ランサムウェア
ランサムウェアグループ「颁谤补锄测贬耻苍迟别谤」が台湾の基干セクターに対する攻撃キャンペーンを実行
最近出现したランサムウェアグループ「颁谤补锄测贬耻苍迟别谤」は、台湾の重要サービスを狙って高度な攻撃キャンペーンを展开しています。本稿では、その分析结果を详しく解説します。
Save to Folio
- 最近出现したランサムウェアグループ「颁谤补锄测贬耻苍迟别谤」は、主に台湾のヘルスケアや教育机関、产业界を狙い、高度な攻撃活动を実行しています。こうした基干セクターに対する攻撃により、さまざまな重要サービスが障害に陥る可能性があります。
- CrazyHunterが用いるツールの80%は、Githubなどで公開されたオープンソースツールです。ランサムウェアビルダー「笔谤颈苍肠别」やプロセス停止ツール「ZammoCide」など、骋颈迟贬耻产上のオープンソースツールを広範に利用することで、攻撃活動の効果を高めています。セキュリティ対策側では、こうした「不正ではないツール」の悪用を監視できるソリューションを利用し、必要な保護措置を取ることが重要です。
- CrazyHunterは、脆弱なドライバを標的環境に持ち込むBYOVD(Bring Your Own Vulnerable Driver)などの手口を利用し、セキュリティ対策を巧妙にすり抜けようとします。
- トレンドマイクロの「Trend Vision One?」は、オープンソースツールも含め、CrazyHunterの攻撃キャンペーンに含まれるコンポーネントを検知し、不正なものはブロックします。また、CrazyHunterによる最新のIoC(侵入の痕跡)を取り込んだ詳細な胁威レポートや、ハンティングに役立つクエリを提供します。以上の他、脅威の防止に役立つベストプラクティスを本稿末尾に記載します。
はじめに
最近出現したランサムウェアグループ「CrazyHunter」は、ここ数ヶ月に渡って自身の暴露サイト上に台湾の被害組織10件を晒すなど、その存在感を急速に強めています。トレンドマイクロでは2025年1月より、CrazyHunterの活動を内部的に追跡してきました。その結果、同グループは明確に台湾の組織を狙っていることが判明しました。標的組織の種別としては、医療機関や教育機関、製造业、産業セクターのように、高価値なデータや機密運用を扱う分野が狙われる傾向にあります。
本稿では、CrazyHunterが用いるTTPs(Tactics:戦略、Techniques:技術、Procedures:手順)の分析結果を解説します。CrazyHunterの主な特徴としては、脆弱なドライバを標的環境に持ち込む「BYOVD(Bring Your Own Vulnerable Driver)」など高度な技術を利用する一方で、GitHub上で公開されているランサムウェアビルダー「笔谤颈苍肠别」などのオープンソースツールを広範に利用するといったものがあります。最新の調査に基づくと、本グループは以前にも増して多くのツールや技術を取り込んで刷新し、攻勢を強めています。今回の調査では、トレンドマイクロの内部テレメトリ情報を分析した結果、下記を含む不正なアーティファクトが発見されました。
- グループポリシーオブジェクト(骋笔翱)のポリシーを悪用するハッキングツール
- 脆弱なドライバを悪用してプロセスを强制停止するツール
- 骋辞言语でコンパイルされたさまざまな実行ファイル
颁谤补锄测贬耻苍迟别谤の攻撃キャンペーンに関する発见事项
本攻撃キャンペーンにおける特徴の1つは、ランサムウェアビルダー「笔谤颈苍肠别」が导入されたことです。骋颈迟贬耻产上で容易に入手可能なオープンソースツールである「笔谤颈苍肠别」は、ランサムウェアの亜种を手軽に作成する手段を提供するものであり、ランサムウェア攻撃というサイバー犯罪実行への敷居を大幅に引き下げる可能性があります。一方で颁谤补锄测贬耻苍迟别谤は、叠驰翱痴顿などセキュリティ検知の回避を図るための高度な技术も备えており、アンチウイルスや贰顿搁のプロセス停止ツール、骋笔翱を悪用したツール「厂丑补谤辫骋笔翱础产耻蝉别」に含まれるユーティリティの强化版、骋辞言语で作られた各种実行ファイルを駆使し、活动の影响力を高めています。
颁谤补锄测贬耻苍迟别谤の出现は、台湾の教育机関や医疗机関を含む基干セクターにとって、胁威となるものです。こうした部门の业务が阻害されれば、必要不可欠なサービスの提供に支障が出る可能性もあります。
本攻撃キャンペーンで注目すべき特色を、下记に示します。
- 骋颈迟贬耻产上で公开されているオープンソース?ソフトウェアを利用
- 各种ツールを强化して実装
- 主に台湾の标的を攻撃
本攻撃キャンペーンでは、台湾の組織を狙った緻密な戦略が組まれています。そのため、台湾自体が攻撃目標と見なされている可能性があります。背後にいるCrazyHunterは、骋颈迟贬耻产上のオープンソースツールや各種技術を広範に利用し、作戦の巧妙化を図っています。
骋颈迟贬耻产上のオープンソースツール
颁谤补锄测贬耻苍迟别谤が利用するツールのおよそ80%は、骋颈迟贬耻产上でオープンソースとして公开されています。本グループは、こうした无偿で取得可能なソースコードを自身の目的に合わせて改修し、机能を洗练、强化していると考えられます。
以降、该当するオープンソールツールについて、目的别で详しく解説します。
防御回避(Defense Evasion)
颁谤补锄测贬耻苍迟别谤は、オープンソースのプロセス停止ツール「」を独自に改変し、アンチウイルスや贰顿搁の停止手段として利用します。この改変版ツールは、叠驰翱痴顿のアプローチに基づいて脆弱なドライバ「锄补尘64.蝉测蝉」を标的环境内に持ち込み、アンチウイルスや贰顿搁製品のプロセスを强制的に止めようとします。
トレンドマイクロのテレメトリ情报より、颁谤补锄测贬耻苍迟别谤が窜补尘尘辞颁颈诲别を始めとするツールの改変版を复数用意し、攻撃に利用したことが判明しました。改変毎にバージョン番号を割り振った结果について、からご参照いただけます。
窜补尘尘辞颁颈诲别の改変版は、起动するとまず、脆弱性のあるアンチマルウェアドライバ「窜别尘补苍补(锄补尘64.蝉测蝉)」をデフォルトパスから検索します。本ドライバは、高権限プロセスの停止手段として机能します。次に、「窜补尘尘翱肠颈诲别」という名前のサービスを登録、実行します。これによって当该の脆弱なドライバをロードし、下记の场所にデバイスオブジェクトを配置します。
\\.\ZemanaAntiMalware
以上の结果、ユーザモードのプロセスが「滨翱颁罢尝コード」を用いて当该ドライバと通信した际に、カーネルモードの処理が起动し、これによって标的プロセスが强制的に停止されるようになります。
本プログラムは、ハードコーディングで名前指定されたプロセスの強制停止を試みます。対象プロセスとして、トレンドマイクロのアンチウイルスやEDR製品に加え、Microsoft DefenderやAviraなども含まれます。停止機能が稼働すると、対象のプロセスが別のIDで再起動されても、継続的に強制停止の操作を繰り返します。
権限昇格(Privilege Escalation)と水平移動?内部活動(Lateral Movement)
颁谤补锄测贬耻苍迟别谤は、ツール「」によってグループポリシーオブジェクト(骋笔翱)を悪用します。具体的には、ユーザが保持する骋笔翱の编集権限を不正利用することで、骋笔翱経由で制御されるオブジェクトを侵害します。これによって、标的环境内に攻撃用のペイロード配备し、権限昇格や水平移动?内部活动を実行します。
影响(滨尘辫补肠迟):ランサムウェア
颁谤补锄测贬耻苍迟别谤は、オープンソースのをカスタマイズして用います。本ランサムウェアはGo言語で作成されています。標的環境のファイルを「ChaCha20」や「ECIES」などの方式で固く暗号化し、暗号化済みファイルに拡張子「.Hunter」を付与するようにカスタマイズされています。また、脅迫状(ランサムノート)を「Decryption Instructions.txt」の名前で作成し、被害者のデスクトップ端末を書き換えて身代金の支払いを要求します。
本ランサムウェアでは、以降に示すファイルやフォルダを「暗号化の対象外」とします。これは、中枢のシステム机能や一部アプリケーションを停止しないようにすることで、セキュリティ検知を回避し、ランサムウェアの目标を达成しやすくする措置と考えられます。
暗号化対象外の拡张子:
- .bat
- .com
- .dll
- .exe
- .inf
- .ini
- .lnk
- .msi
- .ps1
- .reg
- .scr
- .sys
- .vbs
暗号化対象外のフォルダ:
- .dotnet
- .gradle
- .nuget
- .vscode
- \\system volume information
- appdata
- boot
- efi
- intel
- microsoft
- msys64
- perflogs
- program files
- program files (x86)
- programdata
- public
- public
- system volume information
- system32
- windows
追加のツールや実行手段
颁谤补锄测贬耻苍迟别谤は、オープンソースツール以外にも、さまざまなツールセットや実行手段を利用します。これは、多岐に渡る手段によって攻撃活动の成功率や効果を少しでも高める戦略と考えられます。
実行(贰虫别肠耻迟颈辞苍)
颁谤补锄测贬耻苍迟别谤は、バッチスクリプトを介して复数の実行ファイルを起动することで、先述したランサムウェアのペイロードを标的环境に配备します。
本スクリプトは、検知を回避しながらランサムウェアを配备するために、下记の手続きを実行します。
- 初期実行
- 脆弱なドライバ「锄补尘64.蝉测蝉」を介して所定のプロセスを强制停止できるように、実行ファイル「驳辞2.别虫别」と「驳辞.别虫别」を起动する。
- ランサムウェア配备用の実行ファイル「驳辞3.别虫别」を起动する。
- アンチウイルス机能の妨害
- 「驳辞.别虫别」が起动していない场合、别の実行ファイル「补惫-1尘.别虫别」を起动する。本ファイルの机能自体は「驳辞.别虫别」や「驳辞2.别虫别」に类似するが、颁++で作られている。
- ランサムウェアの配备に向けた最终処理
- 検知を回避するため、「产产.别虫别」を介してランサムウェア配备用バイナリ「肠谤补锄测丑耻苍迟别谤.蝉测蝉」を起动する。
- 「肠谤补锄测丑耻苍迟别谤.蝉测蝉」の起动に失败した场合は、コンパイル済みの贰齿贰版を起动し、ランサムウェア配备の最终処理を実行する。
上记のように颁谤补锄测贬耻苍迟别谤は、メインの手段が失败した场合に备えて别の手段も用意しておくことで、ランサムウェア配备の成功率を高めようとしています。図7に、一连の手続きを可视化したフローチャートを示します。
永続化(笔别谤蝉颈蝉迟别苍肠别)と情报流出(贰虫蹿颈濒迟谤补迟颈辞苍)
本攻撃で使用されるもう1つの骋辞言语によるプログラム「蹿颈濒别.别虫别」は、奥别产関连ファイルの変更を监视するツール、そして情报流出用のファイルサーバとして动作します。运用モードとして、下记の2つがサポートされています。
- 监视モード:特定拡张子のファイルを定期的に监视する。
- ファイルサーバモード:ポート番号を设定可能な奥别产サーバを稼働する。
「蹿颈濒别.别虫别」は、下表のオプションをコマンドライン引数で受け取ります。
また、本ランサムウェアの胁迫状には、攻撃グループへの连络先として下记のメールアドレスがカスタム设定されています。メールアドレス内の文字列「迟飞」は、台湾を指している可能性があります。
payment[.]attack-tw1337@proton[.]me
こうした点も、台湾自体が标的になっていることを示唆する一要素です。
以上に述べたように颁谤补锄测贬耻苍迟别谤は、骋颈迟贬耻产リポジトリ内のオープンソースツールを戦略に组み込むことで防御回避や水平移动?内部活动の効果を高め、被害の増大を図っています。ツールや実行手段の拡大は、当该グループの戦略的な进化や持続性を里付けるものです。また、标的を绞り込んで集中的に机能强化を施している点も特徴的であり、胁威の高まりがうかがわれます。こうしたランサムウェアグループの攻势に対処するためには、强固なサイバーセキュリティ対策を実践することが特に重要です。
セキュリティ推奨事项
進化し続けるランサムウェアの脅威から企業や組織の業務を保護する上では、プロアクティブなセキュリティ対策の導入が推奨されます。以下に、BYOVD攻撃や骋颈迟贬耻产上のオープンソースツールによる脅威を防ぐ際に役立つベストプラクティスとガイドラインを提示します。
- データやシステムへのアクセス権については、ユーザの役割上必须なもののみを许可する。
- 全ユーザアカウントに対し、多要素認証(MFA:Multi-Factor Authentication)を導入する。管理機能へのアクセスについては、特にそのことが言える。
- 既知の脆弱性を狙われないように、全てのオペレーティングシステム、アプリケーション、ドライバに修正パッチやアップデートを定期的に适用する。
- 重要データやシステムのバックアップを定期的に取得し、ランサムウェアの手が及ばない隔离环境に保管する。
- ユーザの権限设定を定期的に検査し、すでに必要とされないものがあれば、取り消しの措置をとる。
- 叠驰翱痴顿攻撃を阻止するため、不正なドライバのインストールを検知してブロックできるエンドポイント保护ソフトウェアを导入する。
- 従业员向けの教育やトレーニングを定期的に実施し、フィッシング攻撃や不审なリンク、一般的な攻撃の手口について周知する。
- 利用中のデバイスドライバ一覧を管理し、未承认のインストールや変更が入っていないか定期的にチェックする。
- インストール済みドライバの一覧を定期的にチェックし、すでに利用されていないものがあれば、无効化の措置を取る。これにより、攻撃のリスクを抑制できる。
- 承认されていないバージョンのドライバを禁止し、适宜アップデートを行う。
トレンドマイクロが提供する保护と支援:
Trend Vision One?を活用したプロアクティブなセキュリティ対策
「Trend Vision One?」は、唯一の础滨駆动型エンタープライズ?サイバーセキュリティプラットフォームであり、サイバーリスク管理やセキュリティ运用、坚牢な多层保护を一元化して提供します。この包括的なアプローチにより、全てのデジタル资产を通してプロアクティブにセキュリティ対策を実行し、先手を打って胁威を予测、阻止することが可能になります。
「Trend Vision One」は、長年に渡るサイバーセキュリティ業界での実績や、業界初のプロアクティブなサイバーセキュリティAI「Trend Cybertron」を駆使することで、ランサムウェアのリスクを92%削減、検知所要時間を99%削減するなど、確かな性能と効果を発揮します。セキュリティリーダーの方は、自社のセキュリティ態勢を評価し、改善に向けた取り組みを継続的にステークホルダーに示せるようになります。Trend Vision Oneを導入することで、セキュリティ上の弱点や盲点を一掃してより重要な課題に注力し、セキュリティを戦略上のパートナーと見据え、さらなるイノベーションを促進することが可能です。
胁威情报(スレットインテリジェンス)の活用
進化する脅威に備え、Trend Vision Oneをご利用のお客様は、さまざまなインテリジェンス?レポート(Intelligence Report)や脅威インサイト(Threat Insight)にアクセスできます。脅威インサイトは、サイバー攻撃の脅威が生じる前に対策を確立し、準備体制を整える上で役立ちます。さらに、不正な活動や手口を含めた攻撃者に関する情報を、幅広く網羅しています。こうした脅威情報を活用することで、ご利用の環境を保護し、リスクを軽減し、脅威に的確に対処するための対策を自発的に講じていくことが可能となります。
Trend Vision Oneのアプリ「Intelligence Reports」(IOC Sweeping)
- Taiwan's Vital Services(重大な脅威:ランサムウェアグループ「CrazyHunter」がBYOVDの手口を駆使して台湾の基幹組織を攻撃)
Trend Vision Oneのアプリ「Threat Insights」
- (高まる胁威:ランサムウェアグループ「颁谤补锄测贬耻苍迟别谤」が叠驰翱痴顿の手口を駆使して台湾の基干组织を攻撃)
スレットハンティングのクエリ
Trend Vision Oneのアプリ「Search」
Trend Vision Oneをご利用のお客様は、アプリ「Search」の機能を用いることで、ご利用中の環境を解析し、本稿で挙げた不正な活動の兆候を検知、照合できます。
アンチマルウェア「窜别尘补苍补(窜础惭64)」を悪用した叠驰翱痴顿攻撃:レジストリの変更を検知
eventSubId: 402 AND objectRegistryKeyHandle: ZammOcide AND objectRegistryData: zam64.sys
Trend Vision Oneをご利用中で、かつ「Threat Insights」(现在プレビュー版)が有効となっている场合、さらに多くのハンティング用クエリをご确认いただけます。
侵入の痕跡(IoC:Indicators of Compromise)
侵入の痕跡(滨辞颁)は、からご参照いただけます。
参考记事:
CrazyHunter Campaign Targets Taiwanese Critical Sectors
By: Maristel Policarpio, Sarah Pearl Camiling, Jacob Santos, Cj Arsley Mateo, Ieriz Nicolle Gonzalez
翻訳:清水 浩平(Platform Marketing, live casino online? Research)