LockBit 3.0のビルダー流出以後、新たなLockBit亜種が400種近く登場か
LockBitランサムウェアのバージョン3.0(別名「Lockbit Black」)のビルダーが2022年9月にネット上へ流出して以後、カスペルスキーはこれを悪用して作られたとみられる新たなランサムウェア亜種を396種検出したという。NATIONAL HAZARD AGENCYやBl00dy、BuhtiといったオリジナルのLockBitグループとは異なるアクターらがLockBit 3.0の亜種を利用するのが観測されたほか、最近では、同じく流出したビルダーを用いているとみられる「LockBit Locker」による高度なフィッシングキャンペーンがスペインで確認されている。
LockBit 3.0のビルダーは2022年9月に流出
2022年9月、Twitter上のユーザー「@protonleaks」と「@ali_qushji」がそれぞれ少しずつ異なるLockBit 3.0のビルダーを公開。この直後、カスペルスキーは、本家のLockBitグループとは異なる新たなグループ「NATIONAL HAZARD AGENCY」によって使用されたLockBit 3.0の亜種を発見したという。
そもそもLockBit 3.0とは?
LockBitは、もともと2019年9月から使用されていたランサムウェア「ABCD」の後継版として生まれたランサムウェア。その後、2021年7月には第2バージョンの「LockBit 2.0」が登場し、2022年6月後半に第3バージョンである「LockBit 3.0」が確認されるようになった。LockBit 3.0は、リバースエンジニアリング解析から自信を強力に保護するアンチ解析技術を備え、パスワードのみを用いて暗号化を行うなど、さまざまな特徴を有している。また、このバージョンがランサムウェアとしては初のバグバウンティプログラムを採用している点も、注目に値する。
流出ビルダーを利用した亜種は400種近く存在か
上記のNATIONAL HAZARD AGENCYのほか、Bl00dyやBuhtiといったさまざまな脅威アクターが流出ビルダーを利用する中、カスペルスキーはLockBit亜種のサンプルを396件検出し、これらを分析。すると、うち211件が@ali_qushjiによって公開されたビルダーに基づいて作成されたもので、101件が@protonleaksによって公開されたビルダーに基づいて作成されたものだったという。また残りの84件に関しては、出どころ不明のビルダーに基づいて作成されていたとされる。検出されたパラメータの多くが元のビルダーのデフォルトの構成に対応しており、一部にわずかな変更が見られるのみだった。このことからは、おそらくこれらのサンプルは緊急の必要性に迫られて開発されたか、あるいは怠惰なアクターによって開発されたのであろうことが示唆されている。
LockBit Lockerを配布する非常に高レベルなフィッシングキャンペーン
そんな中、スペイン国家警察は最近、国内の建築関連組織を狙って「LockBit Locker」なるランサムウェアを配布しようとするフィッシングキャンペーンについて警告。その手口は非常に高度で、被害者は端末の暗号化が行われるまで何の疑いも抱かないほどだという。
架空のフォトスタジオを装って店舗の改築を依頼する手の込んだフィッシング
このキャンペーンで使用されるフィッシングメールの多くは「fotoprix.eu」という実在しないドメインから送られており、架空のフォトスタジオ経営者が送り主であるかのように見せかけているという。その標的は建築会社で、メール本文にはフォトスタジオの改築プランと見積もりの提案を依頼するような内容が記載されている。攻撃者は標的の建築会社と何通かメールをやり取りして信頼を得た後、改築の正確な要件を記したドキュメントが含まれるとされるアーカイブファイルを送信する。しかし実際には、このアーカイブにはLockBit Lockerを実行してファイルを暗号化するための悪意あるファイルが含まれているのだという。
攻撃者はLockBit 3.0の流出ビルダーを使用か
このキャンペーンに関与するアクターはLockBitランサムウェアグループと提携していると主張しているものの、BleepingComputerによれば、同アクターはLockBit 3.0の流出ビルダーを使っているだけで本家LockBitとは別のランサムウェアオペレーションだと思われるという。実際に、本家がTorの交渉サイトを通じて身代金交渉を行うのに対し、今回のLockBit LockerのアクターはEメールやToxを交渉に利用しているなど、戦術に相違点が見受けられる。
(情報源:カスペルスキー “Lockbit leak, research opportunities on tools leaked from TAs”、Security Affairs “LEAKED LOCKBIT 3.0 RANSOMWARE BUILDER USED BY MULTIPLE THREAT ACTORS”、BleepingComputer “Spain warns of LockBit Locker ransomware phishing attacks“)
8月29日:その他の注目ニュース
Citrix NetScalerシステムへの攻撃にランサムウェアアクターが関与か(CVE-2023-3519)
BleepingComputer – August 28, 2023
先月から悪用が報じられている、Citrix NetScaler ADCおよびNetScaler Gatewayにおけるリモートコード実行の脆弱性CVE-2023-3519(CVSSスコア9.8のコードインジェクションの欠陥)。ソフォスによると、ハッキンググループFIN8に関連すると思われる脅威アクター「STAC4663」が、ドメイン全体にわたる攻撃でこの脆弱性を悪用して、パッチ未適用のCitrix NetScalerシステムを侵害しているという。CVE-2023-3519といえば、Fox-ITが今月上旬、同脆弱性を悪用したキャンペーンにより8月14日時点で世界の約「2,000」のサーバーにバックドアが設置されていると報告していたが、STAC4663による悪用もFox-ITが報じたのと同じキャンペーンの一部と考えられている。
関連記事:Citrixの脆弱性狙った大規模キャンペーン 約2千のNetScalerサーバーにバックドアが存在:CVE-2023-3519
8月中旬からこのキャンペーンを監視しているソフォスは、同脅威アクターがペイロードを注入し、BlueVPSを使用してマルウェアを配置し、難読化された PowerShellスクリプトを展開して、被害者のマシンにPHP Webシェルをドロップしていると報告しており、これをランサムウェア攻撃チェーンの一部だと考えている。同社がBleepingComputerに伝えたところによると、このキャンペーンは、過去にBlackCat/ALPHVランサムウェアを展開するのが観測されていたハッキンググループFIN8に関連しているものとみられるという。ソフォスのこの評価は、同社が観測した別の攻撃(CVE-2023-3519の悪用は伴わないながらも利用されるTTPやC2が類似または一致)との比較・分析に基づき、中程度の確度でなされている。なお、ペイロードについて、最近の攻撃で配信されたものは、「wuauclt.exe」または「wmiprvse.exe」に注入されるようだが、まだ分析中だという。
ソフォスは、対策を行う者がこの脅威を検出し阻止するのを支援するため、同キャンペーンのIoCリストをGitHubで公開している。