ランサムウェア
ランサムウェアスポットライト:Magniber
ランサムウェアMagniberは、2017年に初めて検出された当初、アジア諸国のみを標的としていました。そして2021年に再登場してからは、ターゲットを世界中に拡大して活動を続けています。Magniberは、今日の脅威状況において重要な存在であり、攻撃者は今後もこのランサムウェアを使い続ける可能性が高いと考えられます。
ランサムウェアMagniberは、6年前に初めて検出されたにもかかわらず、依然としてこのランサムウェアによって企業や組織を狙う攻撃が続いています。2022年10月には、不正なキーでデジタル署名された単一のJavaScriptファイルを使用してMagniberを配布するフィッシング攻撃が報告されました。このフィッシング攻撃では、当時ゼロデイ脆弱性であった「CVE-2022-44698」が悪用され、「Mark of the Web (MOTW) 」のセキュリティ警告を回避して不正なファイルが実行されました。この脆弱性は、2022年12月にMicrosoft社から修正パッチがリリースされています。
かつてMagniberは、ランサムウェアCerberの後継として知られており、主に脆弱性悪用ツールMagnitudeを介して配布され、2017年には韓国に標的を絞った攻撃を展開していました。そして2018年には、初期侵害に脆弱性「CVE-2018-8174」を悪用して、アジア全域にターゲットを拡大しました。
インフォグラフィック
/ransomware-spotlight-magniber/JP-infographic.jpg)
企業や組織が知っておくべきこと
ランサムウェアMagniberは、2017年に初めて確認され、その後、2021年に再登場しました。再登場時も依然としてアジア諸国を標的とし、中でも注目すべきは脆弱性「CVE-2021-26411」、「CVE-2021-40444」の他、「PrintNightmare(CVE-2021-34527)」を初期侵害の手法に悪用していた点です。
本稿執筆の時点では、サービスとしてのランサムウェア(RaaS)のビジネスモデルを展開しているものの、最近話題の二重恐喝の手口は使用しておらず、専用のリークサイトも保持していません。
Magniberは、以前、タイポスクワッティング(正規のWebサイトに類似したドメインを使用してユーザを誘導し、ランサムウェアのペイロードをダウンロードさせる手法)を使用することで知られていました。2022年の第1四半期には、APPXおよびMSI形式の偽インストーラによる拡散活動も確認されています。
Magniberは、MSI CustomActionテーブルを使用して、MSIパッケージ内の不正なDLLのエクスポートを呼び出すことで実行されます。そして感染端末へインストールされる際、バイナリファイル(トレンドマイクロでは「Fodscript」として検出)が作成されます。このファイルは、不正活動の一部として感染端末上での特権昇格に使用され、同時に2つのスクリプトファイルを作成します。1つ目のファイルは、fodhelper.exeによってチェックインされたレジストリエントリの変更に使用され、これにより特権昇格が行われ、その後、2つ目のスクリプトが実行、操作されます。そしてユーザアカウント制御(UAC)が回避され、感染端末上のボリュームシャドウコピーが削除されます。
その他、偽のインストーラやWindowsアップデートに偽装してユーザを促すことで、不正なペイロードを選択させる手法も確認されています。さらに最近では、MOTWによる実行ブロックを回避するため、不正なデジタル署名を組み込み、ランサムウェアのペイロードを簡単にインストールさせる手法も確認されています。
さらには、トレンドマイクロではまだ確認していないものの、Magniberの攻撃グループが、2022年最後の数カ月にCOVID-19の話題に便乗し、COVID-19関連ファイルを装ってペイロードを配布したことも報じられています。ごく最近では、MOTWを回避して偽のデジタル署名を使用し、脆弱性「CVE-2022-44698」を悪用する手口も確認されています。
影響を受けた国と産業
ここでは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro™ Smart Protection Network™(以下、SPN)」の国・地域別データをもとに、2022年におけるランサムウェアMagniberが企業や組織を狙った活動を確認します。なお、このデータはトレンドマイクロの製品からのフィードバックや調査などによるものであり、このランサムウェアの被害状況すべてを網羅しているわけではない点をご了承ください。
Magniberの検出台数は、2022年の第1四半期に20件を超える月はなく、その意味ではスロースターターのランサムウェアといえます。その後、攻撃活動は着実に増加し、同年9月には1,482件を記録しました。第4四半期には減少に転じたものの、12月にも508件の検出台数が確認され、高水準で推移しています。下図は、2022年のMagniber検出台数の月別推移を示しています。
/ransomware-spotlight-magniber/JP-F01.jpg)
国別で見ると、図2のとおり、Magniberの検出台数のトップは台湾であり、合計204件に達しており、全体の約76.1%と、検出台数の大半を占めていました。Magniberが初めて検出された韓国は15件で第2位、次いでオーストラリアが9件で第3位となっています。続いて、トルコと日本がそれぞれ6件ずつ検出されており、Magniberの標的がアジア諸国以外にも広がっていることが分かります。なお、これらの国別データは、所在地開示が承諾されたフィードバックデータのみに限定されています。
/ransomware-spotlight-magniber/JP-F02.jpg)
一方、業界別の内訳では、Magniber検出台数の上位は、教育、政府、製造となり、次いでヘルスケア、テクノロジーと続いています。他方、検出台数が少なかった業界は、エネルギー、運輸、不動産となっています。なお、図3のデータは、SPNフィードバックの中で業界情報の開示に承諾された情報のみに限定され、合計の検出台数は987件でした。
/ransomware-spotlight-magniber/JP-F03.jpg)
感染フローと技術的詳細
Magniberは、さまざまな脆弱性を悪用することが分かっていますが、二重恐喝の手口を駆使するランサムウェアの攻撃キャンペーンと比較すると、比較的単純なキルチェーンを使用しています。ただし単純だからといって攻撃の効果が低いというわけではありません。下図は、ペイロードの行使に際して悪用されるさまざまな脆弱性を示しています。
/ransomware-spotlight-magniber/JP-F04.jpg)
初期侵入
・Magniberは、前述の脆弱性(CVE-2016-0189、CVE-2018-8174、CVE-2019-1367)、Internet Explorerスクリプトエンジンメモリ破損の脆弱性(CVE-2020-0968)、Internet Explorerメモリ破損の脆弱性(CVE-2021-26411)、MSHTMLにおけるInternet Explorerリモートコード実行(RCE)の脆弱性(CVE-2021-40444)、PrintNightmare(CVE-2021-34527)などを初期侵入で悪用します。
コマンド&コントロール
・ Magniberは、収集した情報をC&C(Command and Control)サーバや決済用ブラウザへ送信します。
検出回避
・Magniberは、iexplore.exeを除くすべてのプロセスに自身を注入し、WoW64環境で実行されていないシステムとプロセスを除外します。そしてNtQuerySystemInformation APIを使用して、感染端末内で実行中のプロセスを取得します。
・最近の亜種では、CustomActionテーブルを介して暗号化されたランサムウェアのDLLファイルを呼び出し、CPLファイル形式と同様に偽のインストーラ(msi)を利用してペイロードを実行します。
・Magniberは、MOTWによる実行ブロックを回避するため、不正なデジタル署名ブロックを使用します。最近では、脆弱性CVE-2022-44698を悪用して、偽のデジタル署名でMOTWをバイパスする手法も確認されています。
・Magniberは、Fodscriptとして検出されるファイルを使用し、標的の端末からシャドウコピーを削除するためのスクリプトファイルを作成します。
事前調査
・Magniberは、NtQuerySystemInformation APIを使用して、感染端末内で実行中のプロセスを取得します。
・特定のファイル、フォルダ、属性を検索し、指定された条件に一致する場合、それらを暗号化します。
特権昇格
・Magniberは、Fodscriptとして検出されるファイルを使用して、2つのスクリプトファイルを作成します。スクリプトファイルの1つ目は、fodhelper.exeがチェックするレジストリ項目を変更して特権昇格を行います。その後、2つ目のスクリプトを実行し、UACを回避するように仕向けます。
情報収集、情報送出
・現在のところ、Magniberによる情報漏えい事例は確認されていません。
被害規模
・その後、最終的なランサムウェアのバイナリが展開され、感染端末内のファイルが暗号化されます。また、シャドウコピーを削除し、システムの復元を回避します。
・最初に対称型AESで対象ファイルを暗号化し、次にCryptoAPIを使用してRSAでAES対称鍵およびIVを暗号化します。最終ブロックが暗号化されるまで、同じサイズのデータブロック(1,048,576バイト)を反復して暗号化します。
・拡張子としてミューテックス名が付加されます。
・ Magniberは感染端末のシャドウコピーも削除します。
その他の技術的詳細
Magniberは、こちらに記載された拡張子のファイルを暗号化します。
下図は、Magniberが、Internet Explorer、MSIインストーラ、JS、JSE、WSFインストーラの脆弱性を悪用した際に確認された感染フローの詳細となります。
/ransomware-spotlight-magniber/JP-F05.jpg)
/ransomware-spotlight-magniber/JP-F06.jpg)
/ransomware-spotlight-magniber/JP-F07.jpg)
MITRE tactics and techniques
詳細については、こちらをご参照ください。
使用されるツール、脆弱性悪用、その他マルウェアの概要
企業や組織のセキュリティ部門は、ランサムウェアMagniberの攻撃で一般的に使用されるこちらのツールや脆弱性悪用ツールに注意する必要があります。さらにこちらの表もご参照ください。
推奨事項
2022年の継続的な活動を考えると、今後もランサムウェアMagniberのさらなる活動が予想されます。そして引き続き攻撃者は、このランサムウェアのペイロードを拡散させ、セキュリティ機能を回避する方法を見つけてくるため、企業や組織では、これらのリスクにさらされないように警戒を怠らないことが必要です。企業や組織は、ランサムウェアMagniberに注意し、今後の展開を監視し続けることで、このランサムウェアによる攻撃の可能性を最小限に抑えることができるでしょう。
ランサムウェアMagniberやその他の類似の脅威からシステムを保護するため、企業や組織では、強力な防衛戦略を確立して体系的にリソースを割り当てるセキュリティフレームワークを導入することが求められます。
ここでは、ランサムウェアMagniberの感染から企業や組織を守るために考慮すべきベストプラクティスを紹介します。
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
- 「Trend Micro Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Micro Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Ransomware Spotlight: Magniber
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)