ランサムウェア「Nefilim」事例の内部活動調査から見えた事前の情報窃取の可能性

Trend Microが海外で提供する「Managed XDR」とインシデントレスポンス(IR)チームは、2020年3月に初めて発見されたランサムウェア「Nefilim(ネフィリム)」の侵入を受けた企業の事例を調査しました。この調査から、Nefilimを使用する攻撃者によるネットワーク侵入後の巧妙な活動と、標的組織に対する事前の情報入手の可能性が明らかになりました。

■攻撃の時系列

2020年3月中旬、ネットワーク挙動監視ソリューション「Trend Micro Deep Discovery Inspector (DDI)」の利用により、Nefilimの活動が確認されました。

DDIではまずファイルダウンロードの動きをとらえました。ダウンロードされたファイルは実際にはマルウェア(「Trojan.Win64.NEFILIM.A」として検出)であり、仮想専用サーバ(VPS、Virtual Private Server)がホストするサーバからRAR形式のアーカイブファイルをダウンロードする活動を持っていました。最初のファイルのダウンロードから数時間後、実際に以下の複数のファイルを含むRARファイルをダウンロードしようとする動きがありました。

  • ランサムウェアの本体ファイル
  • リモートコマンドを実行する「Psexec.exe」
  • サービスを停止するまたは プロセスを強制終了させるバッチファイル
  • 「c:\ Windows \ Temp」上で、複数のホストへのサービスを停止またはプロセスを強制終了するバッチファイルを頒布する「copy」コマンドを使用するバッチファイル
  • 「c:\ Windows \ Temp」上で、ランサムウェアファイルを複数のホストへ頒布する「copy」コマンドを使用するバッチファイル
  • 「c:\ Windows \ Temp」の複数のホストへのサービスを停止もしくはプロセスを強制終了するバッチファイルを頒布するために、Windowsの正規ツールWMI(Windows Management Instrumentation)を利用するバッチファイル。ハードコードされた管理者の認証情報を含む
  • ランサムウェアファイルを「c:\ Windows \ Temp」の複数のホストへ頒布するため、WMIを利用するバッチファイル。ハードコードされた管理者の認証情報を含む
  • サービスを停止またはプロセスを強制終了するバッチファイルをリモートで実行するために、「psexec.exe」を実行するバッチファイル。ハードコードされた管理者の認証情報を含む
  • 「psexec.exe」を実行して、ランサムウェアファイルをリモートで実行するバッチファイル。ハードコードされた管理者の認証情報を含む
  • サービスを停止またはプロセスを強制終了するバッチファイルをリモートで実行するために、WMIを利用するバッチファイル。ハードコードされた管理者の認証情報を含む
  • ランサムウェアをリモートで実行するため、WMIを利用するバッチファイル。ハードコードされた管理者の認証情報を含む

 マルウェアはRARファイル内のバッチファイルを組み合わせて利用し、以下の動作を行いました。

  • 「copy」コマンドまたはWMIによって、ランサムウェアとサービスの停止またはプロセスを強制終了するバッチファイルの双方を頒布する
  • 窃取された管理者の認証情報を利用し、「PSexec」または「WMI」によるリモート実行を可能にする

トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security™(DS)」もまた、不審な動作をシステム上で確認していました。それは、Windows系コマンド「CMD」を利用した「taskill.exe」の終了アクションの呼び出しから始まり、次に「SMBv1」と「PSExec」を介したリモートコード実行の動きがシステム上に見られ、最終的にランサムウェアであるNefilimの活動が検出されました。

今回の攻撃の時系列からDDIのログに基づき、感染の流れが判明しました。まず、マルウェア「Trojan.Win64.NEFILIM.A」は、 RARファイルをダウンロードし、バッチファイルを利用してネットワーク内の他のシステムに横展開を試みます。この事例において「Trojan.Win64.NEFILIM.A」が最初に侵入したのは、リモートアクセスが可能なCitrixサーバでした。 本記事執筆時点ではどのようにしてこのサーバに「Trojan.Win64.NEFILIM.A」が侵入したのか、攻撃者がサーバに何らかの方法で直接アクセスしたのか、またはフィッシングや脆弱性などの他の手段を利用したのかは不明です。

加えて、RARファイルの内容は、攻撃者が今回狙われた企業の環境に精通していることを示唆しています。内部のIPアドレス、管理者のユーザ名およびパスワード、サービス、そしてプロセスは、すべて具体的にバッチファイル内に列挙されていました。さらに、トレンドマイクロのクラウド型セキュリティ基盤「Smart Protection Network(SPN)」のデータは、米国で確認されたインシデントと関係性があること、そして標的を絞った攻撃であったということを示しています。

以前のランサムウェア事例では、露出した「Remote Desktop Protocol(RDP、リモートデスクプロトコル)」のポートを侵入口とする場合があることがわかっています。しかし今回調査された事例では、攻撃者が他の侵入方法を使用している可能性があることに注意してください。いずれにせよ、攻撃の対象とした環境に直接アクセスするため、何らかの形でリモートアクセスを行なった可能性が高いものと考えられます。

■データ窃取とランサムウェアの組み合わせ

この事例からわかることは、今回の活動の背後にいる攻撃者はランサムウェアによるファイルの暗号化のみに頼っているわけではないということです。 攻撃者は、このランサムウェア攻撃を仕掛ける前に、すでにこの企業のデータを窃取していた可能性があります。それは、IPアドレスや管理者のユーザ名およびパスワードなどのネットワーク情報が、バッチファイル内にハードコードされていたことからも推測できます。Nefilimを使用する攻撃者が特に巧妙とされるのは、企業から窃取したデータを公開する恐れがあるためです。これは、企業が二重に打撃を受ける可能性を示唆しています。データを失う脅威に加えて、企業はそれらのデータをオンライン上に公開されてしまうリスクに晒されます。こういった手法は珍しいものではなく、 「Sodinokibi」や「DoppelPaymer」など、他のランサムウェアを利用した活動でも確認されています。

今回の攻撃は、攻撃の兆候だけでなく、攻撃の対象となった環境内における横方向移動やデータ漏えいの証拠を検知することの重要性を示しています。 最初の侵入に成功した端末に、必ず重要なデータが保持されているわけではありません。したがって、攻撃者は、より価値のあるデータが格納されているサーバなどに到達するため、ネットワーク内での横展開が必要になります。また、特定のホストから外部への異常な送信は、潜在的なデータ漏えいを表しているため、トラフィックパターンの識別を可能にすることも同様に重要です。

■トレンドマイクロの対策

今回利用された手法は、「RYUK」のようなさまざまなランサムウェアを利用する攻撃者においても、何度も確認されてきたものです。仕事が職場の外にまで及んでいるこの時代では、効果的なセキュリティ実装の必要性はこれまで以上に重大なものとなっています。 大規模な企業の場合、職場と在宅勤務の両方の環境で、作業環境の追跡が可能なセキュリティチームを構築する能力を持つこともあります。しかし、小規模の企業では環境構築のために必要なリソースを備えていない場合があります。

今回のような事例の場合、トレンドマイクロの XDRソリューションは、ネットワーク、エンドポイント、電子メール、サーバ、クラウドワークロードを連携することで検知およびレスポンス機能を統合し、広範囲な可視性と専門的なセキュリティ分析を提供し、企業のセキュリティ体制を強化するのに役立ちます。

■侵入の痕跡(Indicators of Compromise、IoCs

侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)