Big Head:消費者狙う新たなランサムウェアの新亜種、戦術、影響
今年5月に登場したばかりとされる新しいランサムウェア、「Big Head」。トレンドマイクロは今回新たに同ランサムウェアの3つの亜種を発見・分析し、その技術的詳細についてレポートにまとめた。これによれば、いずれの亜種もおそらく同一のマルウェア開発者の手によるものであるとみられ、またいずれも偽のWindowsアップデートやMicrosoft Wordインストーラーをルアーとして用いたマルバタイジングによって配布されている可能性が高いという。
Big Headランサムウェアとは
Big Headランサムウェアは、2023年5月に登場したとされる比較的新しいランサムウェア。これまでにFortinetによって2つの亜種の詳細が報告されていた。Fortinetは6月中旬に公開されたレポートにおいて、要求される身代金額の安さから企業よりも消費者が標的であろうと考えられる点などを指摘している。
Big Headランサムウェアの感染ベクター
トレンドマイクロはBig Headランサムウェアの異なるサンプル3種を分析しているが、いずれも偽のWindowsアップデートや偽のWordインストーラーをルアーとして用いたマルバタイジングによって配布されているものとみている。またFortinetも同様に、同ランサムウェアが偽のWindowsアップデートや偽のWordの形式で配布されている可能性があることを指摘していた。
Big Headランサムウェア:トレンドマイクロが分析した3つのサンプル
サンプル① Ransom.MSIL.EGOGEN.THEBBBC
このサンプルは.NETバイナリで、標的システム上に以下3つのAES暗号化されたファイルを投下する。
・1.exe:マルウェア伝播のために自己をコピーする役割を持つ。
・Archive.exe:teleratserver.exeというTelegramボットを投下する。このボットは、脅威アクターのチャットボットIDとの通信を確立するのに使われるもの。
・Xarch.exe:ファイルの暗号化を行う「BXIuSsB.exe」を投下する役割と、被害者を騙すために偽のWindowsアップデートを表示させる役割を持つ。
このサンプルは、暗号化を実施する前にシャドウコピーを削除し、被害者によりシステムが復元されるのを防ごうとするという。また標的システムの言語が独立国家共同体(CIS)に属する国々のものと一致していた場合は、暗号化のプロセスには進まず動作を終了する。
このチェックを通過して暗号化されたファイルの名称には、「.poop」という拡張子が追加される。なお暗号化実施中にはWindowsアップデートに見せかけた画面が表示されるため、被害者は悪意ある活動が行われていることに気づきづらい。
暗号化が終了すると被害者マシンの壁紙が変更されてBig Headランサムウェアからの警告文が表示されるとともに、アクターのメールアドレス宛にEメールを送るよう促す内容のランサムノート(身代金要求メモ)が複数のディレクトリに投下される。
サンプル② Ransom.MSIL.EGOGEN.THEABBC
この第2のサンプルは、ランサムウェアとしての挙動だけでなくスティーラーとしての挙動も見せたという。サンプルのメインのファイルにより投下・実行されるファイルは3つで、うちrunyes.Crypter.batおよびazz1.exeとがランサムウェアとしての活動を担い、Server.exe(スティーラー「WorldWind」)が情報収集の役目を担う。Server.exeによって収集されるデータに含まれるのは、ブラウザ履歴、ディレクトリのリスト、インストール済みのドライバ、起動中のプロセス、プロダクトキー、アクティブなネットワーク。またこのスティーラーはスクリーンショットを撮影する性能も備える。なお第2のサンプルも、暗号化後に被害者マシンの壁紙を変更させるという。
サンプル③ Ransom.MSIL.EGOGEN.YXDEL
第3のサンプルの特徴は、感染チェーンにマルウェア「Neshta」が組み込まれている点。Neshtaは、侵害されたシステム上の実行ファイルへ悪意あるコードを注入することができるマルウェア。このサンプルがなぜNeshtaを使用するのか、その正確な目的は定かではないものの、トレンドマイクロの考えでは、シグネチャベースのメカニズムを利用する検出ソフトを回避するための戦術の可能性があるとされる。なおこのサンプルが投下するランサムノートや被害者マシン用の壁紙はサンプル①、②のものとは異なる点は注目に値する。
Big HeadのアクターはYouTubeアカウントを保有
トレンドマイクロは、ランサムノートに記載されたアクターのTelegram情報とさらなる調査の結果、このアクターのものと思われるYouTubeアカウントを突き止めることに成功している。アカウントは2023年4月19日に作成された新しいもので、同アクターが有するマルウェアのデモを見せる内容の動画数本を掲載しているという。またトレンドマイクロは、YouTube名にバハサ語(インドネシアやマレーシアで使われるマレー語の方言)で「無料のプレミアムアプリケーション」を意味する「aplikasi premium cuma cuma」というフレーズが使われている点にも着目している。
Big Head:技術的高度さはないものの、警戒すべき脅威
Big Headはランサムウェア種としてはさほど高度ではなく、暗号化手法も標準的で、検出回避技術も見破りやすいものだという。しかし、すでに複数の亜種が存在していることからはBig Headの開発者らが地道に開発を続けている様子が伺え、今後さらに進化したバージョンが登場する可能性がある。またBig Headは企業よりもセキュリティの知識が少なく、ガードの甘い消費者を主な標的にしているとみられる。こういった点を踏まえると、Big Headランサムウェアを警戒すべき脅威として認識しておいても損はないだろう。
(情報源:トレンドマイクロ “Tailing Big Head Ransomware’s Variants, Tactics, and Impact”、Fotinet “Ransomware Roundup – Big Head”、BleepingComputer “New ‘Big Head’ ransomware displays fake Windows update alert”)
7月8日, 9日:その他の注目ニュース
中国に関連付けられるスパイウェアが、Google Play Store上で発見される
モバイルセキュリティソリューションプロバイダーであるPradeo社のセキュリティ研究者らが、Google Play Store内に2つのスパイウェアアプリのインスタンスが隠されていることを確認した。これらは「File Recovery and Data Recovery」および「File Manager」とされ、約150万人のユーザーに影響を与えた。2つのアプリケーションは同じ組織によって開発されたものであり、ファイル管理ツールを装って悪質な動作と同等の動きを示すという。特筆すべきは、これらがユーザーインタラクションなしに自律的に起動し、重要なユーザーデータを中国にある複数のサーバーに送信するよう設計されていることである。これらのアプリが不正に入手するデータには、OSのバージョン番号、デバイスのブランドとモデル、ネットワークプロバイダー、SIMプロバイダーのネットワークコード、国コード、およびユーザーのリアルタイムの位置情報が含まれる。また写真、動画、音声コンテンツ、連絡先リストなどの機微なメディアコンテンツも盗み出すという。
ソーシャルネットワークMastodonが、サーバーの乗っ取りを可能にする重大な欠陥を修正(CVE-2023-36460)
The Hacker News – Jul 07 2023 12:55
人気の分散型ソーシャルネットワークであるMastodonが、数百万人のユーザーを将来起こりうる攻撃にさらす可能性のある重大な脆弱性数件を修正するセキュリティアップデートを行った。Mastodonは、「インスタンス」と呼ばれる別個のサーバー2万件超で構成されており、1,400万人以上のユーザーを抱えている。最も重大な脆弱性はCVE-2023-36460であり、これによりハッカーは、メディア添付機能における欠陥を悪用し、ソフトウェアがインスタンス上でアクセスできる任意の場所にファイルを作成・上書きできるようになる。この脆弱性は、DoS攻撃や任意のリモートコード実行攻撃に使用されてユーザーやより広範なインターネットエコシステムに重大な脅威をもたらす可能性があるという。攻撃者が複数のインスタンスを制御できるようになった場合、悪意のあるアプリケーションをダウンロードするようユーザーに指示することで損害を与えたり、Mastodonのインフラ全体をダウンさせたりする可能性もある。幸いなことに、この脆弱性が悪用された形跡は今のところない。