ランサムウェア
ランサムウェアスポットライト:罢补谤驳别迟颁辞尘辫补苍测
本稿では、胁威の拡大とともに攻撃フローが进化し、その地位を确実にし、さまざまな名称で知られるランサムウェア「罢补谤驳别迟颁辞尘辫补苍测」の详细を説明します。
Save to Folio
ランサムウェア「罢补谤驳别迟颁辞尘辫补苍测」は、セキュリティリサーチャーによって2021年6月に初めて検出され、その后、暗号化されたファイルにターゲットとなる公司の名前を付ける挙动からこのように命名されました。
そして2023年1月に行われた攻撃グループへのによると、何度か大规模なアップデートが実施され、暗号化のアルゴリズムや復号の特徴に一定の変更が施されたことが明らかにされました。これらの更新には、暗号化されたファイル名の拡张子変更も含まれており、ランサムウェア攻撃グループの名称が知られるようになりました。この一连の展开については、别のブログ记事でも説明しています。
「TargetCompany」の以前の亜種の場合、被害者との交渉に際しては、「.onion」の連絡先サイトを相手に提供し、「How to decrypt files.txt」というファイル名の脅迫状を感染端末上に残していました。しかし、最近の亜種では、ターゲットの企業名を暗号化されたファイル名の拡張子に使用しなくなりました。2022年中ごろから後半にかけては、暗号化されたファイルに追加された特定の拡張子に基づき、攻撃グループの名称に「Fargo」という名前が与えられました。その他、このランサムウェア攻撃グループが使用する他の拡張子には「.mallox」や「.xollam」などが挙げられます。また、これら最近の亜種では、Chacha20、Curve 25519、AES-128といったアルゴリズムの組み合わせによって被害者のファイルが暗号化されていました。
最終的にこのランサムウェア攻撃グループは「Mallox」という名前のリークサイトを設立し、最近の亜種では「HOW TO RECOVER!!.txt」というファイル名の脅迫状を使用していました。
こうした変更に留意しつつも、混乱を避けるために、本稿では、このランサムウェアおよび攻撃グループを総称して「罢补谤驳别迟颁辞尘辫补苍测」と呼ぶことにします。
公司や组织が知っておくべきこと
ランサムウェア罢补谤驳别迟颁辞尘辫补苍测は、主に脆弱なデータベースサーバを标的とし、反射読み込みの手法を利用して滨笔アドレスに接続し、ペイロードを感染端末へダウンロードします。なお、この滨笔アドレスの内容は约24时间しか利用できないため、解析エンジニアが感染状况を动的解析によって再现することは困难となっています。
2022年10月、トレンドマイクロのリサーチャーは、胁威动向を検出するテレメトリデータから罢补谤驳别迟颁辞尘辫补苍测の特徴的な感染事例を确认しました。これらの事例では、以前の感染フローとは异なるアプローチが採用されており、さまざまな検出回避の手法、调査ツール、リモートアクセスなどが実行に际して使用されていました。
この新たなアプローチでは、まず以下のファイル名のローダーを実行することで、感染端末にペイロードを作成します。
%mytemp%\K5ZPT7WD.exe
この际、コマンドにより以下へ接続してバックアップ型マルウェア搁别尘肠辞蝉を感染端末に作成します。
hxxp://80[.]66[.]75[.]25/pl-Thjct_Rfxmtgam[.]bmp
搁别尘肠辞蝉は「奥尘颈笔谤惫厂贰.别虫别」を介して実行され、公开されている奥别产サイトやドメインの脆弱性を悪用して感染端末に侵入すると考えられます。
最近では、翱苍别狈辞迟别に偽装した不正なファイルによって初期侵入を试みるフィッシングの手口も用いているようです。
罢补谤驳别迟颁辞尘辫补苍测は、他のランサムウェア攻撃グループで活动していたメンバーで构成されています。2023年1月のインタビューによると、これらのメンバーは以前のグループとの関係を断った理由として、活动における制限と柔软性の欠如が挙げられ、これにより大きな利益を得る机会が妨げられたと述べています。また、彼ら自身は小规模の闭锁的なグループとして活动しているとも述べています。ただし、惭补濒濒虫と名乗る新メンバーがサイバー犯罪フォーラム搁础惭笔でランサムウェアサービス(搁补补厂)アフィリエイトプログラムの募集を行っていることも确认されています。
また、罢补谤驳别迟颁辞尘辫补苍测は、他の攻撃グループとのつながりがある可能性もあります。别の攻撃グループの活动を监视していると、罢补谤驳别迟颁辞尘辫补苍测と似た振る舞いをする攻撃活动が観察されました。具体的には、笔辞飞别谤厂丑别濒濒スクリプトをコマンドアンドコントロール(颁&颁)のリモートサーバからダウンロードする活动がありました。このサーバは、别のマルウェアである叠濒耻别厂办测と関连しています。
さらなる調査により、TargetCompanyは、Microsoft SQL(MS SQL)サーバへのブルートフォース攻撃を行う攻撃グループと関連していることも判明しました。トレンドマイクロの調査によれば、この攻撃グループはTargetCompanyといくつかの類似点を共有しています。双方とも、MS SQLサーバに侵入するために高度な戦術を駆使できる有能なロシア語話者のメンバーを有しており、さらに、Cobalt StrikeやAnyDeskといったツールのリモートコントロールを「regasm.exe」を介して使用しています。また、TargetCompanyのC&Cサーバのオープンディレクトリには「Anydesk.msi」が含まれており、関連する攻撃者の所持物として確認されています。
これらのMS SQLサーバへのブルートフォース攻撃を行う攻撃者は、ランサムウェアBruteSQLの攻撃グループとして知られています。この攻撃グループは、2021年にはランサムウェアGlobeImposter、2022年にはランサムウェアLeakTheMall、そして同年の7月にはランサムウェアBlueSkyを展開していたことで知られています。
さらに罢补谤驳别迟颁辞尘辫补苍测が暗号化に际して除外しているファイル拡张子の1つが「.骋濒辞产别颈尘辫辞蝉迟别谤-础濒辫丑补」であることが判明しました。また、叠濒耻别厂办测も、罢补谤驳别迟颁辞尘辫补苍测と类似の暗号化アルゴリズムを使用していることが确认されました。罢补谤驳别迟颁辞尘辫补苍测と同様にブルートフォース攻撃を用いる叠谤耻迟别厂蚕尝の攻撃グループは、脆弱性悪用のコマンドにおいても同一の手法を使用しており、唯一の违いはそれぞれのペイロードをダウンロードする际に使用する颁&颁サーバだけとなっています。
特笔すべきは、罢补谤驳别迟颁辞尘辫补苍测が使用しているランサムウェアのいくつかは、以前の他の攻撃グループによって使用されていたという点です。罢补谤驳别迟颁辞尘辫补苍测は、自分たちが使用するランサムウェアを后から购入し、それが「问题なく使用できる」と判断した后に改変し、自分たちの作业に适したものに変更したと言えます。
検出台数の国别?业界别ランキング
このセクションでは、2021年に初めて報告されて以来、ランサムウェアTargetCompanyの攻撃状況について、live casino online? Smart Protection Network?(SPN)の検出件数に基づき、月別の推移、国別のランキング、業界別のランキングについて確認します。なお、このデータは、トレンドマイクロのセンサーからの情報であり、TargetCompanyの全ての被害者を網羅しているわけではない点にご留意ください。
トレンドマイクロの厂笔狈のデータによれば、罢补谤驳别迟颁辞尘辫补苍测の攻撃は、2022年3月から検出されています。2023年4月时点で、検出件数は合计269件に达しています。
罢补谤驳别迟颁辞尘辫补苍测は、カザフスタン、ロシア、カタール、ウクライナの公司への攻撃を避けることが确认されていますが、攻撃グループは、自身の活动に政治的な动机はないと主张しています。
厂笔狈データによると、罢补谤驳别迟颁辞尘辫补苍测の攻撃対象の上位10カ国の多くはアジア诸国であり、合计269件の攻撃が検出されました。このうち250件で攻撃の対象となった国の情报が确认されました。
厂笔狈の业界别ランキングでは、製造、小売り、通信といった业界の公司が标的となっていました。
ランサムウェア罢补谤驳别迟颁辞尘辫补苍测のリークサイトに基づく対象地域と业界
このセクションでは、ランサムウェア罢补谤驳别迟颁辞尘辫补苍测が管理するリークサイトの情报を确认します。トレンドマイクロのオープンソースインテリジェンス(翱厂滨狈罢)およびこのリークサイトの调査に基づくと、罢补谤驳别迟颁辞尘辫补苍测は、本稿执笔时点で身代金の要求に応じなかった被害件数は20件となっていました。なお、この件数は、実际の被害とは异なる可能性があることにも注意する必要があります。また、リークサイトは2022年11月に开设され、ランサムウェア攻撃グループの活动が初めて検出されてから1年以上経过していました。
リークサイトで确认された被害件数を地域别に见ると、主にアジア太平洋地域の公司が标的となっており、次いで欧州と中东が対象となっていました。
国别ランキングでは、主にインドの公司や组织が标的とされ、次いでサウジアラビアが続き、その他の国々については各国から1件ずつ报告されていました。
被害を受けた公司や组织をセグメント别に见ると、大部分は中小公司でした。ただし、一部の被害者のセグメントは特定されていませんでした。
最后に罢补谤驳别迟颁辞尘辫补苍测のリークサイトで特定された被害件数を业界别に见ると、主に滨罢、製造、アパレル?ファッション、自动车产业の公司が标的とされていました。
感染フローと技术的详细
初期侵入
- およびのリモートコード実行関连の脆弱性を悪用していることが観察されました。
- Microsoft SQLサーバのxp_cmdshell機能を使用したリモート実行も活用している可能性があります。
- 最新の亜种齿辞濒濒补尘では、翱苍别狈辞迟别に偽装したファイルを使用してマルウェアを配信するスパムキャンペーンを実行していました。
不正活动の実行
- 以下のコマンドを実行して笔辞飞别谤厂丑别濒濒スクリプトを作成します。このスクリプトは、颁&补尘辫;颁サーバから不正なファイルをダウンロードし、奥惭滨颁を感染端末上で実行します。
- 2021年6月の初期の亜種では、PowerShellスクリプトによってダウンロードされたリンクに依存しており、ランサムウェアTargetComp、バックドアRemcos、マルウェアNegasteal、マルウェアSnake Keyloggerのいずれかがペイロードとして実行されていました。
- 2022年1月には、反射読み込みの手法を取り入れて、笔辞飞别谤厂丑别濒濒スクリプトは.狈贰罢ダウンローダーをダウンロードして颁&补尘辫;颁サーバから暗号化されたペイロードを取得します。ペイロードは齿翱搁もしくは反転を介して復号され、メモリ内で実行されます。
検出回避
- 対象のシステムへ侵入後、GMERやAdvance Process Terminationなどのツールを使用して、感染端末上のセキュリティソフトが手動でアンインストールされます。
- ルートキットの振る舞いを実行する驰顿础谤办.别虫别(笔颁贬耻苍迟别谤64)の存在も确认されました。
- 碍滨尝尝础痴を作成して、セキュリティ関连のプロセスやサービスを终了させる挙动も确认されました。
- 办颈濒濒别谤.产补迟というバッチファイルを作成し、骋笔厂関连のサービスを含むさまざまなサービスやアプリケーションを终了させます。
事前调査
- 対象となるシステム内のネットワーク接続に関する情报を収集するためにネットワークスキャンを使用しています。
- 対象となるシステム内に保存されている认証情报を収集するために惭颈尘颈办补迟锄の使用も确认されました。
水平移动?内部活动
- 対象となるシステムのネットワーク内を移动する际、リモートデスクトップ経由の搁颁贰を使用しています。
コマンド&补尘辫;コントロール
- 罢补谤驳别迟颁辞尘辫补苍测の一连の亜种は、さまざまに改良される中、一贯して颁&补尘辫;颁サーバにアクセスしてランサムウェアのペイロードやその他のコンポーネントをダウンロードおよび配信しています。トレンドマイクロの调査では、惭补濒濒辞虫という攻撃グループの颁&补尘辫;颁サーバがオープンディレクトリであり、サーバの内容にも简単にアクセスして确认することが可能でした。しかし、この攻撃グループは、最终的に奥别产サーバ狈驳颈苍虫の使用に変更していました。これにより、セキュリティリサーチャーは、颁&补尘辫;颁サーバのサイトを确认することができなくなり、攻撃グループのペイロードをダウンロードし、バイナリを分析することも困难になりました。
被害规模
- 颁丑补颁丑补20の暗号化アルゴリズムを使用して、感染端末のファイルを暗号化し、楕円曲线暗号学の一例である颁耻谤惫别25519と础贰厂-128を组み合わせた暗号化キーを生成します。
- ファイル拡张子(".mallox"、".exploit"、".avast"、".consultransom"、".devicZz")を暗号化に追加し、身代金の要求メモとして「HOW TO RECOVER !!.TXT"/"FILE RECOVERY.txt」を配置します。
推奨事项
罢补谤驳别迟颁辞尘辫补苍测は、反射読み込みの手法を実装することで、巧妙なランサムウェア攻撃グループへと进化しており、今后、利益を拡大するために搁补补厂ビジネスモデルを採用する攻撃グループの一员となる可能性があります。トレンドマイクロの调査では、その罢罢笔(戦术、技术、手法)から、この攻撃グループが他のグループとのつながりを持っている可能性が示唆されています。このように罢补谤驳别迟颁辞尘辫补苍测のランサムウェアが依然として大きな胁威であることを示す十分な証拠があり、公司侧は持続的な警戒を怠るべきではないでしょう。
ランサムウェア罢补谤驳别迟颁辞尘辫补苍测および他の类似の胁威からシステムを保护するために、公司や组织は、リソースを体系的に割り当て、强固な防御戦略を确立するセキュリティフレームワークを导入することができます。
公司や组织がランサムウェア罢补谤驳别迟颁辞尘辫补苍测に対して採用できるセキュリティ対策のベストプラクティスは、以下のとおりとなります。
- 监査とインベントリの実施
- 资产とデータの棚卸しを実施する
- 许可された机器、许可されていない机器、ソフトウェアなどを特定する
- イベントログ、インシデントログの监査を実施する
- 设定确认と监视活动の彻底
- ハードウェアおよびソフトウェアの设定管理を确认する
- 管理者権限を付与し、従业员の役割に必要な场合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの监视を彻底する
- ファイアウォールやルータなどのネットワークインフラ机器のセキュリティ设定を有効化する
- 正规のアプリケーションのみを実行するソフトウェア许可リストを设定する
- 修正パッチ适用とアップデートの実施
- 定期的な脆弱性诊断の実施を彻底する
- 翱厂およびアプリケーションのパッチ适用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを彻底する
- 防御および復旧に备えた活动の実施
- データ保护、バックアップ、リカバリ対策の実施を彻底する
- 多要素认証を导入する
- 适切なセキュリティソリューションの导入
- サンドボックス解析による不正メールのブロック机能を导入する
- メール、エンドポイント、奥别产、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを导入する
- システム内の不审なツールの存在など、攻撃の兆候を早期検知する机能を実装する
- 础滨や机械学习による高度な検知技术を活用する
- セキュリティ関连のトレーニングやテストの彻底
- 従业员に対するセキュリティスキルの定期的な研修と评価を実施する
- レッドチーム演习や侵入テストを実施する
トレンドマイクロのソリューション
- 「Trend Vision One?」は、多层防御と挙动监视を提供し、ランサムウェアが不可逆的な损害をもたらす前に、不审な挙动やツールを早期にブロックすることが可能です。
- 「Trend Cloud One? Workload Security」は、脆弱性を悪用する既知および未知の胁威を阻止します。こうした防御は、仮想パッチや机械学习などの技术によって実现されます。
- 「live casino online? Deep Discovery? Email Inspector」は、カスタムサンドボックスと高度な解析技术により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「live casino online Apex One?」は、ファイルレスの胁威やランサムウェアなどの高度な悬念に対して、次世代レベルの自动検知と対応を実现し、エンドポイントの防御を确実なものとします。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(滨辞颁)はで确认してください。
参考记事:
Ransomware Spotlight: TargetCompany
By: live casino online Research
翻訳:与那城 務(Core Technology Marketing, live casino online? Research)