Tutorials Brawte nfaq 0 Comments

ブートキットランサムウェアの悪者が日本でBadRabbitの穴に飛び込む

Table of Contents

ブートキットランサムウェアの悪者が日本でBadRabbitの穴に飛び込む

日本では新たなランサムウェアが標的型攻撃に使用されている模様。

新しいブートキット ランサムウェアである MBR-ONI は、暗号化ルーチンに、DiskCryptor と呼ばれる正規のオープンソース ディスク暗号化ユーティリティの改変版を使用しています。このツールは、先週 Bad Rabbit ランサムウェアによって悪用されたものと同じです。

ONIと新たに発見されたMBR-ONIはランサムウェアの特徴をすべて備えているが、セキュリティ情報会社サイバーリーズンは、これらのマルウェアが日本企業に対する標的型攻撃の証拠を隠蔽するための破壊的なワイパーとして使用されていると見ている。

サイバーリーズンによると、MBR-ONIは、以前のランサムウェアであるONIと、一連の攻撃で併用されている。研究者らは、これらのランサムウェアは同時に展開されるだけでなく、「同じメールアドレス」を共有していると主張している。同じ攻撃で2種類のランサムウェアが使用されているという事実は、サイバーリーズンをはじめとする関係者にとって依然として謎である。

今回の攻撃は日本に特化したものですが、ランサムウェアやワイパーを使った標的型攻撃は近年世界中で増加しています。特に注目すべき例としては、サウジアラムコやラスガスなどの企業を標的としたShamoon攻撃が挙げられます。

最近の日本の攻撃で使用されたマルウェアは、武器化されたOffice文書を添付したスピアフィッシングメールを装い、最終的にはAmmyy Admin RATを侵入させるように設計されていました。マルウェアのペイロードは、パスワードで保護されたzipファイルに埋め込まれ、感染したメールに含まれていました。標的となったユーザーはzipファイルを開封すると、マクロを有効にするように誘導され、VBScriptがRATをダウンロードして実行しました。

攻撃者はAmmyy Adminなどのハッキングツールを用いて内部ネットワークを詳細に調査し、認証情報を収集して水平展開を行い、最終的にドメインコントローラ(DC)を含む重要な資産を侵害し、標的のネットワークを完全に制御下に置きました。Ammyy Adminは正規のリモート管理ツールですが、ブラックハットハッカーによって頻繁に悪用されています。

日本のランサムウェア攻撃

日本におけるランサムウェア攻撃の段階。クリックして拡大 [出典: Cyber​​eason ブログ投稿]

サイバーリーズンは、ハッカーがNSAから流出したEternalBlueエクスプロイトを他のツールと組み合わせてネットワーク全体に拡散したと疑っていると述べています。攻撃成功に伴うデータ破損やログ消去はこの点を裏付ける証拠はありませんが、サイバーリーズンは、侵害されたマシンにMS17-010セキュリティアップデート(2017年3月リリース)がインストールされていなかったことを発見しました。さらに、侵害された環境全体でSMBv1が依然として有効になっていました。

攻撃の背後にいるハッカーたちは焦土作戦を展開しています。ランサムウェアに加え、攻撃者はWindowsのイベントログ(460件以上)を徹底的に消去することを目的としたバッチファイルも使用しました。このアクションは、攻撃の後半段階で不正なグループポリシーを通じて適用されました。さらに、ドメインコントローラからONIバイナリファイルもコピーされ、実行され、多数のファイルが暗号化されました。

サイバーリーズンによると、標的ネットワーク上のほとんどのコンピュータに対してONIが使用されていたのに対し、MBR-ONIはごく少数のエンドポイントでのみ使用されていました。これらのエンドポイントは、Active Directoryサーバー、ファイルサーバーなどの重要な資産でした。

日本の攻撃は2016年12月(あるいはそれ以前)から2017年9月までの少なくとも9か月間続いた。

Cyber​​easonによると、ONIはGlobeImposterランサムウェアの亜種とコードを共有しているようで、一部のルーチンは同一です。MBR-ONIは、コードの大部分をDiskCryptorから借用しています。この攻撃は、正規のディスク暗号化ユーティリティが、コードにわずかな変更を加えるだけで、ランサムウェアや破壊的なデータ消去ツールに変貌する可能性があることを示しています。

「ONIとMBR-ONIは、ランサムウェアというよりもワイパーに近い目的、つまりデータの破壊によって進行中のハッキング活動を隠蔽する目的を果たした」とサイバーリーズンは結論付けている。

ボトムノート

ONIは、暗号化するファイルに付加するファイル拡張子にちなんで名付けられました。ONIという名前は日本語で「鬼」を意味し、身代金要求メッセージに記載されているメールアドレスにも含まれています。「Oninoy0ru」は日本語で「鬼の夜」と訳されます。サイバーリーズンは、ONIの身代金要求メッセージの他のバージョンも確認しており、ユーザー名に「ONI」という文字列を含むメールアドレスも含まれていました。

Tutorials

Smart Recommendations

Discover More