サイバーニュース.jp

世界のサイバーなニュースを配信

01FlipランサムウェアがWindowsとLinuxの両方を標的に:Rust言語採用で検出回避能力向上

カテゴリ:

01Flipランサムウェアの出現と標的

Palo Alto Networksのセキュリティ研究機関Unit 42は、新たなランサムウェアファミリー「01flip」を確認しました。これはマルウェア開発戦術における重要な変化を示しています。2025年6月に発見されたこの高度な脅威は、クロスプラットフォームの互換性を可能にする最新のプログラミング言語Rustで完全に記述されており、現在、アジア太平洋地域の一部の標的に対して攻撃を行っています。この発見は、サイバー犯罪者が多様なシステムやプラットフォームへの運用範囲を拡大するために、高度なプログラミング言語を採用する傾向が強まっていることを浮き彫りにしています。

Unit 42の研究者は、サンドボックステスト環境でランサムウェアのような挙動を示す不審なWindows実行可能ファイルを調査中に、初めて01flipランサムウェアを特定しました。この実行可能ファイルの名称は、暗号化されたファイルに付加されるファイル拡張子(.01flip)と、身代金要求メモに含まれる連絡先メールアドレス(01Flip@.me)という2つの異なる要素に由来しています。このキャンペーンの背後にいる脅威アクターは現在CL-CRI-1036として追跡されており、これは金銭目的のサイバー犯罪活動のクラスターであり、データ流出の疑いのある活動と関連しています。

その後の調査により、01flipのLinux亜種が発見されました。これはVirusTotalへの初期提出後、約3か月間アンチウイルスプラットフォームに検出されませんでした。この長期にわたる検出回避期間は、Rustでコンパイルされたマルウェアが従来のセキュリティ検出メカニズムを回避する上でいかに効果的であるかを浮き彫りにしています。確認された被害者には東南アジアの重要インフラを管理する組織が含まれており、ダークウェブフォーラムで発見された脅威アクターの通信に基づくと、フィリピンと台湾での侵害が疑われています。

技術的特徴と機能

01flipランサムウェアは、Rustのクロスコンパイル機能を活用することで、高度なマルチプラットフォーム機能を実現しています。Windows版とLinux版のどちらも、実質的に同一のコア機能を共有しており、わずかなアーキテクチャ固有の差異を除けば、同じ依存関係とライブラリバージョンを使用しています。

このランサムウェアは、以下の主要な機能を有しています。

  • 広範なドライブ列挙
  • アクセス可能なディレクトリ全体での身代金要求メモの一括作成
  • AES-128-CBCアルゴリズムとRSA-2048鍵暗号化を組み合わせたファイル暗号化
  • フォレンジック証拠を削除するための自動自己削除手順

マルウェアは、正規のオペレーティングシステム活動とシームレスに融合する低レベルAPIやシステムコールの使用を含む防御回避技術を採用しています。さらに、ランサムウェアバイナリ内の身代金要求メモの内容、拡張子リスト、RSA公開鍵などの重要な文字列はエンコードされており、実行時にのみ復号されます

両亜種はアンチサンドボックスメカニズムも実装しており、「01flip」というファイル名文字列を含むサンプルは、ファイル暗号化ルーチンを実行せずに直接指標削除へと進みます。

これらのキャンペーンを実施している脅威アクターは、2025年4月よりインターネットに公開されたアプリケーションに対するCVE-2019-11580などの古い脆弱性を悪用して初期アクセスを獲得しました。侵害が成功した後、攻撃者は永続的なネットワークアクセスを確立するために、Goで記述された公開されているクロスプラットフォームの敵対者エミュレーションフレームワークであるSliverを展開しました。その後、脅威アクターはネットワークインフラストラクチャ全体でラテラルムーブメントを実行し、2025年5月下旬に複数の01flipランサムウェアインスタンスをWindowsおよびLinuxシステムに展開しました。

脅威アクターの重複の可能性

技術分析中、研究者らは01flipのファイル暗号化除外リスト内に「lockbit」という拡張子を発見しました。これはCL-CRI-1036の運用者と、Flighty Scorpiusとして追跡されているLockBitランサムウェアグループとの間に潜在的な重複があることを示唆する異例の痕跡です。ただし、この異常を除いて、両ランサムウェアファミリー間に実質的な技術的関連性は確認されておらず、運営上の関係を明確に確立するためにはさらなる調査が必要です。

対策と推奨事項

組織は、Rustでコンパイルされたマルウェアの挙動を識別できる包括的なエンドポイント検出および対応ソリューションを導入し、CL-CRI-1036活動に関連する指標を監視する必要があります。Palo Alto Networksの顧客は、Advanced WildFire、Cortex XDR、XSIAM、およびCortex Xpanseプラットフォームを介した保護の恩恵を受けることができます。侵害が疑われる組織は、脅威の調査と修復支援のために、専門のインシデント対応チームに直ちに連絡すべきです。

元記事: https://gbhackers.com/new-01flip-ransomware/

投稿をさらに読み込む