概要
0APTと名乗る新しいランサムウェア・アズ・ア・サービス(RaaS)の組織が、約200件の被害を主張しながら証拠提供不能であることが明らかになりました。この組織は1月28日頃に登場し、ダークウェブデータリークサイト(DLS)を立ち上げて迅速に活動を開始しました。
0APTの活動と疑問
0APTは、プロフェッショナルな外観を持つインフラストラクチャを構築していますが、その活動は信頼性を損なうものであり、虚偽の被害者リストやダウンロード不能なデータを掲載しています。研究者は、この組織が実際の攻撃経験がないにもかかわらず、加盟団体を引きつけるために虚偽の情報を流布している可能性があると指摘しています。
0APTのインフラストラクチャ
- DLSサイト:0APTは、NGINXで構築されたダークウェブデータリークサイトを運営しており、被害者ページや「JOIN RAAS」の呼びかけなどがあります。
- バックエンド機能:コチャット(連絡用)、ジョーチャット(加盟団体募集用)などの隠しサービスエンドポイントを提供しています。
- RaaSパネル:「RaaSDash」と名付けられた専用のRaaSダッシュボードがあり、アフィリエイトがWindowsやLinuxのビルドを生成したり、交渉状況を管理したりできます。
0APTの技術的特徴
- 暗号化:ファイルはAES-256で暗号化され、「.0apt」拡張子が付与されます。READMEノートには、被害者ID(例:0APT-KEY)が記載されています。
- 構成ファイル:「allpath.txt」と「config2.txt」などのファイルを使用して、ターゲットや暗号化の動作を調整できます。
- コードベース:RC4のようなPRGA、Salsa20/ChaCha、Speck、SHAファミリーなど、広範な暗号化とエンコーディングプリミティブを使用しています。一部は既存のオープンソースやAI生成の証明概念テンプレートから借用されている可能性があります。
疑わしい信頼性と防御者へのリスク
0APTのキャンペーンは、非常に短い期間で大量の被害を主張し、ダウンロードが失敗するなど、多くの懸念点があります。組織がその名前を見つけた場合でも、実際の攻撃を受けている可能性よりも、虚偽の脅威である可能性が高いとされています。
防御者へのアドバイス
0APTの主張は慎重に扱うべきですが、内部のテレメトリやログを確認し、適切な対応を行うことが重要です。組織がその名前を見つけた場合でも、実際の攻撃を受けている可能性よりも虚偽の脅威である可能性が高いとされています。