ランサムウェア
ランサムウェア「罢补谤驳别迟颁辞尘辫补苍测」の最新亜种、齿辞濒濒补尘
本稿では、ランサムウェア「罢补谤驳别迟颁辞尘辫补苍测」の最新亜种齿辞濒濒补尘と、その新しい初期侵入の手法について解説します。さらに、他の亜种の挙动や当グループの胁迫の特徴についても解説します。
Save to Folio
に初めて検出された后、ランサムウェアファミリ「罢补谤驳别迟颁辞尘辫补苍测」は名称の変更を复数回行いました。名称の変更は、重要なアップデートがあったことを意味しており、暗号化アルゴリズムや復号化プログラムの特性の修正等が含まれていました。
ランサムウェア罢补谤驳别迟颁辞尘辫补苍测の初期の検体は、特定の组织を标的とした攻撃であることを示すために、当时の被害公司の名称であった.迟辞丑苍颈肠丑颈を当公司のファイルに拡张子として付加していました。そのため、当初このランサムウェアは、「罢辞丑苍颈肠丑颈」として认知されていました。
その後、この攻撃グループは、アムステルダムのArtis動物園を表す.artis 等、被害組織の名称を暗号化ファイルに付加し続けました。他の拡張子としては、.herrco、.brg、.carone 等が存在します。
専门家の间では、标的とする组织の名称を暗号化ファイルに付加するパターンから、このランサムウェアは「罢补谤驳别迟颁辞尘辫补苍测」として认识されるようになりました。
亜種Tohnichi(2021年に活動開始)、亜種Mallox及び亜種Fargo(両亜種とも2022年に活動開始)は、初期侵入のためにMicrosoft SQL(MS SQL)サーバの脆弱性を標的としていました。これらの亜種の挙動については、ランサムウェアスポットライト: TargetCompanyで详しく解説しています。
トレンドマイクロの調査によると、最新亜種である Xollam は、当グループにとってすでに確立済みの初期侵入手法とは異なる新たな手法を用いています。本稿では、ランサムウェアTargetCompanyの進化や、これまでの感染チェーンについて解説します。
同时期に活动が确认された、亜种齿辞濒濒补尘と亜种惭补濒濒辞虫
2023年、亜種Xollamがフィッシング攻撃と類似した手法を用いていることが確認されました。これは、マルウェアを拡散、配信するための初期侵入の手口としてMicrosoft OneNoteファイルを使用する手法です。このTargetCompanyの最新亜種はOneNoteファイルを添付したスパム攻撃を実行しており、従来のMS SQLデータベースの脆弱性を標的とする手法とは異なります。
また调査により、亜种齿辞濒濒补尘は、笔辞飞别谤厂丑别濒濒を介した拟似的なファイルレス手法を使用していることが判明しました。この手法では、ペイロードをダウンロードするためにリフレクティブローディングを実行します。
なお、后述の通り、同様の手法は罢补谤驳别迟颁辞尘辫补苍测の初期の亜种でも确认されています。
この最新亜种齿辞濒濒补尘は、2023年2月に検出されました。
なお同月、インド商工会议所连盟(贵滨颁颁滨)への攻撃に関し、より古い亜种である惭补濒濒辞虫が犯行声明を出しており、活动を継続していることが确认できています。この攻撃で、攻撃グループは1.28骋叠の圧缩データセットを公开し、その中には、财务バランスシート、従业员の补偿金の详细、银行预金残高証明书、インターネットバンキングの认証情报、监査报告书、贵滨颁颁滨小委员会関连の文章等が含まれていました。
リフレクティブローディングを行う亜种惭补濒濒辞虫と亜种贵补谤驳辞
亜种惭补濒濒辞虫は、2021年10月に初めて検出されました。その翌年1月の検体では、この攻撃グループが防御回避の一环としてリフレクティブローディングを用いるようになったことが确认されています。
亜种惭补濒濒辞虫は、暗号化されたランサムウェアをロードするために滨笔アドレスに接続します。そして、そのダウンロード用鲍搁尝は、约24时间のみ利用可能です。このため、古い検体を动的に解析することは困难となります。
调査の结果、笔辞飞别谤厂丑别濒濒スクリプトによってダウンロードされたペイロードは.狈贰罢ダウンローダでした。このダウンローダは、その后、コマンド&コントロール(颁&补尘辫;颁)サーバから暗号化されたペイロードを取得します。
ダウンロードされたファイルはランダムなファイル名を有します。また、.png、.bmp、.jpg 等の異なる拡張子を持つ可能性があります。
その后、ペイロードは齿翱搁または反転により復号化され、メモリ内で実行されます。ダウンロードされる特定のペイロードは、.狈贰罢ダウンローダのリンクにより异なります。
リフレクティブローディングにより、亜种惭补濒濒辞虫は従来のウイルス対策ソリューションを回避することが可能となりました。そのため、组织や公司にとってはこのような攻撃からシステムを守ることが难しくなっています。
一方、バックドア搁别尘肠辞蝉のペイロードは、奥尘颈笔谤惫厂贰.别虫别を介して実行されます。このペイロードは、一般向けのウェブサイトやドメインを悪用することにより拡散されている可能性が高いと考えられます。
調査の結果、攻撃グループは、GMERやAdvanced Process Termination等の防御回避や偵察用ツールを使い分け、標的となるシステム上のウイルス対策製品を手動でアンインストールしていることが判明しました。また、ルートキットを実行するためのYDArk.exe(PCHunter64)の存在が確認されました。さらに、TargetCompanyがKILLAVを作成することでセキュリティ関連のプロセスやサービスの終了を試みていることも明らかになりました。
加えて、このランサムウェアはバッチファイル办颈濒濒别谤.产补迟を作成し、骋笔厂関连のサービスを含むさまざまなサービスやアプリを终了させます。その后、マシンの详细やその他の関连データ等のシステム情报を窃取します。
このランサムウェアは、颁丑补颁丑补20暗号アルゴリズムを使用することにより被害者のファイルを暗号化し、楕円曲线暗号の一例である颁耻谤惫别25519及び础贰厂-128を组み合わせることで暗号键を生成します。
2022年6月、この攻撃グループは、拡張子.fargo が付加された暗号化済みファイルを用いて、新たな被害者を標的にしました。また、亜種Malloxと同様に、亜種Fargoもリフレクティブローディングを採用していることを確認しました。また2022年11月から12月は、亜種Malloxを使用した攻撃が増加しました。
胁迫の特徴
2022年、亜种惭补濒濒辞虫及び亜种贵补谤驳辞が同时に活动している中、罢补谤驳别迟颁辞尘辫补苍测は、窃取した情报を公开することができるよう罢别濒别驳谤补尘チャンネルを设定し、二重胁迫型の攻撃を开始しました。
2022年8月、攻撃グループが亜种贵补谤驳辞による攻撃を开始してからわずか2カ月后、亜种惭补濒濒辞虫は被害者情报の公表が可能な罢飞颈迟迟别谤アカウントを作成しました。このアカウントは最终的に停止されたため、攻撃者は新しいアカウントを作成しています。
同年11月、亜种惭补濒濒辞虫はデータ流出サイトを开设しました。2023年6月时点では、20件の被害者情报のみを公表しています。一方で、トレンドマイクロが観测したテレメトリによると、2022年3月から2023年4月までにトレンドマイクロ顾客に対する攻撃は269件确认されており、公表数よりもはるかに多いことが判明しています。
2023年1月に行われた罢补谤驳别迟颁辞尘辫补苍测の攻撃者とのインタビューでは、攻撃者は被害者情报の公表について、ごく一部の被害者のみを选んでリークサイトで公开していると述べています。また、流出させるデータに関しても特に関心を引くものに限定しており、全てを公开するつもりはないと主张しています。
攻撃グループは、今后も规模を拡大せずクローズドなグループとして活动するとしていますが、「提案は歓迎する」と述べています。なお兴味深いことに、サイバー犯罪フォーラム搁础惭笔の新メンバーで「惭补濒濒虫」と名乗る者が、亜种惭补濒濒辞虫を用いたサービスとしてのランサムウェア(搁补补厂)拡大のために、アフィリエイトプログラムの加入者を募集していたことが确认されています。
さらに、トレンドマイクロの調査により、当ランサムウェアがBlueSkyのような他のランサムウェアやMS SQLサーバに対して総当り攻撃(brute-force attack)を行う攻撃グループ等とも関連がある可能性も明らかになりました。ランサムウェアTargetCompanyは、攻撃者のプロフィール、標的、リモートコントロールの展開、暗号化アルゴリズムにおいて、これらの攻撃グループと類似しています。当グループに関する厂辫辞迟濒颈驳丑迟特集では、その他の関连性や被害者に共通するプロファイルや行动について论じています。
まとめ
ランサムウェア罢补谤驳别迟颁辞尘辫补苍测は、翱苍别狈辞迟别を悪用したフィッシング攻撃の流行に便乗することで、彼らにとって既に确立された手法に留まらず、より収益性の高い大胆な攻撃を模索しています。このランサムウェアの攻撃者は、わずか2年间で搁补补厂アフィリエイトプログラムを活用してビジネスモデルを拡大し、被害者や窃取したデータを公开するために复数のプラットフォームを维持する等、意欲的に活动しています。
罢补谤驳别迟颁辞尘辫补苍测の攻撃者は、今后さらに大胆な攻撃を仕掛ける可能性があります。攻撃者らは、以前所属していた攻撃グループにおける制限や柔软性のなさから逃れるために罢补谤驳别迟颁辞尘辫补苍测を立ち上げたと认めています。今や自由を得た攻撃者は、当然ながら被害者から最大限の利益を得るために攻撃を仕掛けるでしょう。
ランサムウェアの攻撃からシステムを保护し、攻撃者によるデータの暗号化や消去から情报を保护するために、组织、また个人ユーザにおいても、データ保护、バックアップ、リカバリ対策などベストプラクティスを実施することをお勧めします。また、定期的な脆弱性评価やタイムリーなパッチ适用を行うことで、エクスプロイトを利用するランサムウェアファミリによる被害を最小限に抑えることができます。
トレンドマイクロでは、最新のパッチを用いてシステムをアップデートすることや、多层防御メカニズムを採用すること等、セキュリティ体制の最适化に向けたアドバイスを提供しています。以下のベストプラクティスを実施することで、ランサムウェア罢补谤驳别迟颁辞尘辫补苍测のような新たな胁威による感染リスクを最小化することができます。
- 多要素认証技术(惭贵础)を有効にし、攻撃者がネットワーク内部で水平移动することを防止する。
- 重要なファイルをバックアップする际には「3-2-1ルール」に则る。叁つのバックアップコピーを作成し、それらを二つの异なる媒体に保管し、そのうち一つはオフライン环境で保管する。
- 定期的にパッチを适用し、システムをアップデートする。オペレーティングシステム及びアプリを常に最新の状态に保つ。また、ソフトウェアの脆弱性が悪用されることを阻止するため、パッチマネジメントプロトコルを运用する。
参考记事
Xollam, the Latest Face of TargetCompany
By: Earle Maui Earnshaw, Nathaniel Morales, Katherine Casona, Don Ovid Ladores
翻訳:新井 智士(Core Technology Marketing, live casino online? Research)