ランサムウェア
ヘルスケア・金融業界を狙うランサムウェア「RA World」の最新の攻撃手口を解説
トレンドマイクロの脅威ハンティングチームでは、ランサムウェア「RA World」を多段階で配備することによって影響の最大化を図る攻撃活動に遭遇しました。
ランサムウェア「RA World(旧称:RA Group)」は2023年4月に出現して以来、世界各地の企業や組織に対して損害を与えてきました。標的として狙われる組織は多岐に渡りますが、その所在地としては米国が特に多く、続いて、ドイツ、インド、台湾の順に続きます。標的組織の業種としては、ヘルスケアや金融業が多く見られます。
トレンドマイクロの脅威ハンティングチームは、ラテンメリカに存在する複数のヘルスケア関連組織がRA Worldに狙われた事例を調査しました。今回の攻撃者は、標的に最大限の影響を与えて目標を達成するため、複数のコンポーネントを多段階で運用する手口を行使しました。
RA Worldによる多段階攻撃
初期アクセス
RA Worldの運用者は、はじめに侵害済みのドメインコントローラを介して標的システムに侵入し、端末用グループポリシーオブジェクト(GPO:Group Policy Object)のSYSVOL共有パス上に、不正なコンポーネントを送り込みました。
権限昇格
T1484.001 Group Policy Modification(グループポリシーの改変)
トレンドマイクロの内部的なテレメトリ情報より、攻撃者は標的ネットワーク上でPowerShellを用いてStage1.exeを実行したことが判明しました。PowerShellの実行権限を得る手段として、攻撃者はグループポリシーの設定を改変したと考えられます。
$systemdir$\WindowsPowerShell\v1.0\powershell.exe → \\ <サーバ名>\SYSVOL\<ドメイン名>\Policies\<GUID(グローバル一意識別子)>\MACHINE\Microsoft\Stage1.exe
また、不正なペイロード「Stage1.exe」をグループポリシーのインフラ内に含める手段として、攻撃者はグループポリシーの設定やスクリプトを改変したと予想されます。以上の結果、マルウェアが標的端末上でグループポリシー用プロセスの一部として稼働し、さらに、その影響が同一ドメインに属する複数の端末に及んだ可能性があります。
水平移動・内部活動
T1105 Lateral Tool Transfer(ツールの水平展開)
Stage1.exe
Stage1.exeは、はじめに現在のドメインに紐づく全ドメインコントローラの一覧を取得します。次に、現在のドメイン名を検証した上で、ドメインコントローラを1つずつチェックし、特定の条件を満たす場合にはこれを停止します。
停止条件として、例えば、ドメインコントローラの名前がローカル端末のホスト名から始まっていることなどが挙げられます。この他、Stage1.exeは以下のフォルダの配下にファイル「Finish.exe」や「Exclude.exe」が存在するかをチェックします。
%WINDIR%\Help
Finish.exeが存在する場合は、すでに当該システムが侵害されていることを、Exclude.exeが存在する場合は、当該システムが攻撃対象外であることを示します。
チェックの完了後、以下のフォルダの配下にStage2.exeが存在するかを確認します。
%WINDIR%\Help
存在しない場合、ハードコーディングされたSYSVOLの共有パスからローカル端末側にpay.txtとStage2.exeをコピーし、Stage2.exeを実行します。
当該のexeファイルには、標的となった会社のドメイン名やSYSVOLの共有パスがハードコーディングされていました。これは、攻撃対象を事前に絞り込む「標的型攻撃」に相当します。また、はじめに標的端末の1つを侵害してペイロードを配備しておき、後にグループポリシーに基づいて当該ペイロードを別の端末内で実行する点も特徴的です。これは、標的ネットワーク中に存在するシステムを次々と侵害していく「多段階攻撃」に相当すると考えられます。
Stage2.exe
Stage2.exeでは、ランサムウェアのペイロードを配布します。Stage1.exeと同様、ファイル内には標的企業のドメイン名がハードコーディングで埋め込まれています。
永続化
T1543.003 Create or Modify System Process – Windows Service(システムプロセスの作成および改変 - Windowsサービス)
Stage2.exeは、はじめに端末がセーフモードで起動しているかを判定します。セーフモードでない場合、先述したExclude.exeやFinish.exeのチェック処理を行います。続いて、Stage2.exeをネットワーク付きセーフモードで起動するためのサービスを以下の名前で新たに作成します。
MSOfficeRunOncelsls
防御回避
T1562.009 Impair Defenses – Safe Mode Boot(防御機能の阻害 - セーフモードで起動)
T1112 Modify Registry(レジストリの変更)
Stage2.exeは、ネットワーク付きセーフモードを有効化するため、ブード構成データ(BCD:Boot Configuration Data)を設定します。次に、当該モードを適用するため、端末を再起動します。
端末がすでにセーフモードの場合は、、Stage2.exeは先と同様にExclude.exeやFinish.exeがシステム内に存在しないことを確認します。次に、pay.txtをBase64およびAESアルゴリズムで復号します。さらに、その内容をStage3.exeに転送します。このStage3.exeが、ランサムウェアのペイロードに相当します。
T1070.004 Indicator Removal – File Deletion(痕跡の消去 - ファイル削除)
ランサムウェア用ペイロードを起動した後は、クリーンアップ処理として、マルウェアの残余ファイルやレジストリキーを削除します。
影響
T1486 Data Encrypted for Impact(データの暗号化)
Stage3.exe:ランサムウェア用ペイロード
最後に、ランサムウェア「RA World」のペイロードであるStage3.exeが稼働します。RA Worldは、流出したBabukのソースコードを搭載し、テキストファイル「Finish.exe」を作成します。本ファイルの内容として、「Hello, World」のみが記載されます。また、作成するミューテックス(排他制御用オブジェクト)の名前として、過去のバージョンではBabukと同じものが使用されましたが、今回の攻撃では「For whom the bell tolls, it tolls for thee.」が使用されます。
ランサムノート(脅迫状)には、身代金を支払わなかった直近の被害者リストが記載されます。これは、標的企業を動揺させ、支払い要求に従わせるための手口です。
アンチウイルスの妨害
T1485 Data Destruction(データの破壊)
今回の攻撃グループは、スクリプト「SD.bat」を用いることで、トレンドマイクロに関連するフォルダの削除を試みます。また、WMIのコマンドライン(WMIC:WMI Command-line)を介してディスク情報を取得し、その内容をファイル「C:\DISKLOG.TXT」に記録します。
T1070 Indicator Removal(痕跡の消去)
トレンドマイクロのフォルダを削除した後、先にWindows用デフォルトブート構成として設定したネットワーク付きセーフモードを解除します。
T1529 System Shutdown / Reboot(システムシャットダウン/再起動)
最後に、端末を強制的に再起動します。
RA Worldに関する知見
Babukは2021年に「撤退」を宣言しましたが、そのソースコードが流出したことを引き金に、多くの攻撃グループがランサムウェアの領域に足を踏み入れるようになりました。今回挙げたRA Wordも、その1つに該当します。ランサムウェアをサービスとして展開する動き(RaaS:Ransomware as a Service)が強まったことも相まって、こうしたソースコードの流出は、ランサムウェア活動の敷居を大きく引き下げるものです。結果として、高度なスキルや知識を持っていないサイバー犯罪者でさえも、自身のランサムウェアファミリを比較的容易に作成し、不正な活動に加担できることとなります。
今回挙げたランサムウェア「RA World」のインシデントでは、特にヘルスケア施設が標的として狙われました。被害組織に関連する文字列がコンポーネントファイル中に埋め込まれていたことからも、当該の標的を意図的に狙った攻撃であることが示唆されます。
推奨事項とソリューション
ランサムウェア攻撃の被害に遭うリスクを最小限に抑えこむため、企業や組織では、下記のベストプラクティスを実施することを推奨します。
- 必要な場合を除き、従業員に管理者権限やアクセス権限を付与しない。
- セキュリティ製品を定期的にアップデートし、定時スキャンを有効化する。
- 重要データが失われることのないように、定期的なバックアップによって保護する。
- メールやWebサイトの利用、添付ファイルのダウンロード、URLのクリック、プログラムの実行に際しては、細心の注意を払う。
- 不審なメールやファイルについてはセキュリティチームに報告するように、ユーザに促す。
- ソーシャルエンジニアリングのリスクや兆候をテーマとする教育を、ユーザに対して定期的に実施する。
企業や組織では、マルチレイヤーのセキュリティ対策を導入することで、エンドポイントやメール、Webインターフェース、ネットワークを含むアクセスポイントを保護し、侵入のリスクを軽減することが可能です。不正なコンポーネントや異常な挙動を検知し、企業システムの安全性を高める上では、下記のソリューションが特に有効です。
- Trend Vision One™:マルチレイヤーによる挙動検知や保護の機能を提供し、システムがランサムウェアに攻撃される前に不審なツールや挙動をブロックします。
- Trend Micro Apex One™:次世代レベルの自動脅威検知・応答機能を提供し、ファイルレス攻撃やランサムウェアを含む高度な手口に対しても的確に対処することで、エンドポイントを確実に保護します。
侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(IoC)はこちらで確認してください。
MITRE ATT&CK Techniques
MITRE ATT&CK Tactics and Techniquesはこちらで確認してください。
参考記事
Multistage RA World Ransomware Uses Anti-AV Tactics, Exploits GPO
By: Nathaniel Morales, Katherine Casona, Ieriz Nicolle Gonzalez, Ivan Nicole Chavez, Maristel Policarpio, Jacob Santos
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)