「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。
今月のトピックは「Cubaランサムウェアの新亜種」「SamuraiバックドアとNinja Trojan」です。それぞれについて、影響範囲、アナリストの見解、緩和のための戦略、IoCを紹介していきます
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化
Article.2
Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化
アジアの組織が標的に
2022年4月、Cubaランサムウェアの新亜種がアジアにある2つの組織を狙っているのをトレンドマイクロの研究者が確認しました。新亜種に盛り込まれたアップデートは、実行の最適化、意図しないシステム動作の最小化、交渉に応じる被害者へのテクニカルサポートの提供を目的としています。
新亜種には、終了させるプロセスやサービスが大量に追加されましたが、暗号化されないディレクトリやファイル拡張子のリストは拡大しました。コマンドや機能に関しては、過去のバージョンと同じものがすべて新亜種に引き継がれたわけではありません。新亜種に引き継がれたコマンドは2つだけで、ディレクトリやロケーション関連のフレーズでした。
新亜種では新たなランサムノートも使用されていますが、新旧のランサムノートには同じonionサイトが表示されています。新しいランサムノートには、3日経っても被害者が交渉を拒否する場合、CubaのTorサイト上でデータが公開されると明記されています。交渉を希望する被害者へのテクニカルサポートも、quToxという形で追加されました。
情報源(外部サイト)
アナリストのコメント
影響範囲
Cubaランサムウェアグループは従来、ヨーロッパ、南米、北米の標的を狙ってきました。一方、今回の新亜種はアジアにある組織を狙っているところが確認されています。
見解
Cubaランサムウェアは、データリークサイト上や交渉の過程でロシア語を使用しているところが確認されており、ロシアと関係があると考えられています。こうしたケースでは、ウクライナを支援する国や組織がグループに狙われやすくなる可能性があります。
緩和のための戦略
以下、組織が行うべきことをまとめました。
1 定期的にバックアップを取ることや、オフラインのバックアップを安全な場所に保存することを含む、包括的なデータバックアップ計画を策定する
2 パッチを入手可能になり次第適用し、システムを最新の状態に保つ
3 インシデント対応計画を実施・テストする
4 適切なサイバーハイジーンを社員に実践させる
5 ネットワークをセグメント化し、最小権限の原則を採用する。また、可能な場合には多要素認証を有効化する
IoC
SHA256 | Trend Micro Detection |
89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4af | Ransom.Win32.BACUCRYPT.YPCD2T |
SamuraiバックドアとNinja Trojanでアジア・ヨーロッパ狙うAPT「ToddyCat」
過去に台湾とベトナムのMicrosoft Exchangeサーバーが標的に
2020年12月以降にまとまった数の攻撃を数回行ってきたと考えられている比較的新しいAPTアクター「ToddyCat」について、カスペルスキーの研究者が分析しました。ToddyCatはヨーロッパとアジアにある有名な組織を標的に、これまで知られていなかった2つのツール「Samurai」バックドアと「Ninja Trojan」を使用してきました。
ToddyCatは、まず台湾とベトナムにある選ばれたMicrosoft Exchangeサーバーを侵害し、未知のエクスプロイトを使って、Webシェル「China Chopper」の作成と複数ステージから成る感染チェーンの始動につなげました。このチェーンには、パッシブなSamuraiバックドアを実行するのに使われるカスタムローダーが複数含まれていました。Samuraiバックドアは、任意のC#コードを実行可能にするほか、一部のケースではNinja Trojanの実行に使用されていました。
Ninjaはおそらく、ToddyCatが使う未知のpost-exploitationツールキットのコンポーネントです。Ninjaは共同作業に利用可能なツールとみられ、攻撃者によるリモートシステムのコントロール、検出回避、標的ネットワーク深部への侵入を可能にするコマンドを多数提供しています。
ToddyCatは、特にアジアで激しい有害活動を続けています。SamuraiとNinjaのロードに悪用されたのと似たローダーやインストーラーの亜種が、他にも多数観測されています。また別の攻撃群では、デスクトップマシンを標的に、Telegram経由で有害ローダーが送付されています。
情報源(外部サイト)
アナリストのコメント
影響範囲
APTグループのToddyCatは当初、SamuraiバックドアとNinja Trojanという、あまり知られていない2つのマルウェアを使って、アジア・ヨーロッパ各地の組織にあるMicrosoft Exchangeサーバーを狙っていました。しかし、最近はデスクトップシステムをも攻撃しています。
見解
Samuraiはモジュラー型バックドアです。同時に、攻撃者によるリモートシステムの管理と、侵害されたネットワーク内でのラテラルムーブメントを可能にする、攻撃における最終ステージのコンポーネントでもあります。制御構造とcase文を複数使用して命令と命令の間をジャンプする特殊な性質ゆえ、コード内部のアクションの順序を追いにくくなっています。
Ninja Trojanは、Samuraiバックドアを使って展開可能なマルウェアです。リモートシステムを完全に掌握し、標的ネットワーク内の奥深くで活動する能力を攻撃者に与えるよう設計されました。また、検出回避のための手法を複数使って動作するよう設定することも可能です。
同ツールで攻撃者が使用できるコマンドには、さまざまなものがあり、以下のような性能があります。
・実行中のプロセスを列挙・管理する
・ファイルシステムを管理する
・複数のリバースシェルセッションを開始する
・任意のプロセスにコードを注入する
・ランタイムに追加のモジュール(おそらくプラグイン)をロードする
・C2とリモートホストの間でTCPパケットをやりとりするプロキシ機能を提供する
緩和のための戦略
SamuraiバックドアもNinja Trojanも比較的新しく独特なマルウェアであるため、最も良い緩和策は、すべての脆弱性に対して定期的にパッチ適用を行い、システムを最新の状態に保つことです。
ご自身の組織がSamuraiバックドアに感染しているかどうかをチェックしたい場合は、コマンド“netsh http show servicestate verbose=yes” を使ってHTTPサービスのスナップショットを表示することで、バックドアの存在を示唆する不審な登録済みURLを探すことができます。
IoC
MD5 (*リンク先はKaspersky Threat Intelligence Portalです) | 説明 |
5cfdb7340316abc5586448842c52aabc | ドロッパー google.log |
93c186c33e4bbe2abdcc6dfea86fbbff | ドロッパー |
5a912beec77d465fc2a27f0ce9b4052b | DLLローダー ステージ2 iiswmi.dll |
f595edf293af9b5b83c5ffc2e4c0f14b | DLLローダー ステージ3 websvc.dll |
5a531f237b8723396bcfd7c24885177f | DLLローダー ステージ2 fveapi.dll |
1ad6dccb520893b3831a9cfe94786b82 | DLLローダー ステージ2 fveapi.dll |
f595edf293af9b5b83c5ffc2e4c0f14b | DLLローダー ステージ3 sbs_clrhost.dll |
8a00d23192c4441c3ee3e56acebf64b0 | Samuraiバックドア |
5e721804f556e20bf9ddeec41ccf915d | Ninja Trojan |
より詳しいIoCリストは、上記「情報源」の記事でご覧いただけます。
Writer