ランサムウェア
ランサムウェア「Royal」が再登場し、コールバック型フィッシング攻撃を実施
トレンドマイクロは、2022年9月から12月にかけてランサムウェアグループ「Royal」による複数の攻撃を検知しました。本記事では、このランサムウェアに関する調査結果及びランサムウェア「Royal」の攻撃者が攻撃時に使用したツールについて解説します。
トレンドマイクロは、2022年9月から12月にかけてランサムウェアグループ「Royal」による複数の攻撃を検知しました。本記事では、このランサムウェアに関する調査結果及びランサムウェア「Royal」の攻撃者が攻撃時に使用したツールについて解説します。
ランサムウェア「Royal」は、2022年9月頃に初めて観測されました。このランサムウェアを実行しているベテランの攻撃者は、Vitali Kremez氏が共有したマインドマップによると、かつて「Conti Team One」の一員であったとされています。この攻撃者は、本ランサムウェアの名称を「Royal」に変更するまで、「Zeon」と称していました。トレンドマイクロは、2022年9月から12月にかけて、ランサムウェア「Royal」による複数の攻撃を検知しており、米国とブラジルが最も狙われている国となっています(図1参照)。本記事では、この新しいランサムウェアのサンプルを調査して得られた知見と、ランサムウェア「Royal」の攻撃者が攻撃実行時に使用したツールについて詳しく解説します。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture1.png)
感染ルート
外部報告によると、ランサムウェアグループ「Royal」は、感染させる手段としてコールバック・フィッシングを利用していることが言及されています(図2参照)。これらのフィッシング攻撃には、攻撃者が用意したサービスへ繋がる電話番号が含まれています。連絡を受けた攻撃者は、ソーシャル・エンジニアリング手法を用いて被害者を巧みに騙し、Remote Access Software(リモート・アクセス・ソフトウェア)をインストールさせます。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture2.png)
インストール
被害者のシステムへの侵入に必要なツールを作成するために、コンパイルされたリモート・デスクトップ・マルウェアが使用されていたことがトレンドマイクロの調査において判明しました。攻撃者は、水平移動にQakBot及びCobalt Strikeを使用していました。また、ネットワークに接続されているリモートシステムの検索には、NetScanを使用していました。システムに侵入すると、攻撃者は、PCHunter、PowerTool、GMER、Process Hacker等のツールを利用してシステム内のセキュリティ関連サービスを無効化します。その後、RCloneツールを介して被害者のデータを流出させます。また、AdFindを使用してアクティブなディレクトリを探し、感染したマシンにおいてRDP(リモート・デスクトップ・プロトコル)の有効化を行う例も確認されました。
ペイロード
全ての設定が完了すると、攻撃者はPsEXECを使用してマルウェアを実行します。PsEXECコマンドには、被害者のID、そして攻撃者がランサムウェアに適用した引数が含まれています。さらに、攻撃者がランサムウェアを実行する前に、PsEXECを使用し、標的となるシステムのRDP(リモート・デスクトップ・プロトコル)を有効化するインスタンスも確認されました。
解析
解析時には、「Ransom.Win64.YORAL.SMYXCJCT」として検出されたランサムウェアのサンプルを使用しました。表1、図3、図4が示すように、ランサムウェア「Royal」は、被害者のマシン上で実行されるために「-id {32-byte characters} }」という引数を必要とします。また、暗号化対象のファイルを指定する「-path」や、重いファイルの部分的な暗号化を計算する「-ep {value}」も引受けます。
このランサムウェアの初期サンプルでは、コードのバグによりバイナリがすべての引数をパースしないことがありました。例えば、「-path 」は「-id 」引数の後に指定された場合は処理されません。また、その前に指定された場合は「-id 」引数が存在しないため、処理が行われません。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/T1.jpg)
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture3.png)
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture4.png)
FindFirstFileW、FindNextFileW、そしてFindClose APIを使用して暗号化の対象となるファイル及びディレクトリを列挙(図5参照)。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture5.png)
このランサムウェアは、アクセス可能なローカルIPをリストアップし、ネットワークの暗号化に利用できる「ネットワーク共有」を検索します。そして、NetShareEnumを使用し、ADMIN$及びIPC$共有で接続を試みます(図6参照)。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture6.png)
以下の図7が示すように、感染したシステムのプロセッサーの数を確認し、それをファイル暗号化のための並列実行スレッドのベースとして使用します。その結果、ランサムウェア「Royal」はファイルの暗号化処理の速度を大幅に向上させました。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture7.png)
ランサムウェア「Royal」は、以下のコマンドによりシャドウコピーを削除することでシステムの復旧を阻害します(図8参照)。
C:\\Windows\\System32\\vssadmin.exe delete shadows /all /quiet
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture8.png)
このランサムウェアは、OpenSSLのAES (Advanced Encryption Standard)を使用し、ファイルを暗号化します。そして、AES鍵及びIVを「RSA公開鍵」を使用しRSAにより暗号化します(図9参照)。RSAにより暗号化されたAES鍵及びIVは、暗号化された各ファイルに付加されます(図10参照)。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture9.png)
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture10.png)
ランサムウェア「Royal」の攻撃者は、暗号化プロセスを高速化するために「Intermittent Encryption(断続的な暗号化)」手法を採用しています。このランサムウェアは、まずファイルサイズがAESの要件である16で割り切れるか否かを確認します(図11参照)。割り切れない場合は、16で割り切れるようになるまでサイズの合計を切り上げます。例えば、サイズが18の場合、16で割り切れる32のサイズになるまでゼロ(zero)bytesを加えます。必要なゼロ(zero)bytesを追加する以外にも、RSA暗号鍵(追加済み)のプレースホルダーとして別個0x210 ゼロ(zero)bytesを追加します。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture11.png)
切り上げられたファイルサイズに対して、ランサムウェア「Royal」は、サイズが5,245,000 bytes以下であるか、そして値が100(0x64)に設定されているかを確認します(図12参照)。ファイルサイズがこれらの制限内であれば、ファイル全体を暗号化します。5,245,000 bytesを超えるファイルでは、一定の計算されたブロックごとに暗号化が行われます。例えば、「最初のN bytesを暗号化し、次のN bytesをスキップし、さらに次のN bytesを暗号化する」という仕組みで暗号化が実行されます。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture12.png)
N bytesの計算方法は以下の通りです:
X / 10* (Original file size) & 0xFFFFFFF0
- Xは暗号化前の設定値
- X は0x32(50)または 0x64(100)
- この値は、ファイルに対して完全な暗号化が行われるか、部分的な暗号化が行われるかの指標としても用いられる
例えば、ファイルサイズが5,245,000に相当するファイルの場合:
N = 50/10 * (5245000 / 100) & 0xFFFFFFF0 = 0x40060 (262240)
計算されたNが1,024,000より大きい場合、代わりに1,024,000ブロックごとに暗号化される(図13参照)
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture13.png)
暗号化されたファイルの構造は次のようになります(表2参照):
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/T2.jpg)
その後、ランサムウェアは図14及び図15が示すように、暗号化されたファイルの拡張子を「.royal」にしてファイル名を変更します。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture14.png)
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture15.png)
ランサムウェア「Royal」は、通過するディレクトリごとに脅迫文(ランサムノート)のメモを含む「README.TXT」というテキストファイル(図16参照)を作成します。そして、身代金が支払われた後には、ランサムウェアの攻撃者が提供しているとされる「pentesting(ペンテスト)サービス」の広告を作成します(図17参照)。
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture16.png)
/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit/Picture17.png)
被害に遭わないためには
ランサムウェア「Royal」の攻撃について調査した結果、新旧取り混ぜた攻撃方法を使用している点から、新規参入者ではないことが判明しました。このマルウェアは、コールバック・フィッシングを利用して被害者を誘い出し、リモート・デスクトップ・マルウェアをインストールさせることで被害者の機器に容易に侵入します。また、「intermittent encryption(断続的な暗号化)」を用いることにより、被害者のファイルの暗号化を迅速化します。さらに、重いファイル の「IO operation(入出力操作)」の探知に重点を置く検出手段を回避することができるという利点もあります。このグループは、9月に登場したにもかかわらず、既に複数の企業に身代金を要求しており、今後数カ月の間でさらに活発化することが予想されます。ランサムウェア「Royal」に関する更に詳しい情報は、トレンドマイクロのThreat Encyclopediaに掲載されています。
トレンドマイクロは、システムを更新し最新のパッチを適用すること、そして多層的な防御メカニズムを適用することを強く推奨します。ランサムウェア「Royal」の活発な動きは、ランサムウェアの攻撃者が攻撃を強化する手段として、既存のツールや手法を転用する、より「革新的な攻撃方法」を見出していることを裏付けています。エンドユーザおよび企業は、下記のようなセキュリティ上のベストプラクティスを採用することで、ランサムウェア「Royal」のような新たな脅威による感染リスクを軽減することができます。
- MFA(多要素認証)を有効にし、攻撃者がネットワーク内部で水平移動をすることを防ぐ
- 重要なファイルをバックアップする際は、「3-2-1ルール(3つのバックアップコピーを2つの異なるフォーマットで作成し、そのうちの1つを別の場所に保管する)」を遵守する
- 定期的にパッチを適用しアップデートを行う。OS(オペレーティング・システム)及びアプリケーションを常に最新の状態に保ち、攻撃者がソフトウェアの脆弱性を悪用するのを阻止する「パッチ管理プロトコル」を維持するため。
メール、エンドポイント、サーバ、クラウドワークロード、ネットワークといった多層的なセキュリティレイヤーのデータを収集し、自動的に相関付ける強力なXDR機能を採用したTrend Micro Vision One™等のマルチレイヤー検知・対応ソリューションを活用することにより、自動的に攻撃を阻止することができます。また、重大インシデントの「見過ごし」を防止することも可能です。さらに、Trend Micro Apex One™は、次世代レベルの自動脅威検知機能を提供し、ランサムウェア等からエンドポイントを保護します。
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
参考記事:
Conti Team One Splinter Group Resurfaces as Royal Ransomware with Callback Phishing Attacks
By: Ivan Nicole Chavez, Byron Gelera, Monte de Jesus, Don Ovid Ladores, Khristian Joseph Morales
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)"