Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Analyst's Choice > Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

 

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月のトピックは「Cubaランサムウェアの新亜種」「SamuraiバックドアとNinja Trojan」です。それぞれについて、影響範囲、アナリストの見解、緩和のための戦略、IoCを紹介していきます。

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

 

Article.2

SamuraiバックドアとNinja Trojanでアジア・ヨーロッパ狙うAPT「ToddyCat」

 

Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

アジアの組織が標的に

2022年4月、Cubaランサムウェアの新亜種がアジアにある2つの組織を狙っているのをトレンドマイクロの研究者が確認しました。新亜種に盛り込まれたアップデートは、実行の最適化、意図しないシステム動作の最小化、交渉に応じる被害者へのテクニカルサポートの提供を目的としています。

新亜種には、終了させるプロセスやサービスが大量に追加されましたが、暗号化されないディレクトリやファイル拡張子のリストは拡大しました。コマンドや機能に関しては、過去のバージョンと同じものがすべて新亜種に引き継がれたわけではありません。新亜種に引き継がれたコマンドは2つだけで、ディレクトリやロケーション関連のフレーズでした。

新亜種では新たなランサムノートも使用されていますが、新旧のランサムノートには同じonionサイトが表示されています。新しいランサムノートには、3日経っても被害者が交渉を拒否する場合、CubaのTorサイト上でデータが公開されると明記されています。交渉を希望する被害者へのテクニカルサポートも、quToxという形で追加されました。

情報源(外部サイト)

1 https://www.trendmicro.com/en_us/research/22/f/cuba-ransomware-group-s-new-variant-found-using-optimized-infect.html?_hsmi=215923351&_hsenc=p2ANqtz-97azZs5WAHrTHu1w8GN95LFIs-ksmDX0186Qqej6TjqKOTuBRrFg8dsHhybfS0uKyVY3hIq7Mw8OUZccr500kzP64Ubg

アナリストのコメント

影響範囲

Cubaランサムウェアグループは従来、ヨーロッパ、南米、北米の標的を狙ってきました。一方、今回の新亜種はアジアにある組織を狙っているところが確認されています。

見解

Cubaランサムウェアは、データリークサイト上や交渉の過程でロシア語を使用しているところが確認されており、ロシアと関係があると考えられています。こうしたケースでは、ウクライナを支援する国や組織がグループに狙われやすくなる可能性があります。

緩和のための戦略

以下、組織が行うべきことをまとめました。

1 定期的にバックアップを取ることや、オフラインのバックアップを安全な場所に保存することを含む、包括的なデータバックアップ計画を策定する

2 パッチを入手可能になり次第適用し、システムを最新の状態に保つ

3 インシデント対応計画を実施・テストする

4 適切なサイバーハイジーンを社員に実践させる

5 ネットワークをセグメント化し、最小権限の原則を採用する。また、可能な場合には多要素認証を有効化する

IoC
SHA256 Trend Micro Detection
89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4afRansom.Win32.BACUCRYPT.YPCD2T

 

SamuraiバックドアとNinja Trojanでアジア・ヨーロッパ狙うAPT「ToddyCat」

過去に台湾とベトナムのMicrosoft Exchangeサーバーが標的に

2020年12月以降にまとまった数の攻撃を数回行ってきたと考えられている比較的新しいAPTアクター「ToddyCat」について、カスペルスキーの研究者が分析しました。ToddyCatはヨーロッパとアジアにある有名な組織を標的に、これまで知られていなかった2つのツール「Samurai」バックドアと「Ninja Trojan」を使用してきました。

ToddyCatは、まず台湾とベトナムにある選ばれたMicrosoft Exchangeサーバーを侵害し、未知のエクスプロイトを使って、Webシェル「China Chopper」の作成と複数ステージから成る感染チェーンの始動につなげました。このチェーンには、パッシブなSamuraiバックドアを実行するのに使われるカスタムローダーが複数含まれていました。Samuraiバックドアは、任意のC#コードを実行可能にするほか、一部のケースではNinja Trojanの実行に使用されていました。

Ninjaはおそらく、ToddyCatが使う未知のpost-exploitationツールキットのコンポーネントです。Ninjaは共同作業に利用可能なツールとみられ、攻撃者によるリモートシステムのコントロール、検出回避、標的ネットワーク深部への侵入を可能にするコマンドを多数提供しています。

ToddyCatは、特にアジアで激しい有害活動を続けています。SamuraiとNinjaのロードに悪用されたのと似たローダーやインストーラーの亜種が、他にも多数観測されています。また別の攻撃群では、デスクトップマシンを標的に、Telegram経由で有害ローダーが送付されています。

情報源(外部サイト)

1 https://securelist.com/toddycat/106799/?_hsmi=217287590&_hsenc=p2ANqtz-9yxlfJzc4ufFSZJJvpMgt2LjRujan_fEbL47SLKRJZX4q_uedW3DqNPaGVT1JCuyVp1KoPRBDdrGlUMola9rZz1MMkdg

アナリストのコメント

影響範囲

APTグループのToddyCatは当初、SamuraiバックドアとNinja Trojanという、あまり知られていない2つのマルウェアを使って、アジア・ヨーロッパ各地の組織にあるMicrosoft Exchangeサーバーを狙っていました。しかし、最近はデスクトップシステムをも攻撃しています。

見解

Samuraiはモジュラー型バックドアです。同時に、攻撃者によるリモートシステムの管理と、侵害されたネットワーク内でのラテラルムーブメントを可能にする、攻撃における最終ステージのコンポーネントでもあります。制御構造とcase文を複数使用して命令と命令の間をジャンプする特殊な性質ゆえ、コード内部のアクションの順序を追いにくくなっています。

Ninja Trojanは、Samuraiバックドアを使って展開可能なマルウェアです。リモートシステムを完全に掌握し、標的ネットワーク内の奥深くで活動する能力を攻撃者に与えるよう設計されました。また、検出回避のための手法を複数使って動作するよう設定することも可能です。

同ツールで攻撃者が使用できるコマンドには、さまざまなものがあり、以下のような性能があります。

・実行中のプロセスを列挙・管理する

・ファイルシステムを管理する

・複数のリバースシェルセッションを開始する

・任意のプロセスにコードを注入する

・ランタイムに追加のモジュール(おそらくプラグイン)をロードする

C2とリモートホストの間でTCPパケットをやりとりするプロキシ機能を提供する

緩和のための戦略

SamuraiバックドアもNinja Trojanも比較的新しく独特なマルウェアであるため、最も良い緩和策は、すべての脆弱性に対して定期的にパッチ適用を行い、システムを最新の状態に保つことです。

ご自身の組織がSamuraiバックドアに感染しているかどうかをチェックしたい場合は、コマンド“netsh http show servicestate verbose=yes” を使ってHTTPサービスのスナップショットを表示することで、バックドアの存在を示唆する不審な登録済みURLを探すことができます。

IoC
MD5

(*リンク先はKaspersky Threat Intelligence Portalです

説明
5cfdb7340316abc5586448842c52aabc ドロッパー google.log
93c186c33e4bbe2abdcc6dfea86fbbff ドロッパー
5a912beec77d465fc2a27f0ce9b4052b DLLローダー ステージ2 iiswmi.dll
f595edf293af9b5b83c5ffc2e4c0f14b DLLローダー ステージ3 websvc.dll
5a531f237b8723396bcfd7c24885177f DLLローダー ステージ2 fveapi.dll
1ad6dccb520893b3831a9cfe94786b82DLLローダー ステージ2 fveapi.dll
f595edf293af9b5b83c5ffc2e4c0f14b DLLローダー ステージ3 sbs_clrhost.dll
8a00d23192c4441c3ee3e56acebf64b0 Samuraiバックドア
5e721804f556e20bf9ddeec41ccf915dNinja Trojan

より詳しいIoCリストは、上記「情報源」の記事でご覧いただけます。