AhnLab SEcurity intelligence Center(ASEC)では、著作権侵害の警告/履歴書偽装の内容を活用したランサムウェア/インフォスティーラーマルウェアについて継続的に紹介してきた。
- [注意]履歴書と公正取引委員会を詐称したマルウェアの拡散[1]
- 履歴書/著作権に関するメールとして拡散しているマルウェア (ランサムウェア、インフォスティーラー)[2]
- 著作権侵害に関する内容で拡散している Makop ランサムウェア[3]
- 履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中[4]
- 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中[5]
- 著作権関連のメールに偽装した LockBit ランサムウェアの拡散[6]
- LockBit ランサムウェア、類似したファイル名で大量拡散中[7]
- LockBit 2.0 ランサムウェア、履歴書に偽装して継続的に拡散中[8]
- 履歴書を装って配布される LockBit ランサムウェアと Vidar InfoStealer[9]
最近、著作権侵害に対する警告内容を基にした新しいマルウェアの配布が確認されたため、紹介していく。
1. 概要
電子メールの本文内容は従来とあまり変わらないが、マルウェアを配布する方式で変化が確認された。従来は、電子メールにパスワードを設定した圧縮ファイルを添付したが、電子メール内に外部リンクを記入してダウンロードを誘導する方式に変更された。
本文内の「著作権違反内容を確認する」という内容のハイパーリンクをクリックすると、圧縮ファイルがダウンロードされる。圧縮ファイルに別途のパスワードは設定されていないが、最初にダウンロードされる圧縮ファイル(Lee eu***_240423.zip)の内部には「著作権に関する内容整理.alz」という ALZip 圧縮ファイルが追加で存在する。
上記の図3は、該当のファイルがダウンロードされるページの Web ソースを表したものであるが、Base64 でエンコードされた文字列データをデコードするのに atob 関数を利用しており、このデータを圧縮ファイルフォーマットでユーザー PC に保存する。解析過程で同じ圧縮ファイルがダウンロードされる Web ページをさらに確保したが、このページの Web ソースフォーマットはすべて同じである。図1と同じフォーマットのフィッシングメールを通じてマルウェアが配布されている状況が確認された。
この Web ページからダウンロードされた圧縮ファイルには、別途のパスワードが設定されていないが、内部には alz フォーマットの圧縮ファイルがさらに存在する。圧縮オプションの設定によるアンチウイルス製品の検知を回避しようとする試みであると判断される。
圧縮ファイルを最終的に解凍すると、アレアハングル/Excel アイコンの実行ファイル2つを確認することができる。2つの実行ファイルは、それぞれインフォスティーラータイプの Vidar マルウェアと Beast ランサムウェアであることが確認された。
- 著作権侵害に関する内容整理_240423 必ずご確認の上、措置願います1.exe (Excel アイコン、Vidar Infostealer)
- 著作権侵害に関する内容整理_240423 必ずご確認の上、措置願います.exe(アレアハングルアイコン、Beast Ransomware)
2つの実行ファイルを同時に配布した事例として、同じハッシュを持つファイルの名前を異なるように製作してともに添付したケースもあるが、今回のケースのようにランサムウェア&インフォスティーラーをともに添付して配布した事例も多数存在した。これは、著作権侵害関連の内容だけでなく、LockBit ランサムウェア配布で頻繁に使われる履歴書偽装内容のフィッシングメールでも頻繁に確認される。どのファイルを実行しても、ユーザーの PC で不正な振る舞いが実行されるように意図したものと見られる。
2. Beast ランサムウェア
Beast ランサムウェアは、Monster ランサムウェアを製作および配布した攻撃グループが Monster ランサムウェアよりさらに進化したバージョンのランサムウェアとして製作したものと知られている。解析過程で、感染結果による2種類の Beast ランサムウェアを確保することができたが、1つは原本ファイルを暗号化してランサムノートとともに圧縮後、ファイル拡張子の語尾に「[被害システム ID].BEAST.zip」を追加するものであり(図6)、もう1つは「[被害システムID].BEAST」を追加するものである。(図7)
しかし、図7で確認できるように、原本ファイルを暗号化した後、圧縮フォーマットに変更しないタイプであったが、ランサムノートには以下のメッセージのように圧縮フォーマットに変更したことを暗示する内容が記載されている。図7の Beast ランサムウェアは、製作過程で意図せずに圧縮を実行できなかったものと判断される。
- “If you found this document in a zip, do not modify the contents of that archive!“
また、このランサムウェアは、有効な SMB ポートをスキャンするが、これは感染システムで接続できる共有フォルダーを検索し、連鎖的なネットワークの拡散感染を意図したものと判断される。
3. Vidar Vidar インフォスティーラー
Beast ランサムウェアと一緒に配布されたもう1つのファイル(Excel アイコン)は、ユーザー情報を流出する機能を持つインフォスティーラータイプの Vidar マルウェアであることが確認された。Vidar マルウェアは、情報窃取の振る舞いを実行する前に C2 サーバーに接続してコマンドを受け取り、さらに複数の DLL ファイルをダウンロードすることでユーザーの情報を収集する特徴がある。
一般的なインフォスティーラー型マルウェアとは異なり、情報流出のターゲットを Web ブラウザや電子メールのクライアントなどのユーザーアカウント情報だけをターゲットとに限定せず、Web ブラウザの場合は Cookie、AutoFill、クレジットカード番号などの様々な情報と、ユーザーの PC に存在するファイルまでもが窃取対象となり得る。
図8で確認できるように Vidar マルウェアは C2 サーバーとの通信で、公開プラットフォームである Telegram と Steam Community を活用する。このページで識別文字列を検索し、C2 アドレスを探して通信するもので、これを参考にして実際の C2 サーバーに接続し、収集した情報を窃取する。もし、セキュリティ製品によって既存の C2 が遮断されても新しい C2 サーバーを開設して内容のみ変更すれば良いため、ネットワーク検知を回避する目的でこのような方式を使用する。
4. 結論
攻撃者がシステムを感染させた後、ファイルの復号化に対する身代金として提示する金額はすべて途方もなく大きい金額だけでなく、その金額を支払ったとしても被害システムのデータが復旧や、希望する要請が受け入れられるという保障はない。そのため、疑わしいファイルは最初から実行しないことが重要である。
履歴書詐称/著作権違反内容を活用したランサムウェアは、今回の事例のように内部のマルウェアを変更したり、配布方式を変更しながら持続的に配布されているため、ユーザーは特に注意する必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。
[ファイル検知]
Ransomware/Win.Generic.R646126 (2024.04.24.02)
[振る舞い検知]
Ransom/MDP.Decoy.M1171
[IOC]
78cee04912b214f3436e3fed0c8a120f
bbda482f1ecce55c24e1a444c03da58e
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報