ランサムウェア
ランサムウェアスポットライト: Trigona
ランサムウェア「Trigona」は、初期侵入のために脆弱性CVE-2021-40539を悪用し、MimikatzやCobalt Strikeなどによる内部活動の形跡が確認されています。2023年10月にリークサイトを閉鎖しましたが、類似の脅威に対して、組織が講じるべき対策を見出すために、Trigonaの活動実態を解説します。
ランサムウェア「Trigona」は、トレンドマイクロによって「Water Ungaw」という名称で2022年10月から追跡されていました。しかし、このランサムウェアのバイナリ自体は2022年6月に初めて確認されています。このランサムウェアの攻撃グループは、活動中に利益増加を目指して世界規模で攻撃を開始し、成功した攻撃については20%から50%の収益増加を実現したなどと喧伝していました。また、ロシアの匿名マーケットプレイス(RAMP)におけるフォーラムの内部チャットを通じて、ネットワークアクセスブローカーより提供された認証情報を使ってターゲットへの初期アクセスを得ていたことも報告されています。
このランサムウェア攻撃グループは、戦術、技術、手順(TTP)、ランサムノート(脅迫状)のファイル名、使用されているメールアドレスの類似点から、ランサムウェア「CryLock」と関連があるとされています。2023年4月、Trigonaは、ブルートフォース攻撃を通じて侵害されたMicrosoft SQL(MSSQL)サーバを狙い始めました。さらにその1ヶ月後、トレンドマイクロでは、Windows版と類似した特徴を備えたLinux向けのバージョンも確認しました。
企業や組織が知っておくべきこと
Trigonaは、ランサムウェアBlackCat(別名:AlphaVM、AlphaV、またはALPHV)と関連があるとされています。現在双方の攻撃グループ間の類似点は確認されていませんが、BlackCatがTrigonaの攻撃グループと協力関係にあるか、もしくは利用されている可能性はあります。
セキュリティ企業Arete社の報告によれば、Trigona は初期侵入のために脆弱性CVE-2021-40539を悪用していることが確認されたと伝えています。被害者のシステムとデータを掌握した後、このランサムウェアの攻撃者は、身代金交渉のポータルに登録するための認証キーを被害者へ提供します。
Trigonaは、被害者から窃取した重要情報(文書や契約など)を自身のリークサイトに公開しています。このウェブサイトにはリークされたデータへのアクセスを獲得するための入札オプションが設けられ、被害者に支払いを促すためのカウントダウンタイマーが設置されています。
親ウクライナのハクティビストグループ、Ukrainian Cyber Allianceは、2023年10月にTrigonaのリークサイトを閉鎖したと発表していますが、ランサムウェア攻撃グループはしばしば異なる名前で再び現れ、類似の戦術、技術、手順(TTP)を使用しています。本稿では、Trigonaのランサムウェア攻撃グループが活動していた期間の運営実態を調査し、このランサムウェアの状況に関する情報や考察を提供しており、攻撃グループが再び現れた際の参考資料として活用できます。
検出台数の国別・業界別ランキング
ここでは、Trend Micro™ Smart Protection Network™ (SPN)のデータに基づき、Trigonaによる顧客環境での検出台を確認しています。なお、これらの検出台数は、主にトレンドマイクロの顧客環境からのものであり、Trigonaによる被害者全体を網羅しているわけではない点にご留意ください。
Trigonaの検出台数は、2023年7月にトレンドマイクロの顧客を対象に初めて検出されました。その後、翌月8月にピークに達しましたが、リークサイト閉鎖が報告されるまで減少傾向を示していました。
トルコとフィリピンは、それぞれ23.5%と19.6%で、Trigonaの検出率が最も高かった国でした。その後、ブラジルが13.7%で続きました。ドイツとタイも攻撃の主要な標的として挙げられ、それぞれ活動期間中にトップ5の国に入っていました。
業界別ランキングでは、特に公共が狙われており、総検出台数の21.4%を占めていました。こちらもトレンドマイクロの顧客からのフィードバック情報であり、それぞれが所属する業界として確認された情報に基づいています。さらにテクノロジー、小売り、日用消費品、銀行などの業界の企業も攻撃対象となっていました。
ランサムウェアTrigona のリークサイトに基づく対象地域と業界
ここでは、2023年4月から同年の10月までの期間に、Trigonaのリークサイトで記録された攻撃データを確認します。なお、リークサイトは、2023年10月以降は閉鎖されています。以下のデータは、Trigonaによって侵入され、身代金を支払わなかった企業や組織の被害件数を示しています。
トレンドマイクロのオープンソースインテリジェンス(OSINT)による調査およびリークサイトの情報に基づくと、Trigonaによる被害件数は合計33件に及んでいます。そのうち45.5%は北米の企業や組織であり、27.3%は欧州からでした。アジア太平洋と南米・カリブ地域の企業や組織も影響を受けていました。
リークサイトの情報によれば、標的となった13か国のうち、米国が被害件数のほぼ半分を占めています。そしてイギリスが9.1%、オーストラリアが6.1%と続いています。
リークサイトの被害情報を業界別に見ると、金融がトップであり、被害件数の18.2%に達していました。
セグメント別に見ると、2023年4月から10月までの期間では、被害件数の半数以上が中小企業を対象にしていました。
感染フローと技術的詳細
初期侵入
- 脆弱性CVE-2021-40539を悪用していることが確認されました。
- ネットワークアクセスブローカーからのアクセスを得ることによって、侵害されたアカウントを標的にしています。
検出回避、事前調査
- turnoff.bat(Trojan.BAT.TASKILL.AEとして検出)とdefoff.bat(Trojan.BAT.KILLAV.WLDPおよびTrojan.BAT.KILLAV.WLDXとして検出)を作成します。これらはセキュリティソフト関連のサービスやプロセス、特にトレンドマイクロ関連のサービスTMBMSRV.exeを終了するために使用されます。
- ネットワーク接続を識別するためにNetwork ScannerとAdvanced Port Scannerを使用しています。
クレデンシャルアクセス、情報収集
- 感染端末上のパスワードや認証情報をダンプするためにMimikatzを使用します。
水平移動・内部活動
- 正規のリモートアクセスツールSplashtopを使用して、感染端末に追加のツールを作成します。
- リモートアクセスのためにLogMeIn、ScreenConnect、AnyDesk、TeamViewerなどの他のツールも使用します。
- 検体の1つでは、Cobalt Strikeを使用してMHYPROTINST(Trojan.Win64.MHYPROTINST.AまたはTrojan.Win64.MHYPROTINST.Bとして検出)を作成可能であることが示されています。これはセキュリティソフトのプロセスを終了するために使用されます。
特権昇格
- MSSQLサーバへの攻撃において、Common Language Runtime(CLR)シェルを使用します。
- CLRシェルツールは複数のコマンドが実行可能であり、その1つは特権昇格のための追加の実行可能ファイル(nt.exe)を作成します。
被害規模
- Advanced Encryption Standard(AES)アルゴリズムを使用して感染端末上の情報を暗号化します。これには、実行時に復号化される予定の暗号化された設定がリソースセクションに含まれています。しかし、実行中には設定内の特定の文字列のみを使用します。また、暗号化されたファイルのファイル名をランダム化し、拡張子「._locked」を追加します。
- TDCP_rijndaelを使用してターゲットファイルを暗号化します。これは、/fullという引数で実行されない限り、ファイルの最初の0x80000バイト(512 KB)のみを暗号化します。
その他の技術的詳細
新しいバージョンのTrigonaは追加のコマンドライン引数を使用します。下表は、使用されるコマンドライン引数をまとめたものです。
攻撃が確認されたLinux版は、Windows版と類似しており、以下のコマンドライン引数を使用します。
2023年6月に確認された64ビット版では、以下の追加のコマンドライン引数が含まれています。
MITRE tactics and techniques
詳細については、こちらをご参照ください。
使用されるツール、脆弱性悪用、その他マルウェアの概要
企業や組織のセキュリティ部門は、Trigonaの攻撃で使用されるこちらのマルウェアツールや脆弱性悪用等に注意が必要です。
推奨事項
Trigonaのリークサイトが閉鎖されたとの報告がありますが、このランサムウェア攻撃グループがどのように活動を行っていたかを検証する価値はあります。比較的新しい存在であるTrigonaは、1年間の活動中に様々な技術を駆使し、特定のオペレーティングシステムをターゲットにするバージョンを作成しました。被害者に身代金の支払いを強いるために厳しい時間制限を設けることでも注目されたこのランサムウェアは、感染端末だけでなく共有ネットワークドライブの情報を狙う活動も確認されました。これらの行動から、このランサムウェア攻撃は、様々な状況に素早く適応し、確実に計画を遂行する特徴を備えていることが分かります。TrigonaがCryLockやBlackCatと関連していると言われる点も踏まえると、リークサイト閉鎖後にランサムウェア攻撃グループが再編成し、別の名称で再登場する可能性もあります。
ランサムウェアやその他の類似の脅威からシステムを保護するため、企業や組織はリソースを体系的に割り当て、強固な防御戦略を構築するセキュリティフレームワークの実装を検討することができます。
以下は、企業や組織がランサムウェア攻撃から極めて重要なデータを守るためのセキュリティ上のベストプラクティスです:
- 監査とインベントリの実施
- 資産とデータの棚卸しを実施する
- 許可された機器、許可されていない機器、ソフトウェアなどを特定する
- イベントログ、インシデントログの監査を実施する
- 設定確認と監視活動の徹底
- ハードウェアおよびソフトウェアの設定管理を確認する
- 管理者権限を付与し、従業員の役割に必要な場合のみアクセスできるようにする
- ネットワークポート、プロトコル、サービスの監視を徹底する
- ファイアウォールやルータなどのネットワークインフラ機器のセキュリティ設定を有効化する
- 正規のアプリケーションのみを実行するソフトウェア許可リストを設定する
- 修正パッチ適用とアップデートの実施
- 定期的な脆弱性診断の実施を徹底する
- OSおよびアプリケーションのパッチ適用または仮想パッチを活用する
- ソフトウェアやアプリケーションの最新バージョンへのアップデートを徹底する
- 防御および復旧に備えた活動の実施
- データ保護、バックアップ、リカバリ対策の実施を徹底する
- 多要素認証を導入する
- 適切なセキュリティソリューションの導入
- サンドボックス解析による不正メールのブロック機能を導入する
- メール、エンドポイント、Web、ネットワークなど、システムのすべてのレイヤーに最新バージョンのセキュリティソリューションを導入する
- システム内の不審なツールの存在など、攻撃の兆候を早期検知する機能を実装する
- AIや機械学習による高度な検知技術を活用する
- セキュリティ関連のトレーニングやテストの徹底
- 従業員に対するセキュリティスキルの定期的な研修と評価を実施する
- レッドチーム演習や侵入テストを実施する
トレンドマイクロのソリューション
- 「Trend Vision One™」は、多層防御と挙動監視を提供し、ランサムウェアが不可逆的な損害をもたらす前に、不審な挙動やツールを早期にブロックすることが可能です。
- 「Trend Cloud One™ Workload Security」は、脆弱性を悪用する既知および未知の脅威を阻止します。こうした防御は、仮想パッチや機械学習などの技術によって実現されます。
- 「Trend Micro™ Deep Discovery™ Email Inspector」は、カスタムサンドボックスと高度な解析技術により、ランサムウェアの侵入口となるフィッシングメールなどの不正なメールを効果的にブロックします。
- 「Trend Micro Apex One™」は、ファイルレスの脅威やランサムウェアなどの高度な懸念に対して、次世代レベルの自動検知と対応を実現し、エンドポイントの防御を確実なものとします。
侵入の痕跡(IoC: Indicators of Compromise )
侵入の痕跡(IoC)はこちらで確認してください。
参考記事:
Ransomware Spotlight: Trigona
By: Trend Micro Research
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)