今度の投稿では、 LockBit 3.0 ランサムウェア 攻撃の事例を分析し、実際の攻撃が実行される行為とそれを防ぐ方法を説明します。
LockBit 3.0 ランサムウェア とは?
LockBit 3.0 ランサムウェア(LockBit Black)とは、ランサムウェア犯罪組織のLockBitが作ったランサムウェアです。2019年の9月に初攻撃が発生し、アップグレードされたLockBit 2.0では2021年の7月末まで活動し続けてきました。このグループは世界中の企業に対して多大な損害を与え、2022年の7月上旬、LockBit 3.0でバージョンアップして再び登場しました。LockBit 3.0プログラムに感染されると、他のランサムウェア攻撃と同様に感染されたデバイスの全てのファイルが暗号化され、感染されたデバイスのデータを復旧あるいは流出を防ぐためには身代金(Ransom)を払えと要求します。
また、Bleepingcomputerの記事によると、最近LockBit 3.0のビルダーソースコードがオンラインに流出・拡散され、LockBit 3.0のビルダーを悪用して自主的な攻撃を行う他の攻撃者またはランサムウエアグループがもっと増加する見込みです。つまり、これからもっと多い企業がランサムウエアを通じて打撃を受けることが予想される深刻な保安イシューです。
出典:Bleepingcomputer (https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/)
履歴書に偽装したLockBit 3.0 ランサムウェア配布のメール
2022年9月14日、ある企業のメールに次のような履歴書メールが受信されました。メールのタイトルは「水原健太郎」で人と名前のような形をしていました。メールは入社の申し込みをするために履歴書を送るという内容でした。下のメールはLockBit 3.0ランサムウェアの悪性コードを配布するために履歴書に偽造された攻撃メールでした。CIPチームは、その攻撃メールと添付されたランサムウェアの悪性コードを分析してみました。
メールの内容は入社の申し込みに関する内容ですが、詳しく見ると文章の文脈が合っていなかったり、文法が間違っている部分が多いです。企業の入社志望のメールを書くときは特に文法に気を付けるのが普通ですが、上のメールはまともな入社志望者のメールだとは言えないほど文法がめちゃくちゃです。また、別の添付ファイルもなく、「ポートフォリオ確認」というテキストにファイルダウンロードのリンクが入れてあります。
スパムメールのブロックソリューションを破って入ったフィッシングメール
メールの内容は入社の申し込みに関する内容ですが、詳しく見ると文章の文脈が合っていなかったり、文法が間違っている部分が多いです。普段、企業の入社志望のメールを書くときは特に文法に気を付けるのが普通ですが、該当メールはまともな入社志望者のメールだとは言えないほど文法がめちゃくちゃです。また、別の添付ファイルもなくて、「ポートフォリオ確認」というテキストにファイルダウンロードのリンクが入れてあります。
リンクをクリックすると、「Resume4.7z」という名前の圧縮ファイルがダウンロードされ、圧縮を戻すと最終的に「履歴書5.exe」ファイルが確認されます。
「履歴書5.exe」ファイルのアイコンは一見Wordファイルのように見えますが、詳しく見るとWordファイルにみえるよう偽造されたアイコンです。また、ファイルの拡張子がワードファイルに使われる「.doc」ではなく、実行プログラムの拡張子である「.exe」になっています。
攻撃が発生しても被害がないよう仮想の環境で「履歴書5.exe」プログラムを実行してみました。
履歴書ワードファイルに偽装したLockBit 3.0の
ランサムウエアプログラムを実行する前(左)と後(右)の壁紙アイコンの変化
ランサムウエアプログラムを実行する前(左)と後(右)の壁紙アイコンの変化
上のスクリーンショットにあった「.png」、「.jpg」、「.doc」ファイルの拡張子が全て「aHnwAFWcS」という拡張子に変更されました。ファイル名も無作為型のファイル名に変更され、アイコンはLockBitグループのロゴアイコンに変更されました。
時間がもっと経つと、壁紙のイメージもLockBit Blackのメッセージが込めたイメージに変更されました。
LockBit 3.0 ランサムウエア攻撃を受けたPCの壁紙、
ファイルが全て暗号化され、TXTファイルを実行しろというメッセージが書いてある
ランサムウェアノートに入ったLockBit 3.0ダークウェブサイト
壁紙の内容によってREADME.txtというファイル名のランサムウエアノートを探して実行してみると、次のような内容が示されます。
~~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.Tor Browser Links:
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onionhttp://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onionhttp://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onionhttp://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onionhttp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onionhttp://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onionhttp://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onionhttp://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onionhttp://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onionLinks for normal browser:http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion.lyhttp://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd.onion.lyhttp://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion.lyhttp://lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd.onion.lyhttp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd.onion.lyhttp://lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onion.lyhttp://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion.lyhttp://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onion.lyhttp://lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd.onion.ly
身代金を払わないとデータをTorダークウェブサイトに流出させるという脅迫と共にLockBit 3.0ダークウェブサイトのリンクが添付されています。テキストファイルに案内されたIDでリンクにアクセスし、身代金を払うことを要求する内容です。OnionのリンクにアクセスするためにはTorブラウザを使わなければなりませんが、このランサムウェアの開発者はご親切にドメインの最後の部分に「.ly」を付け、別のブラウザを設置しなくてもアクセスができるようにしました。
下のイメージはCriminal IPのドメイン検索にLockBit 3.0のリンクを検索した結果です。
Criminal IP ドメイン検索にLockBit 3.0ウェブサイトのリンクを検索した結果
CIPのドメイン検索は、検索したドメインにアクセスする際に他のURLにリダイレクトされる際、最終の目的地のリンクまでスキャンしてその経路を示します。また、該当ページのリアルタイムスクリーンショットも確認ができて、間接的にページに接近することができます。
LockBit 3.0のウェブサイトは検索結果のProbability of Phishing URLを確認してみると99.74%の高い確率でフィッシング悪性ドメインに確認されます。最終スコアは80%で、やはり悪性URLに認知しました。
実際LockBit 3.0ウェブサイトアクセス画面のスクリーンショット。
感染したサイトや解読の制限時間が示される
スクリーンショットを見ると、LockBit 3.0のウェブサイトにみえるロゴや文句が確認され、感染された様々なサイトの暗号解読の制限時間が示されています。
実際にLockBit 3.0の攻撃を受けた被害者らはこのウェブサイトにアクセスして身代金を払うか、払わずに装置に保存されたデータを全て失ってしまいます。敏感な情報がダークウェブサイトに流出される場合もあります。
LockBit 3.0 悪性コード ファイルの攻撃行為の分析結果
CIP チームはLockBit 3.0ランサムウェア攻撃に使われたexeファイルの攻撃行為を分析しました。
VirusTotal LockBit 3.0 悪性コード ファイルの分析結果
履歴書5.exe ファイルの行為を把握するためにVirusTotalにファイルをアップロードした結果は次の通りです。
LockBit 3.0のexe実行ファイルをVirusTotalで分析した結果
合計71個のAnti Virusワクチンのうち、44個のワクチンが「履歴書5.exe」ファイルをウィルスで検知し、「13.107.4.52」のIPアドレスが5回関連したことを確認できます。
また、履歴書5.exe実行の際、96F1.tmpというファイルがどこかに保存され実行されることがわかり、これもやはり71個のワクチンの中で56個のワクチンが検知した結果があります。
96F1.tmpファイルに対してVirusTotalの分析も行いました。
96F1.tmp ファイルの場合、Drop Fileではなく、
Execution Parentsに該当するファイルが多数確認されました。
すなわち、LockBit 3.0ランサムウェアの攻撃実行の順番は「履歴書5.exe」ファイルがDropper(特定ファイルを使用者が認知しない間にダウンロードして実行)の役割をし、96F1.tmp(実行ファイル)を通じてランサムウェアが動作する仕組みであることが分かります。
96F1.tmpにも「履歴書5.exe」と同様に13.107.4.52のIPアドレスが連関されていて、二つのファイルに同じIPが連関されたとみえます。該当IPアドレスは攻撃者が使う感染されたゾンビサーバーのC2(Command&Control server)だと類推できます。
Criminal IP IT資産検索の分析
LockBit 3.0 ランサムウェアの実行ファイルを分析して確認されたC&Cサーバーと推測されるIPアドレスをCriminal IP IT資産検索に検索してみました。
LockBit 3.0 攻撃に使われたC2サーバと推定される
IPアドレスのIPインテリジェンス結果
IP インテリジェンスの分析結果、KISA、MISPなどでBlacklist IPとして登録されているCriticalなIPアドレスと判断され、Whois情報のAS NameとOrganization NameにMicrosoft Azureの企業情報を偽称していました。
LockBit 3.0 ランサムウエア攻撃予防チェックリスト
企業のセキュリティ担当者はLockBit 3.0ランサムウェア攻撃行為の分析内容に従い、下記のチェックリストを常時にチェックする必要があります。
- LockBit 3.0 ランサムウェア悪性コードに関わったIPアドレスをセキュリティシステムのBlacklistに登録する
- 履歴書などのメールを送信された際、内容に疑わしいところがあるか確認し、疑わしいファイルが添付されている場合は閲覧しない
- 不明な出所の添付ファイル、URLリンクを開くならCriminal IPドメイン検索に検索してドメインの安全性を先に確認する
- 疑わしいファイルの場合、VirusTotalにアップロードして安全なファイルか確認する
現在、グループ内の開発者により流出されたLockBit 3.0ビルダーソースコードのため、数多くのハッカーが独自的にこのような攻撃を行う恐れがあります。企業のセキュリティ担当者はBlacklist IPを最新化すると伴い、脅威インテリジェンスを用いて受けたメールの疑わしいリンクやアクセスするドメインが悪性かどうかなどを必ず点検すべきです。関連してはDDos攻撃に対してIPインテリジェンスで対応する方法についての投稿をご参照ください。
0コメント