Skip to main content

読み込み中です

      Nitrogen Ransomwareとは

      Nitrogenは金銭目的のランサムウェアグループで、2023年後半に初めて確認されました。このグループはマルウェア開発から高度な二重恐喝モデルへと移行しています。Nitrogenはmalvertisingやトロイ化されたインストーラーのような高度な手法を悪用し、組織内のIT専門家を標的とします。主な標的分野は、米国、英国、カナダなどを含む金融サービス、製造、建設、プロフェッショナルサービス分野です。

      初期アクセスは、検索エンジン広告を毒化したリンクを用いて行われ、被害者をWinSCP、AnyDesk、Advanced IP Scanner、PuTTYなどのツールのトロイ化されたインストーラーをホストする偽サイトへ誘導します。これらのインストーラーが実行されると、DLLサイドローディングが発生し、段階的ローダー(NitrogenStager)が起動してC2インフラに接続し、認証情報収集や横展開のための追加ペイロードをダウンロードします。

      偵察フェーズでは、脅威アクターはネットワークマッピング、アカウント列挙、レジストリRunキーやタスクスケジューラを利用した永続化の確立などを行う埋め込みモジュールを利用します。横展開および侵害後の活動ではCobalt StrikeやMeterpreterなどのフレームワークが使用され、リモートコマンド実行や権限昇格が可能になります。

      検出回避と支配維持のため、Nitrogenは脆弱な「truesight.sys」ドライバを悪用してアンチウイルスやEDRプロセスを無効化し、‘bcdedit’を使用してブート構成を変更し、証跡を消すためにセキュリティログを削除します。データは暗号化前にローカルでステージングされ、攻撃者が制御するサーバーへ流出させられ、恐喝のための材料として利用されます。その後、ランサムウェアペイロードが“.NBA”拡張子でファイルを暗号化し、被害ディレクトリ内に“readme.txt”という名称の身代金メモを配置します。

      Nitrogenによるmalvertising、正規ツール悪用、段階的ローダー、検出回避技術の活用は、同グループの高い運用成熟度を示しており、多層的な強固な防御が必要とされます。

      推奨される対策

      • 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
      • OEMに従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
      • 盲点や改善点を明らかにするため、包括的な全方位の脅威評価演習を実施する。
      Japanese alt text: Indicators of Compromise: Hashes
      Japanese alt text: Indicators of Compromise: Hashes

      ※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

      本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

      脅威インテリジェンス情報(2025年12月)

      KPMGインドのサイバー脅威に関する研究データに基づいた情報を毎月紹介しています。

      サイバーリスクに繋がる脅威情報の収集・分析を通じてリスクを未然に防ぎ、リスク発現時の対応を支援します。

      多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。

      お問合せ

      お問合せフォームより送信いただいた内容は、確認でき次第回答いたします。

      blue

      KPMGコンサルティング

      戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験から、幅広いコンサルティングサービスを提供しています。

      Japanese alt text: KPMGコンサルティング