Threat Report

7月14日　Mazeランサムウェアインシデント

codebook 編集部

2020.07.15

7月14日　Mazeランサムウェアインシデント

日本の被害企業

投稿日：7月14日午後2 時43 分（日本標準時間） ：
「# Maze ＃ランサムウェアオペレーターが、世界最大の金型ネットワークサポート顧客を擁する株式会社TMW（旧・立松モールド株式会社）を狙ったと主張！！
現在、オペレーターは全データ漏洩の5％をアップロードしたと主張している。」
https://twitter.com/AuCyble/status/1282913522129797121

Mazeランサムウェアによる被害歴

4月

Mazeランサムウェアが、情報テクノロジーサービス大手Cognizantを攻撃。米ニュージャージー州に本社を構え、従業員数30万人近く、売上高150億ドル以上を誇る世界最大級のITマネージドサービス企業。
https://www.blackfog.com/the-state-of-ransomware-in-2020/

5月

Pitney BowesがMazeランサムウェアの被害に遭っていたことを明らかにした。以前に同様の攻撃を受けてからわずか1年以内のインシデント。Mazeグループは二重恐喝に特化しており、システムの暗号化に加えて重要なデータを公開すると恐喝することで、強い圧力で支払いを求める攻撃を行っている。
https://www.computerweekly.com/news/252482937/Pitney-Bowes-hit-by-Maze-in-second-ransomware-attack

6月

核ミサイルの請負業者Westech Internationalが、Mazeランサムウェア攻撃を受けた。ハッカーは従業員の秘匿情報へのアクセスを得たようだが、軍事機密情報へのアクセスは未確認。
https://securityboulevard.com/2020/06/westech-international-hacked-by-maze-ransomware/

ビクトリア・ベッカムをクライアントリストに含むミューヨークの合併買収企業Threadstone Advisors。Mazeランサムウェアのギャングは、企業の機密データを盗み出して暗号化したと主張。
https://www.infosecurity-magazine.com/news/maze-attacks-victoria-beckhams/

MazeランサムウェアオペレーターがXerox Corporationを攻撃し、暗号化する前に100GBを超えるファイルを盗み出した。Mazeグループは、ハッキングの証拠として10枚のスクリーンショットを公開。ドメインeu.xerox[.]net上のネットワークシェア、ランサムノート（脅迫メッセージ）、6月24日からのディレクトリリストを表示しており、攻撃者は2020年6月25日までこれらのネットワークにアクセスできることを示唆。
Mazeランサムウェアのオペレーターが6月24日にリークサイトで公開した被害者リストの中に、すでにXeroxの名前は含まれていた。
https://securityaffairs.co/wordpress/105395/cyber-crime/maze-ransomware-hacked-xerox.html

Maze Ransomwareの拡散：

手法

エクスプロイトキットや脆弱なパスワードを使用したリモートデスクトップ接続は、被害者をランサムウェアに感染させるために昔からよく利用されてきました。
また、Mazeランサムウェアのメンバーは、企業になりすまして被害者を騙し、悪質なファイルをダウンロードさせ実行させます。このような悪質なファイルが使用された例として、Mazeランサムウェアを含むファイルをダウンロードするためにパワーシェルスクリプトを実行したマクロを含む、Microsoftのワード文書などが挙げられます。
https://www.crn.com.au/news/cognizant-breach-10-things-to-know-about-maze-ransomware-attacks

インシデントタイムライン

Cisco Talosインシデント対応チームが対応業務で見てきた限り、Mazeランサムウェアの場合、インシデントのタイムラインは次のようになります。
0 ～ 6 日目：侵入の開始。Cobalt Strike アーティファクトが展開され、内部管理者アカウントが侵害される。
7 ～ 13 日目：アクティブな偵察。通常はデータが盗まれ、攻撃者のインフラにアップロードされる。
14 ～ 21 日目：盗んだログイン情報を使用して、PsExec または WMIC が攻撃対象のドメインコントローラで実行される。 Mazeランサムウェアが拡散し、ネットワークがダウン。企業は大混乱に陥り、対応に追われる。

対策（IoC）

標的にされた場合でも、攻撃を防ぐ機会はあります。上記の攻撃はいずれもログやアラートで異常として表示されるため、防御する側はそれを検知して対応することができます。大企業であれば、膨大な数の異常アラートが発生するはずですから、護りを固め、自社にとって重要な脅威に焦点を当てることが重要です。
これらを複雑にしているのが、新型コロナ感染症の蔓延による混乱です。リモートワーカーやインフラへの負担が大きくなり、それに伴う複雑なセキュリティが求められているからです。しかし、残念ながらMaze/Snakeランサムウェアファミリーを利用した攻撃は弱体化していないため、エンドポイントのウイルス対策を社内全体に展開することが必要不可欠です。AMP for Endpointsを利用している方には、以下のIOC（侵害の痕跡）が重要です。

TrickBotとその亜種：
W32.TrickBot.ioc

コバルトストライクSMBビーコン：
W32.AnomalousNamedPipeUsage
W32.PossibleNamedPipeImpersonation.ioc

PowerShellエクスプロイト：
W32.PowershellPostExploitationLoaderLaunch.ioc

Mimikatzとログイン情報アクセストリガー：
W32.MimikatzDumpCredentials.ioc
W32.PowersploitModuleDownload.ioc
W32.InvokeMethodExploitationFrameworks.ioc
System Process Protection（SD.Block.SPP）

ランサムウェアインジケーター：
W32.PossibleRansomwareShadowCopyDeletion.ioc
W32.BCDEditDisableRecovery.ioc

Ryukランサムウェア：
W32.MAP.Ransomware.rewrite
W32.RyukRansomware.ioc
W32.RyukARPTableScan.ioc

Mazeランサムウェア：
W32.MazeRansomware.ioc

結論

現時点では、Mazeランサムウェアグループが日本や日本の企業であるを攻撃しようとしていたことを裏付ける具体的なデータはありません。日本時間の7月15日午後12時の時点（攻撃が発生した後、ないしは脅威アクターが攻撃を宣言した後）で攻撃を報告している情報源は3つのみで、いずれもTwitterアカウントです。これまでの経緯から、脅威アクターグループは無差別に攻撃を行っており、日本国内の複数の企業を攻撃しようとしていた可能性が高いと考えられます。これまでのところ、Mazeによる攻撃の被害を受けたとされるのは株式会社TMWのみです。