーの実施、ソフトウェアの定期的な更新とパッチの適用を徹底する。

BianLianに対する防御において、XDRソリューションはどのような役割を果たすことができるのか?

XDRソリューションは、包括的な可視性と自動化されたレスポンス 機能を提供し、エンドポイント、ネットワーク、クラウド環境全体で不審な活動を検知および軽減することで支援することができます。

貴社はBianLianの攻撃に対して安全ですか?

攻撃の危険性を評価する