ランサムウェア
新たなランサムウェア「Play」:既存の攻撃手口に類似
「Play」は2022年6月に登場した新しいランサムウェアです。既存のランサムウェアである「Nokoyawa」および「Hive」の攻撃方法との多くの類似点から、「Play」も「Nokoyawa」および「Hive」と同じサイバー犯罪者によりコントロールされているものと推測されています。
「Play」は2022年6月に登場した新しいランサムウェアです。既存のランサムウェアである「Nokoyawa」および「Hive」の攻撃方法との多くの類似点から、「Play」も「Nokoyawa」および「Hive」と同じサイバー犯罪者によりコントロールされているものと推測されています。
2022年7月、中南米地域で政府関係者を狙って多発したランサムウェア攻撃について、トレンドマイクロは調査を行いました。その結果、これは「Play」と呼ばれる新たなランサムウェアであることが判明しました。このランサムウェアの名前は、ファイルを暗号化した後に拡張子「.play」を追加するという動作に由来しています。また、そのランサムノートには、「PLAY」という一語と、攻撃者グループの連絡先であるメールアドレスが記載されています(図1)。このランサムウェアの被害は、2022年6月にBleeping Computerのフォーラムで初めて表面化しました。そして、その1カ月後「No-logs No breach」サイトにて、Playランサムウェアの詳細が公開されました。
/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff/Picture1.jpg)
これらのランサムウェア攻撃をさらに分析した結果、Playランサムウェアは、ファイル名やツール及びペイロードにおけるファイルパスの類似性等、ランサムウェア「Nokoyawa」および「Hive」の攻撃方法と共通した多くの手法を使用していることが確認できました(表1、2)。今年初めにトレンドマイクロでは、攻撃チェーンに多くの類似性があることからNokoyawaの背後にいる攻撃者が、Hiveの背後にいる攻撃者と関連していることを示す証拠を発見しました。
一方、PlayランサムウェアがNokoyawa/Hiveと異なる点としては、Active Directory(AD)から情報を収集できるコマンドライン・クエリツールであるAdFindを使用している点です(図2)。なお、Hiveは、トロイの木馬「TrojanSpy.DATASPY」等のツールを使用して被害者のシステム内の情報を収集することが確認されています。
/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff/T1v1.jpg)
/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff/T2v1.jpg)
/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff/Picture2.jpg)
関連するマルウェアの活動について
トレンドマイクロが分析したPlayランサムウェアの全てが、Nokoyawa/Hiveランサムウェアとマルウェア・インディケータを共有しているわけではありませんが、多くの類似した手口やツールは、Nokoyawa/Hiveランサムウェアとの間で高い関連性を示唆しています。なお、Playランサムウェアに関しては、引き続き調査を行う必要性があります。今後、トレンドマイクロでは「電子透かし」を活用し、Playランサムウェア感染に関連するURLの検証を行う予定です。これは、以前にNokoyawaの感染を確認する際に実施されたように、過去にHiveランサムウェアの感染に関連していたかどうかを検証するために行われます。
さらに、Play ランサムウェアとConti ランサムウェアの分派である Quantum ランサムウェアとの間に関連性がある可能性を示す証拠も見つかっています。Playランサムウェアによる攻撃で使用されたCobalt Strikeビーコンには、Quantumランサムウェアの攻撃でも見られたEmotetマルウェア及びSVCReadyボットネットが以前に埋め込んだ「電子透かし」と同じ「206546002」が付加されていました。これは、2つのランサムウェアグループが、基礎構造を共有していることを示唆しています。
また、調査過程でEmotet に感染している可能性が高いインディケータが発見されました。現時点においては、トロイの木馬型マルウェアであるEmotetを使用したスパム攻撃は確認されていません。しかし、「206546002」(Play ランサムウェアの攻撃に関与したビーコンで発見されたものと同じ)の「電子透かし」を持つCobalt Strikeのビーコンを展開するために Emotet が使用されたケースがいくつか確認されました。
感染経路
Playランサムウェアの作成者は、不正な手段を用いて有効なアカウントを利用し、またパッチが適用されていないFortinet社製SSL-VPNの脆弱性を悪用して、組織のネットワークにアクセスすることが周知されています(図3)。最新のランサムウェアの多くと同様、Playは攻撃の一環としてLOLBin(living-off-the-land binaries=環境寄生攻撃で使用されるツール類)を使用します。例えば、データを流出させる際には、リモートツールであるWinSCPを使用します。また、LSASS (Local Security Authority Server Service)のプロセスダンプ及び認証情報のクラックのためにタスクマネージャを使用します。
Play ランサムウェアは、被害者に対して「二重脅迫」のテクニックを用います。この攻撃では、ランサムウェアのデプロイの前にデータを送出します。その際には、WinRARを使用して被害者のファイルをアーカイブし、そのファイルを共有サイトにアップロードします。ランサムウェアの実行ファイルは、グループポリシーオブジェクト(GPO)を介して配布され、スケジュールタスク、PsExecまたはwmicを使用して実行されます。
/play-ransomware-s-attack-playbook-unmasks-it-as-another-hive-aff/Picture3v1.jpg)
初期侵入
ランサムウェアは、複数のプラットフォームで利用されているアカウント、過去に流出したアカウント、または不正な手段で入手したアカウントを使用して初期侵入を行うのが一般的です。これには、ドメインやローカルアカウントだけでなく、VPNのアカウントも含まれます。また、公開されたRDPサーバも、足掛かりを作るために利用されます。Playランサムウェアが活用するもう1つの手法は、FortiOSの脆弱性「CVE-2018-13379」と「CVE-2020-12812」を利用することです。
「CVE-2018-13379」は、FortiOSのSSL-VPNポータルにおけるパストラバーサルの脆弱性です。これは、攻撃者が作成したHTTPリソースリクエストを通じてOSシステム上のファイルをダウンロードすることを可能にします。 一方、「CVE-2020-12812」は、FortiOSのSSL-VPNにおける認証の脆弱性です。これは、ユーザ名の大小の文字を変更すると、2つ目の認証要素であるFortiTokenが要求されずにログインできてしまうというものです。
実行
トレンドマイクロは、Playランサムウェアが実行段階において、スケジュール化されたタスク及びPsExecを使用していることを確認しました。Playのもう1つの手口としては、Active Directory内の多くのユーザ及び機器の設定を制御するためにグループポリシーオブジェクト(GPO)を生成します。GPOは、Active Directory環境全体にスケジュールタスクを展開し、特定の日時にランサムウェアを実行します。
また、このランサムウェアは、バッチファイルを利用することによりSysInternals Suiteに含まれる正規のWindowsツールであるPsExecを実行します。このツールは、他のシステム上でプロセスを実行することができるため、ランサムウェアの急速な拡散を可能にし、またPlayランサムウェアのスパイ活動を容易にします。
永続性
Play ランサムウェアは、有効なアカウントを利用し最初のアクセス権を取得した後、これらのアカウントを永続的に使用し続けます。被害者のシステムにおいてリモート・デスクトップ・プロトコル(RDP)アクセスが無効になっている場合には、攻撃者はnetshコマンドを実行し、有効にした後に被害者のシステム内でインバウンド接続を確立します。ランサムウェアの実行ファイルは、ドメインコントローラの共有フォルダ(NETLOGONまたはSYSVOL)にドロップされ、スケジュールタスク/PsExecによって実行された後、被害者のファイルの暗号化が実行されます。
権限昇格
Playランサムウェアは、Mimikatzを使用し、メモリから認証情報を抜き取ります。その後、このランサムウェアは特権グループにアカウントを追加します。そのうちの1つがドメイン管理者グループです。これは、ローカル権限昇格の可能性のあるパスを検索するスクリプトであるWindows Privilege Escalation Awesome Scripts (WinPEAS) を通じて脆弱性を列挙します。
防衛回避
このランサムウェアは、Process Hacker、GMER、IOBit、PowerToolなどのツールを使用し、マルウェア対策や監視を無効化します。具体的には、Windowsに組み込まれたツールwevtutilやバッチスクリプトを利用して、Windowsイベントログのログや不正なファイルなど、その存在を示す指標を削除することにより痕跡を消去します。また、PowerShellやコマンドプロンプトを使用し、Windows Defenderの保護機能を無効化します。Playランサムウェアが使用するPowerShellスクリプトは、Cobalt Strikeビーコン(別名Cobeacon)やEmpireエージェントと同様にBase64で暗号化されています。
クレデンシャルアクセス
Playランサムウェアは、Mimikatzを使用しメモリ中の認証情報をダンプして取得します。このツールは、標的とするホストに直接ドロップすることも、EmpireやCobalt Strikeなどのコマンド・アンド・コントロール(C&C)アプリケーションを通じてモジュールとして実行することも可能です。また、このマルウェアは、Windowsのツールであるタスクマネージャを使用して、LSASSプロセスをメモリからダンプすることも確認されています。
ディスカバリ
ディスカバリの段階において、攻撃者は、Active Directory環境に関する、より詳細な情報を収集します。トレンドマイクロは、リモートシステムのActive Directoryクエリが、ADFind、Microsoft Nltest、Bloodhoundなどの異なるツールによって実行されたことを確認しました。また、ホスト名、シェア、ドメイン情報などのシステム情報も攻撃者によって列挙されていました。
水平移動・内部活動
Playランサムウェアは、企業や組織内のネットワークシステム内を水平移動するために、以下の様々なツールを使用します:
- Cobalt StrikeのSMBビーコンは、C&Cビーコン、ラテラルムーブメント手法、及びファイルのダウンロードと実行のためのツールとして使用される。
- SystemBCは、TOR上で通信可能なバックドアとして機能するSOCKS5プロキシボットにおいて、バックドア・メカニズムとして使用される。
- Empireは、オープンソース型のポスト・エクスプロイト・フレームワークであり、Playランサムウェアのポスト・エクスプロイト活動を行うために利用される。
- Mimikatzは、認証情報をダンプし、被害者のネットワーク内での水平移動に必要なドメイン管理者へのアクセス権を取得するために利用される。
情報送出
被害者のデータは、多くの場合、流出前にファイル全体ではなく、ある程度の大きさのデータに分割されます。これは、ネットワーク上で検知されることを回避するためにPlayランサムウェアが使用する可能性のある手口の一つです。攻撃者は、Microsoft Windows用のSFTPクライアント及びFTPクライアントであるWinSCPを使用します。また、WinRARを使用し、後に流出させるためにファイルを「.RAR形式」に圧縮しています。トレンドマイクロでは、流出したファイルを受信するために使用されるPHPで開発されたWebページを確認しました。
インパクト
前述の通り、ランサムウェアはファイルを暗号化した後、そのファイルに拡張子「.play」を追加します。また、ハードディスクのルート(C:)にランサムノート「ReadMe.txt」が作成されます。トレンドマイクロが調査した全てのケースで、ランサムノートには次のような形式の電子メールアドレスが含まれていました。[無作為の7文字]@gmx[.]com.
感染の分布
Nokoyawa/Hiveランサムウェアと同様に、Playランサムウェアの攻撃のほとんどは、ブラジルを代表とする中南米地域に所在する企業や組織を対象としています。また、アルゼンチン、ハンガリー、インド、オランダ、スペインもPlayランサムウェアの攻撃の対象国となっています。
被害に遭わないためには
Play ランサムウェアの攻撃は、セキュリティ製品による検出を回避するため日々進化を続けています。攻撃者が標的となるシステムに侵入することに、企業や組織は、レッドチームや侵入テスト用のツールを使って、細心の注意を払う必要があります。
エンドユーザ及び企業や組織は、以下のセキュリティ対策に従うことで、Playのようなランサムウェアに感染するリスクを軽減することができます:
- 多要素認証(MFA)を有効にし、攻撃者がネットワーク上で水平移動・内部活動するのを防ぐ。
- 重要なファイルをバックアップする際は、「3-2-1ルール」を守る。これは、3つのバックアップコピーを2つの異なるファイル形式で作成し、そのうちの1つを別の場所に保存することである。
- 定期的にパッチを当て、システムを更新する。オペレーティング・システムとアプリケーションを常に最新の状態に保ち、攻撃者がソフトウェアの脆弱性を突くのを阻止できるようなパッチ管理プロトコルを維持することが重要である。
トレンドマイクロのソリューション
ユーザや企業は、多層的な検知及び新たなメリットを提供するTrend Micro Vision One™を導入することにより、脅威に対する防御を実現することができます。複数のセキュリティレイヤー(メール、エンドポイント、サーバ、クラウド・ワークロード、ネットワーク等)からデータを収集し、自動的に関連付ける強力なXDR機能を提供することにより、攻撃を防止し、重大なインシデントを可視化します。また、Trend Micro Apex One™は、卓越した脅威自動検知能力及びソリューションにより、「人手によるランサムウェア」のような高度な脅威に対し強力にエンドポイントの保護を実現します。
参考記事:
• 「Play Ransomware's Attack Playbook Similar to that of Hive, Nokoyawa」
By: Don Ovid Ladores, Lucas Silva, Scott Burden, Janus Agcaoili, Ivan Nicole Chavez, Ian Kenefick, Ieriz Nicolle Gonzalez, Paul Pajares
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)