初期アクセスから暗号化まで9日間：偽のZoomインストーラー経由でBlackSuitランサムウェアを展開する事例が報告される

初期アクセスから暗号化まで9日間：偽のZoomインストーラー経由でBlackSuitランサムウェアを展開する事例が報告される

Securityonline[.]info – March 31, 2025

脅威アクターが偽のZoomダウンロードを利用してコーポレート環境へ入り込み、BlackSuitランサムウェアをネットワーク中に展開した巧妙な攻撃事例について、The DFIR Reportが紹介。これは、ステルス性能とソーシャルエンジニアリング戦術、また多層から成るツール群を組み合わせることで、ランサムウェアペイロード展開前にシステムを最大限制御するという巧妙な攻撃手法のお手本のような事例だったという。

2024年5月に発生したこの攻撃はまず、Zoomの公式サイトを模した偽Webサイト「zoommanager[.]com」からスタート。このサイトの出来栄えは本物とほぼ見分けがつかない作りになっており、被害ユーザーは疑うことなく「ダウンロード」ボタンをクリックしてしまったという。これにより、Innno Setupを使って作られた悪性インストーラーがインストールされることに。

このインストーラーには、Pascalベースのローダーであるd3f@ckloaderが隠されており、これを用いてペイロードフォルダをWindows Defenderから除外するためのバッチスクリプトを実行すると、次段階のIPアドレス（Steamコミュニティ）から2件のアーカイブファイルをダウンロードする。うち1件は正規のZoomインストーラーで、これにより悪意あるアクティビティをマスキングしてユーザーに疑われる危険性を下げようとする。2つ目のペイロードはIDATローダーで、これはMSBuild.exeプロセスへSectopRATを注入するために使われるという。

観測された事例では、SectopRATは1週間以上にわたって密かにアクセスを維持し、目立ったアクションは行わずにC2コンフィグレーションを求めてPastebinへのビーコニングを行っていた。その後C2トラフィックが確立され、アクティビティは8日間ストップ。9日目にはレッドチームフレームワークであるBrute RatelやCobalt Strikeが展開されたほか、psexec_pshによってラテラルムーブメントが行われ、プロキシ「QDoor」を通じてRDPのトンネリングが行われた。

さらに、侵害されたファイルサーバーにはWinRARがダウンロードされ、これを使ってターゲットのディレクトリを圧縮したのち、SaaSプラットフォームBublupへ約1GB分のデータを抽出。またWinRARの使用により、ストレージサイト「temp.sh」から、以下のファイルを含むRARアーカイブがフェッチされた。なおここでは、WinRARのような正規ツールを用いて、検出をますます難しいものにしようとする試みが行われている。

• 123.exe（BlackSuitランサムウェアのペイロード）
• PsExec.exe
• comps[1-4].txt  
• COPY.bat
• EXE.bat

123.exeランサムウェアはCOPY.batによって複数のリモートホストへ配布され、EXE.bat見よって暗号化プロセスが開始。vssadminを使ってシャドウコピーが削除されてローカルファイルが暗号化され、ランサムノートが投下された。

この事例では、TTR（Time-to-Ransom）、つまり初期アクセスから暗号化に至るまでの期間が194時間超（およそ9日間）だったとのこと。The DFIR Reportの記事では、さらに詳細な分析結果やタイムライン、インジケーターなどが紹介されている。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性