大新チーム

大新チームとは?

Daixin Teamは、2022年6月以来、当社 ヘルスケア・公衆衛生(HPH)セクターに深刻な脅威を与えている、金銭的動機に基づくランサムウェア集団である。Daixin TeamはHPH部門のみを標的としているわけではないが、当社 の医療サービス組織に深刻な影響を与えており、電子カルテ、個人を特定できる情報(PII)、患者の健康情報(PHI)を盗み出し、診断、画像処理、イントラネットサービスを危険にさらしている。 

Daixinチームは、2022年後半にマレーシア最大の航空会社であるAirAsia Groupを悪用し、500万人以上の乗客と従業員の個人情報を流出させることに成功した。2023年2月、Daixinは数十億ドル規模のコングロマリットであるB&G Foodsに侵入した。AirAsiaとB&G Foodsのいずれも脅威行為者と交渉しなかったため、盗まれた内部文書と顧客データがDaixinのリークサイトで公開されることになった。 

Daixinチームは、ファイルの完全性を損ない(使用不能にし)、盗んだデータを公開すると脅すという二重の恐喝戦術で被害者を懲らしめます。Daixinはまた、機密文書やデータベースを暗号化するだけでなく、仮想マシンを含む重要なネットワークリソースを暗号化して使用不能にすることも知られています。

大新チームの最新ニュース

大新チームの攻撃の仕組み

Daixin Teamは通常、パッチが適用されていない脆弱性、設定ミス、および盗んだ認証情報を悪用することで、安全でない仮想プライベートネットワーク(VPN)サーバーを経由して標的ネットワークへの初期アクセスを獲得します。場合によっては、Daixinはフィッシングキャンペーンを利用して被害者からVPN認証情報を入手しています。

被害者のネットワーク内に侵入すると、Daxin Teamは第2段階の偵察を行い、感染したシステムから内部ネットワークの認証情報を抽出し、主にSSHとリモート・デスクトップ・プロトコル(RDP)を介して、横方向に移動するために使用します。データ流出のために、Daixinはクラウドストレージ管理ソフトウェアRcloneとリバースプロキシアプリケーションNgrokを使用して、被害者のネットワーク外の仮想プライベートサーバに機密データを送信します。

Daixin Teamの暗号化モジュールはBabuk Lockerランサムウェア株をベースにしており、小さなファイルと大きなファイルで異なるスキームを使用しています。小さなファイルはChaCha8アルゴリズムで2回暗号化され、大きなファイルは3つのファイルに分割され、各セクションの最初の10MBのみが暗号化されます。Daixinチームの攻撃は、ESXiサーバの管理者パスワードをリセットし、これらのサーバにランサムウェアを展開し、/vmfs/volumes/にある.vmdk.vmem.vswp.vmsd.vmx.vmsnの拡張子を持つファイルを暗号化し、/vmfs/volumes/に身代金のメモを残します。

大信チーム攻撃の兆候

FBI、CISA、および DHS は、マルウェアのハッシュ・シグネチャや、ネットワーク防御および侵入検知システム(IDS)を有効にするための YARA ルールの開発に使用できる既知の戦術、技術、手順(TTP)を含む、侵害の指標(IOC)を含む Daxin Team の脅威に関する共同アドバイザリを発表した。ほとんどのランサムウェアと同様に、Daixin Teamの攻撃には、被害者にハンドラーに連絡して支払いを行うよう指示する明確な身代金要求のメモが添付されています。

大新チームの攻撃を防ぐには

  • フィッシングの手口について担当者を教育するためのユーザー意識向上トレーニングを検討し、疑わしい電子メールや文書を取り扱うための標準業務手順書(SOP)を作成する。
  • セキュリティ製品、オペレーティング・システム、アプリケーションなど、IT環境全体にアップデートとセキュリティ・パッチが適用されていることを確認する。
  • 公開鍵基盤を採用し、多要素認証の使用を強制して、すべての重要資産とサービスの認証と認可を強化する。
  • 最新のアイデンティティ・アクセス管理ツールの導入 
  • IDSや次世代ファイアウォールなどのネットワークセキュリティアプライアンスを使用し、ネットワークをさらに強化し、重要なシステムを別のVLAN/Windowsドメインにセグメント化する。
  • すべてのエンドポイントに高度なエンドポイントセキュリティ製品をインストールして設定し、IOCを検出し、Daixinペイロードの実行をブロックする防御措置を講じる。
  • セキュリティを強化し、リモート・デスクトップ・プロトコルなどのリモート・アクセス・サービスを監視する。
  • ネットワークを構築する際には、最小特権の原則を使用し、必要な場合を除き、ユーザーをローカル管理者グループに追加しない。
  • すべてのPIIおよびPHIを、適用される規制および目標のコンプライアンス要件に従って保護する。
  • 重要なデータのオフラインバックアップ、暗号化バックアップ、不変バックアップを含む強固なバックアップ戦略を維持する。
  • サーバー・メッセージ・ブロック(SMB)プロトコルを可能な限り無効にし、SMBの古いバージョンを更新する。
  • データのオフライン(エアギャップ)バックアップを維持し、バックアップの完全性と復元手順を定期的にテストし、目標のRPOとRTOを達成する。

CylanceOPTICS ランサムウェア攻撃を防ぐ

CylanceOPTICS®は、根本原因分析、スマートな脅威ハンティング、自動化された検出と対応機能により、セキュリティインシデントを防止するために、人工知能(AI)を使用してデバイス上での脅威検出と修復を提供します。当社のEDR(Endpoint Detection and Response)アプローチは、レスポンスの遅延を効果的に解消します。これは、軽微なセキュリティ・インシデントと、制御不能な広範なイベントとの違いとなります。
さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース