ランサムウェア
マルウェア「QAKBOT」と脆弱性「PrintNightmare」を使ったランサムウェア「Black Basta」の新たな攻撃手段
ランサムウェア「Black Basta」は、4月に活動を開始して以来、世界中の50を超える企業や組織に対して行った攻撃によって大きな注目を浴びました。
ランサムウェア「Black Basta」は、4月に活動を開始して以来、世界中の50を超える企業や組織に対して行った攻撃によって大きな注目を浴びました。一連の攻撃では、機密情報を暗号化して要求に従わない場合は外部に流出させる「二重恐喝」の手口が使用されています。この急進的なランサムウェアグループは用いる攻撃手段を常に進化させてきました。トレンドマイクロが最近確認した事例では、初期侵入、水平移動の手段としては情報窃取型バンキングマルウェア「QAKBOT」が利用され、さらに権限付きファイル操作の手段としては脆弱性「PrintNightmare(CVE-2021-34527)」が利用されました。
今回トレンドマイクロの顧客に発生した事例では、図1の通りBlack BastaはQAKBOTを経由して標的システムにデプロイされました。このようにランサムウェアを感染させる媒体としての働きは、QAKBOTマルウェアファミリが担う典型的な役割の1つです。QAKBOTを経由して感染するランサムウェアとして、MegaCortex、PwndLockerm、Egregor、ProLock、REvil(別称Sodinokibi)が挙げられます。バンキングマルウェアであるQAKBOTは2007年に発見されて以来、その高度な侵入能力で知られ、マルウェアインストールを行うサービス(malware-installation-as-a-service)としてさまざまな攻撃キャンペーンに使用されてきました。QAKBOTの機能は長年に渡って高度に進化し続けています。実際、最近発見されたマイクロソフトのゼロデイ脆弱性Follina「CVE-2022-30190」を突いた攻撃事例も確認されています。
QAKBOTの感染チェーン
QAKBOTはExcel 4.0マクロを含むExcelファイルが添付されたスピアフィッシングメール(図2)から拡散します。こうしたメールや添付ファイルには、受信者に対してマクロの有効化を促す内容が記載され、その指示に従った場合QAKBOTのDLLファイル(図3、4)がダウンロード、実行されます。QAKBOTのDLLは特定のディレクトリ、ファイル名で標的にドロップされ、regsvr32.exe(図5)を経由して実行されます。このDLLによって、explorer.exe(図6)を使ったプロセスインジェクションが行われます。さらに、インジェクトされたExplorerプロセスによって、QAKBOTの初期的な足場を標的端末に構築するためのタスクスケジュール(図7)が登録されます。
QAKBOTが標的にインストールされると、感染チェーンに含まれるバックドア「Cobeacon」をはじめとする各種コンポーネントのダウンロードが始まります。Cobeaconは、多段階に難読化されたPowerShellスクリプトを通してファイルレスで実行されることが調査によって判明しました(図8~11)。インストールされたCobeaconのシェルコードはBase64でエンコードされ、プロセス間通信用の名前付きパイプを作成します(図12)。このパイプの用途として、標的システムからの情報収集が完了次第、情報を外部に持ち出すために使用された可能性が考えられます。被害者が身代金を支払わなかった場合、Black Bastaのランサムウェアグループは、持ち出した情報をリークサイトに公開します。
PrintNightmareとCoroxy
Black Bastaに感染したシステムの状態を詳しく解析したところ、今回の攻撃は脆弱性「PrintNightmare」を突いて行われたことが分かりました。Black Bastaの攻撃グループはこの脆弱性を利用してWindowsプリントスプーラーサービス(spoolsv.exe)を不正使用することでペイロード(spider.dll)をドロップし、さらに権限付きファイルの操作を行いました。同様に脆弱性を悪用することで攻撃者が実行しようとしたファイルは上記以外にも存在しますが、そうしたファイルの検体はシステム内ですでに参照できない状態となっていました。
また、今回の攻撃グループはネットワークをまたいで水平移動・内部活動を行うために、バックドア「Coroxy」とネットワーク・ユーティリティツール「Netcat」を併用したことが追加の調査によって判明しました。標的のネットワーク上で広大な足場を得た攻撃者は、前回のブログ記事で述べた感染の手口を用いて、Black Bastaのランサムウェア攻撃を実行しました。
フィッシング攻撃の阻止
スピアフィッシングはランサムウェアへの感染が発生する前兆です。企業や組織は、電子メールによって拡散する攻撃からデータを守るため、下記ベスト・プラクティスを遵守することを推奨します。
- マイクロソフトのOffice製品のマクロ機能を無効化しておく
- メールを開いたり添付ファイルをダウンロードする前に、送信者や内容の正当性について確認する
- マウスポインタをリンク上に移動して、リンク先アドレスの全体を確認する
- 見慣れないメールアドレス、メールアドレスと送信者名の不一致、偽装された会社のメールなど、攻撃を示唆する兆候を見逃さない
企業や組織、その従業員は、Black Bastaのように電子メールを発端とするランサムウェア攻撃から機密データを保護するために、トレンドマイクロの「Smart Protection Suites」や「Worry-Free Business Security」をはじめとするエンドポイントソリューションをご利用いただけます。これらのソリューションはシステムの挙動を監視して、不正なファイル、スクリプト、メッセージを検知し、関連する全てのURLをブロックします。「Trend Micro™ Deep Discovery™」も、電子メール監視レイヤーを備え不正な添付ファイルやURLを全て検知してビジネスを保護します。さらに、「Trend Micro Vision One™」をはじめとするマルチレイヤーの検知・対応ソリューションは、電子メールやエンドポイントだけでなく、サーバ、クラウド・ワークロード、ネットワークも含めた複数のレイヤーにまたがってシステムの不審な挙動を監視し、その結果を明確に把握できる機能を提供します。これによって不正なコンポーネントを迅速にブロックし、マルウェア感染のリスクを低減することが可能です。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
• 「Black Basta Ransomware Operators Expand Their Attack Arsenal With QakBot Trojan and PrintNightmare Exploit」
By: Kenneth Adrian Apostol, Paolo Ronniel Labrador, Mirah Manlapig, James Panlilio, Emmanuel Panopio, John Kenneth Reyes, Melvin Singwa
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)