Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化 | Codebook|Security News
Codebook|Security News > Articles > Analyst's Choice > Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

Analyst's Choice

Cyber Intelligence

Intelligence

サイバーインテリジェンス

Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

Rory

Rory

2022.07.22

 

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月のトピックは「Cubaランサムウェアの新亜種」「SamuraiバックドアとNinja Trojan」です。それぞれについて、影響範囲、アナリストの見解、緩和のための戦略、IoCを紹介していきます

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

関連記事:国内外における2021年のランサムウェア被害事例と企業が取るべき対策

Article.2

SamuraiバックドアとNinja Trojanでアジア・ヨーロッパ狙うAPT「ToddyCat」

Cubaランサムウェアに新亜種、アップデートにより感染技術が最適化

アジアの組織が標的に

2022年4月、Cubaランサムウェアの新亜種がアジアにある2つの組織を狙っているのをトレンドマイクロの研究者が確認しました。新亜種に盛り込まれたアップデートは、実行の最適化、意図しないシステム動作の最小化、交渉に応じる被害者へのテクニカルサポートの提供を目的としています。

新亜種には、終了させるプロセスやサービスが大量に追加されましたが、暗号化されないディレクトリやファイル拡張子のリストは拡大しました。コマンドや機能に関しては、過去のバージョンと同じものがすべて新亜種に引き継がれたわけではありません。新亜種に引き継がれたコマンドは2つだけで、ディレクトリやロケーション関連のフレーズでした。

新亜種では新たなランサムノートも使用されていますが、新旧のランサムノートには同じonionサイトが表示されています。新しいランサムノートには、3日経っても被害者が交渉を拒否する場合、CubaのTorサイト上でデータが公開されると明記されています。交渉を希望する被害者へのテクニカルサポートも、quToxという形で追加されました。

情報源(外部サイト)

1 https://www.trendmicro.com/en_us/research/22/f/cuba-ransomware-group-s-new-variant-found-using-optimized-infect.html?_hsmi=215923351&_hsenc=p2ANqtz-97azZs5WAHrTHu1w8GN95LFIs-ksmDX0186Qqej6TjqKOTuBRrFg8dsHhybfS0uKyVY3hIq7Mw8OUZccr500kzP64Ubg

アナリストのコメント

影響範囲

Cubaランサムウェアグループは従来、ヨーロッパ、南米、北米の標的を狙ってきました。一方、今回の新亜種はアジアにある組織を狙っているところが確認されています。

見解

Cubaランサムウェアは、データリークサイト上や交渉の過程でロシア語を使用しているところが確認されており、ロシアと関係があると考えられています。こうしたケースでは、ウクライナを支援する国や組織がグループに狙われやすくなる可能性があります。

緩和のための戦略

以下、組織が行うべきことをまとめました。

1 定期的にバックアップを取ることや、オフラインのバックアップを安全な場所に保存することを含む、包括的なデータバックアップ計画を策定する

2 パッチを入手可能になり次第適用し、システムを最新の状態に保つ

3 インシデント対応計画を実施・テストする

4 適切なサイバーハイジーンを社員に実践させる

5 ネットワークをセグメント化し、最小権限の原則を採用する。また、可能な場合には多要素認証を有効化する

IoC

SHA256 Trend Micro Detection
89288de628b402621007c7ebb289233e7568307fb12a33aac7e834504c17b4afRansom.Win32.BACUCRYPT.YPCD2T

 

SamuraiバックドアとNinja Trojanでアジア・ヨーロッパ狙うAPT「ToddyCat」

過去に台湾とベトナムのMicrosoft Exchangeサーバーが標的に

2020年12月以降にまとまった数の攻撃を数回行ってきたと考えられている比較的新しいAPTアクター「ToddyCat」について、カスペルスキーの研究者が分析しました。ToddyCatはヨーロッパとアジアにある有名な組織を標的に、これまで知られていなかった2つのツール「Samurai」バックドアと「Ninja Trojan」を使用してきました。

ToddyCatは、まず台湾とベトナムにある選ばれたMicrosoft Exchangeサーバーを侵害し、未知のエクスプロイトを使って、Webシェル「China Chopper」の作成と複数ステージから成る感染チェーンの始動につなげました。このチェーンには、パッシブなSamuraiバックドアを実行するのに使われるカスタムローダーが複数含まれていました。Samuraiバックドアは、任意のC#コードを実行可能にするほか、一部のケースではNinja Trojanの実行に使用されていました。

Ninjaはおそらく、ToddyCatが使う未知のpost-exploitationツールキットのコンポーネントです。Ninjaは共同作業に利用可能なツールとみられ、攻撃者によるリモートシステムのコントロール、検出回避、標的ネットワーク深部への侵入を可能にするコマンドを多数提供しています。

ToddyCatは、特にアジアで激しい有害活動を続けています。SamuraiとNinjaのロードに悪用されたのと似たローダーやインストーラーの亜種が、他にも多数観測されています。また別の攻撃群では、デスクトップマシンを標的に、Telegram経由で有害ローダーが送付されています。

情報源(外部サイト)

1 https://securelist.com/toddycat/106799/?_hsmi=217287590&_hsenc=p2ANqtz-9yxlfJzc4ufFSZJJvpMgt2LjRujan_fEbL47SLKRJZX4q_uedW3DqNPaGVT1JCuyVp1KoPRBDdrGlUMola9rZz1MMkdg

アナリストのコメント

影響範囲

APTグループのToddyCatは当初、SamuraiバックドアとNinja Trojanという、あまり知られていない2つのマルウェアを使って、アジア・ヨーロッパ各地の組織にあるMicrosoft Exchangeサーバーを狙っていました。しかし、最近はデスクトップシステムをも攻撃しています。

見解

Samuraiはモジュラー型バックドアです。同時に、攻撃者によるリモートシステムの管理と、侵害されたネットワーク内でのラテラルムーブメントを可能にする、攻撃における最終ステージのコンポーネントでもあります。制御構造とcase文を複数使用して命令と命令の間をジャンプする特殊な性質ゆえ、コード内部のアクションの順序を追いにくくなっています。

Ninja Trojanは、Samuraiバックドアを使って展開可能なマルウェアです。リモートシステムを完全に掌握し、標的ネットワーク内の奥深くで活動する能力を攻撃者に与えるよう設計されました。また、検出回避のための手法を複数使って動作するよう設定することも可能です。

同ツールで攻撃者が使用できるコマンドには、さまざまなものがあり、以下のような性能があります。

・実行中のプロセスを列挙・管理する

・ファイルシステムを管理する

・複数のリバースシェルセッションを開始する

・任意のプロセスにコードを注入する

・ランタイムに追加のモジュール(おそらくプラグイン)をロードする

C2とリモートホストの間でTCPパケットをやりとりするプロキシ機能を提供する

緩和のための戦略

SamuraiバックドアもNinja Trojanも比較的新しく独特なマルウェアであるため、最も良い緩和策は、すべての脆弱性に対して定期的にパッチ適用を行い、システムを最新の状態に保つことです。

ご自身の組織がSamuraiバックドアに感染しているかどうかをチェックしたい場合は、コマンド“netsh http show servicestate verbose=yes” を使ってHTTPサービスのスナップショットを表示することで、バックドアの存在を示唆する不審な登録済みURLを探すことができます。

IoC

MD5

(*リンク先はKaspersky Threat Intelligence Portalです

説明
5cfdb7340316abc5586448842c52aabc ドロッパー google.log
93c186c33e4bbe2abdcc6dfea86fbbff ドロッパー
5a912beec77d465fc2a27f0ce9b4052b DLLローダー ステージ2 iiswmi.dll
f595edf293af9b5b83c5ffc2e4c0f14b DLLローダー ステージ3 websvc.dll
5a531f237b8723396bcfd7c24885177f DLLローダー ステージ2 fveapi.dll
1ad6dccb520893b3831a9cfe94786b82DLLローダー ステージ2 fveapi.dll
f595edf293af9b5b83c5ffc2e4c0f14b DLLローダー ステージ3 sbs_clrhost.dll
8a00d23192c4441c3ee3e56acebf64b0 Samuraiバックドア
5e721804f556e20bf9ddeec41ccf915dNinja Trojan

より詳しいIoCリストは、上記「情報源」の記事でご覧いただけます。

Writer

アナリストプロフィール

Rory Morrissey / 株式会社マキナレコード 脅威インテリジェンス・アナリスト

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ