この数ヶ月間、サイバーリーズンのNocturnusチームは、CryptoMixランサムウェアのバリアントである「Clop」と呼ばれるランサムウェアの活動を追跡してきました。この「Clop」という名前は、ロシア語またはブルガリア語に由来するものであり、「バグ(虫)」を意味します。

主な調査結果

  • 進化する脅威:TA505は攻撃戦術を進化させており、Clopランサムウェアを最終ペイロードとして可能な限り多くのシステムへと配信することで、身代金を支払うよう圧力をかけています。身代金を支払わないClop被害者のデータは、Clopのリークサイトで公開されています。
  • 多段階攻撃:Clopを展開する前に、2つの先行ペイロードが展開されます。これにより、攻撃者は、Clopランサムウェアをダウンロードして展開する前に、侵入したネットワーク内を横方向に移動できるようになります。
  • 重大度が高い:サイバーリーズンのNocturnusチームは、この攻撃が持つ破壊的な可能性を考慮して、その脅威レベルを「高」と評価しています。
  • 検知と防止:Cybereason Defense Platformを使うと、Clopランサムウェアを完全に検知した上で防止できます。

背景

2019年に、脅威アクターであるTA505は、最終ペイロードとしてClopの配信を開始しました。TA505は、洗練されたサイバー犯罪の脅威アクターとしてよく知られており、金銭的な利益を得るために、さまざまな業種の企業や組織を攻撃しています。

2019年に、TA505グループはその主戦略を変更し、企業ネットワーク内にある資産を暗号化し、復号キーと引き換えにビットコインの身代金を要求するようになりました。

最近のClop攻撃の例としては、ドイツの大手ソフトウェア会社であるAG社に対するものが挙げられます。攻撃者は同社の内部ネットワークに侵入し、2000万ドル以上の身代金を要求しました。また、別の例では、同グループは韓国の小売業者を攻撃し、4,000万ドルの身代金を要求し、交渉が決裂した場合には200万件のカード情報を流出させると脅しました。

さらに、同グループは、身代金を支払わなかった被害者のデータをリークするためのWebサイトを運営しています。


▲Clopのリーク用Webサイトの画面ショット

感染チェーンは次の通りです。まず、悪意あるスパム攻撃が開始されると、感染したアカウントを通じて被害者に電子メールが送信されます。これは、メールの信頼性を高めるための措置です。このメールにはHTMLで書かれた添付ファイルが含まれており、メールの受信者がこのファイルを開くと、感染したWebサイトへとリダイレクトされます。

続いて、Get2ローダーをドロップする悪意あるマクロを含むドキュメントが配信されます。Get2は、SDBbot、FlawedGrace、またはFlawedAmmyをダウンロードして実行します。このシナリオでは、SDBbotは侵入したネットワーク内を横方向に移動した後、データを流出させます。そして、最終的にClopランサムウェアをダウンロードした後、可能な限り多くのシステム上でそれを展開します。


▲Clopの攻撃ツリー

Clopの分析

Clopランサムウェアは、初期状態ではパックされて圧縮されています。Clopはシェルコードをアンパックすることで、GetProcAddressやVirtualAllocのようないくつかのAPIを解決します。


▲圧縮されたPEをロードするために使われるシェルコード

続いて、このシェルコードはメモリをアロケートした後、aPLibで圧縮されたPEを書き込みます。それは、最初のバイトM8Zにより認識できます。


▲圧縮されたPEがメモリ上に展開される

アンパックされ解凍されたペイロードが明らかになると、Clopはそのバリアント内に、いくつかの指標となるミューテックスを保持していることが分かります。下記の例では、Clopは、ミューテックスBestChangeT0p^_666を作成した後、被害者のマシンにインストールされている各種のセキュリティ製品を検索し、必要に応じてそれらをアンインストールまたは無効化することで、検知され終了させられるのを逃れようとします。


▲Malwarebytesのアンチランサムウェア通知を無効化

上記の例では、ClopはMalwarebytesのアンチランサムウェア製品を検出した後、その通知を無効にすることで、ユーザーにアラートが発行されないようにします。次の例では、ClopはESETの製品を検出した場合、コマンドラインを使用して同製品をアンインストールします。


▲ESET Securityの製品をアンインストール

その他のより新しいバリアントの中には、サイレントコマンドラインによるレジストリキーの変更を通じてWindows Defenderを無効化するものや、Microsoft Security Essentialsクライアントをアンインストールするものもあります。Cybereasonは、リストされたすべてのコマンドと共に、悪意あるサンプル実行を検知します。


▲Windows Defenderの無効化(Cybereasonの攻撃ツリーによる表示)

あるClopバリアントでは、RSA公開鍵を生成し、その最初の127バイトを取得してそれをRC4鍵として使用し、Clop^_-ヘッダーを追加してそれをRC4で再度暗号化することにより、ファイルを暗号化します。ファイルが暗号化されると、暗号化された各ファイルにClopという拡張子が追加されます。


▲Clopにより暗号化されたファイルと身代金を要求するメモ

また、このフォルダ内には、身代金を要求するメモが置かれています。


▲Clopの身代金要求メモの内容

Cybereasonによる検知と防止

下記に示す分析済みのサンプルは、Clopの新しいバリアントであり、これは、その実行の開始時点でWindows Defenderを無効にします。Cybereasonは、関連するレジストリキーの変更をサイレントモードで実行しようとする悪意あるコマンドを検知します。


▲Windows Defenderのレジストリキーの変更(Cybereasonでの表示)

Cybereasonのランサムウェア防止機能をオンにすると、このサンプルの実行を防止できます。


▲CybereasonによりClopの実行を防止

MITRE ATT&CKによる分類

初回アクセス
スピアフィッシング用の添付ファイル
スピアフィッシング用のリンク
ドメインアカウント

パーシステンス
レジストリ実行キー/Startupフォルダ

権限昇格
有効なアカウント

防御回避
防御力の低下:ツールの無効化または改変

偵察
被害者のネットワーク情報の収集
情報を得るためのフィッシング

ラテラルムーブメント
リモートサービス

流出
Webサービスを通じたデータの流出
C2チャネルを通じたデータの流出

インパクト
インパクトを与えるためにデータを暗号化

C&C
Webプロトコル
チャネルの暗号化

実行
悪意あるファイル
悪意あるリンク
JavaScript/JScript

IoC(Indicators of Compromise:痕跡情報)

Clopの実行可能ファイル

SHA-1
08576e51a724bdc648c40e0dfe3c12a61e7517ca
8e56837e4d748eceb991aabd8f5a7f3c874f7010
fb66c66cd8fa805394ec7b2253238dfee89b2964
ccd147cea99c1b2e15f193a761f7a5be8da850e8
16f48624ea2a575e1bdceb4ac6151d97d4de80b6
2d92a9ec1091cb801ff86403374594c74210cd44
ab265e2897c3befea9e37b5d8b06d8afd48b0fa6
fdd274aeb22c1b8ade68b02c50f9fead0395ea64
2b44afeb746cef483929fb04f15479083ce71323
b020dbb06b2689d325e5e89fe3a66c1af7cd1597
9d97ae1a629fe2ed0ce750d1da1513c5dbf9cf8b
18281511117e39d2dc0546f110ec3aa922ea4340
e4fdc793161403a19de938288fa261b34e0444c0
0a7ab8cc60b04e66be11eb41672991482b9c0656
a6ae538be9407352f1e182ec38ad3c0b5277c8fc

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」