洗練されたランサムウェアの運用は、正当な従業員監視ソフトウェアキッキードラーを活用しており、職場の監視ツールから深いネットワークの浸透および資格盗難のための強力なスパイプラットフォームに変換しています。攻撃者は、ユーザーアクティビティを細心の注意を払って追跡し、キーストロークをキャプチャし、画面アクションを記録し、特に貴重なVMware ESXI環境に対して攻撃をエスカレートするために重要な敏感な情報を収穫します。 2025年5月上旬に複数のセキュリティニュースアウトレットによって裏付けられた調査結果は、信頼できる内部ツールがセキュリティ対策をバイパスするために破壊される危険な傾向を強調しています。中毒。攻撃者は、偽のrvtoolsダウンロードサイトなどの悪意のあるWebサイトを作成し、検索エンジンの結果でそれらを宣伝します。
の代わりに
これらの脅威アクターのKickidlerの戦略的価値は重要です。 Varonisは、このソフトウェアにより、攻撃者はバックアップシステム認証のような防御を克服できると説明しました。
この機能は、メモリダンピングなどのより簡単に検出可能な方法に頼らずに達成されます。究極の目的は、多くの場合、重要なインフラストラクチャの暗号化であり、広範な運用上の混乱と実質的な財政的要求につながります。
攻撃者は、ディープネットワークアクセスのための合法的なツールを活用します
これらの攻撃の詳細なメカニズムは、“>”opersial-dinitial-persence”と系統的なアプローチ。 Smokedham Backdoorが最初の足場を提供すると、攻撃者は偵察コマンド(「whoami」、 `systemInfo`、` nslookup`など)を実行し、このデータを攻撃者制御されたAWS EC2インスタンスに除外します。この段階では、「grabber.exe」のような名前でしばしば偽装されているKickidlerが展開されています。 Varonisは、その後の非活動期間、時には数日間続くことは、Kickidlerの監視機能を通じて広範な資格収穫に専念する可能性が高いと理論付けています。 href=”https://learn.microsoft.com/en-us/sysinternals/downloads/psexec”ターゲット=”_ blank”> psexec 。場合によっては、攻撃者はキティを展開しました、SSHを介したRDPトンネルを逆RDPトンネルを確立し、EC2インフラストラクチャに頻繁に覆いづけて頻繁にポートに依存しています。 AnyDeskのような追加の持続性またはコマンドアンドコントロール(C2)メカニズム、リモート監視および管理(RMM)ソフトウェアも観察されています。データ除去は、暗号化の前の重要なステップです。 Varonisのケーススタディでは、攻撃者は winscp を使用して、ほぼテラバイトのデータを盗みました。 Kickidlerの合法的な機能。5,000を超える組織が a>に従って使用します。 href=”https://www.synacktiv.com/en/publications/case-study-how-how-hunters-hunters-international-andational-and-friends-target-your-hypervisors”target=”_ blank”> 2025年3月5日に以前に公開されたSynacktivの研究。手法、手順(TTPS)。ハンターインターナショナルは、分解されたハイブランサムウェアグループから資産を取得したと伝えられていた後に2023年10月頃に登場しましたが、トロイジャン化されたRVToolsインストーラーを使用してスモークダムのバックドアを配信したことが観察されました。 Synacktivは、Smokedhamを unc2465脅威俳優にリンクしました。 「Grabber」としてSynacktivによると、「Grem.msi」を介してインストールされました)は、管理者をスパイするために数週間使用されました。 Synacktivの研究者は、このアプローチの斬新さを強調し、「攻撃者が採用しているこのような合法的なツールを初めて見たのはこれが初めてだ」と述べた。 BleepingComputerは、2024年8月にSharprhinoラットを winscp automation をレバレッジしたPowerShellスクリプトの使用を詳細に詳述しました。ホストを使用してから、WinSCPを使用してランサムウェアを転送および実行します。実行可能ファイルのESXIの整合性チェックを無効にすることが含まれる重要なステップ。端末ユーザーインターフェイスを特徴とするランサムウェア自体は、実行された遅延のためにしばしば設定されていました。
仮想マシンを停止し、ファイルを暗号化します(.vmx、.vmdk、.vmsnなどの拡張機能をターゲットにし、その後、フリーディスクスペースをハインダーリカバリに上書きしようとします。珍しいことに、この特定のESXi暗号化業者は、影響を受けるシステムに身代金のメモを残しませんでした。現在のインシデントには外部の脅威アクターによる積極的な兵器化が含まれますが、監視ソフトウェアの固有のリスクは、ワークコンポーサーアプリケーションに関する偶発的なリークで強調されました。 workcomposerの独自の条件このようなインターネットセキュリティ違反に対する責任を否認しようとします。 a CISA、NSA、および1月の攻撃のintectivivityのMS-ISACからのMS-ISACからの共同アドバイザリーポータブルリモートデスクトップソフトウェアをインストールします。
これらの進化する脅威と戦うために、セキュリティの専門家は多層人間の要素から重要なデータインフラストラクチャまで、サイバーセキュリティの7層。
