バンキングマルウェア「ZBOT(別名:Zeus)」は、過去20年間で最も多くの被害をもたらした古くから存在するマルウェアファミリの1つです。ZBOTは2006年に初めて登場した後、2011年にアンダーグラウンドフォーラム上にそのソースコードを流出させたことで、その後数年間にわたって企業や組織を悩ませる新たな亜種を数多く登場させることになります。
最近確認されたZBOTの中で最も注目すべき亜種の一つが「Zloader」です。2019年後半に「Silent Night」という名前で初めてコンパイルされたZloaderは、情報窃取型マルウェアに始まり、「Cobalt Strike」、「DarkSide」、「Ryuk」などの他のマルウェアやツールをインストールして実行するための手段を攻撃者に提供する多機能ドロッパーへと高度化してきました。さらにZloaderは、攻撃者にリモートアクセス(遠隔操作)を提供したり、さらなる不正活動を可能にするプラグインをインストールしたりする機能も備えています。
続きを読む先日、大手燃料供給会社であるColonial Pipeline社を狙ったランサムウェア攻撃が話題になりました。この事例は、「DarkSide」と名乗るサイバー犯罪者グループの仕業であるとされており、この件により同グループの名前が注目を浴びることになりました。サイバー犯罪者が世間の話題に便乗した攻撃を行う傾向にあることを踏まえると、この事例に便乗して独自のソーシャルエンジニアリングを駆使した他の攻撃者や攻撃キャンペーンが登場しても不思議ではないと考えられます。そして実際に、「DarkSide」の知名度に便乗する「偽者」が現れ、エネルギー業界や食品業界の複数の企業に脅迫メールを送っていたことが確認されました。
図1:DarkSideを装った攻撃者が送信した脅迫メールの一例
続きを読む2021年5月に米国の石油パイプライン大手Colonial Pipeline社を操業停止に追い込んだランサムウェア「DARKSIDE」は、前回の記事で解説したように、米国、フランス、ベルギー、カナダなどの地域で、製造業、金融業、基幹インフラの企業などを標的にしています。またWindowsおよびLinux双方のプラットフォームも標的としています。この記事では、Linux版「DARKSIDE」ランサムウェアの動作を解説します。Linux版では特に、VMware ESXIサーバ上の仮想マシン関連ファイルを標的とし、事前に組み込まれた環境設定により仮想マシン(VM)を強制終了する点や、感染端末上のファイルを暗号化した後、窃取したシステム情報をリモートサーバに送信する挙動などをもっています。DARKSIDE自体は既に活動停止状態と考えられていますが、WindowsだけでなくLinux環境にも感染する、仮想環境をも攻撃対象とするなどの活動は、攻撃を受けた組織の被害を一層拡大させる可能性があり、他のランサムウェアでも行われる可能性が高いものであることに留意してください。
Windows版およびLinux版のDARKSIDEランサムウェアの動作の違いをまとめると、以下のとおりとなります。
| Windowsバージョン | Linuxバージョン | |
| 暗号化の仕組み | RSA-1024によるSalsa20 | RSA-4096によるChaCha20 |
| 暗号化ブロック | Salsa20のマトリックスがカスタムとなり「RtlRandomExW」でランダムに生成される | ChaCha20の初期ブロックは標準的なものであり、定数文字列「expand 32-byte k」で構築される |
| 環境設定 | 暗号化される | 暗号化されない |
| VMを強制終了するか | しない | する |
| 暗号化の標的となるファイル | 設定に記載されているファイル、フォルダ、ファイル拡張子を除く、システム上のすべてのファイル | VMware ESXIサーバ上のVM関連ファイル(環境設定に記載されている特定のファイル拡張子を持つもの) |
| 新たに追加される拡張子 | 感染端末のHWIDを「.4731c768」としてCRC32を数回適用して生成する | 埋め込み設定により「.darkside」としてハードコード化されているか、実行パラメータで付与される |
| 脅迫状のファイル名 | README.という設定でハードコード 化された部分と、前述の生成されたIDで構成される。例えば「README. 4731c768.TXT」 | 埋め込み設定により「darkside_readme.txt」としてハードコード化されているか、実行パラメータで付与される |
表1:WindowsおよびLinuxにおけるDARKSIDEの比較
続きを読む最終更新日:2021年5月17日 当初公開日:2021年5月13日
※当初公開日以降の新たな展開および追加情報に基づき、本文および「MITRE ATT&CK」の表を更新
※ トレンドマイクロでは、2021年5月21日(金)14時より本件の緊急ウェビナーを実施します。詳細はこちらをご覧ください。
2021年5月7日、ランサムウェア「DARKSIDE」の攻撃により、米国東海岸における燃料供給の約半分を担うColonial Pipeline社が操業停止に追い込まれました。これにより、ガソリン、ディーゼル、家庭用暖房油、ジェット燃料、軍需品などの貯蔵庫が大きな影響を受け、連邦自動車運送業者安全局(FMCSA)は、不足分を補うため18の州で緊急事態を宣言しました。攻撃に伴う操業停止からすでに5日が経過しましたが、同社では、現在もフル操業を再開できない状態が続いています。アトランタ市では30%のガソリンスタンドでガソリン不足が発生しており、他の都市でも同じような状況となっています。必要なサービスへの供給を維持するため、政府は買いだめをしないようとの勧告を出しています。
トレンドマイクロリサーチは、ランサムウェア「DARKSIDE」の検体を数十件確認し、このランサムウェアの挙動や、標的とされた企業や組織について調査しました。
の例.jpg)
トレンドマイクロでは日夜脅威の監視と対応を行っています。その中からさまざまな脅威が利用する高度に開発された攻撃手法に着目しました。ランサムウェアにおいては、新たな暗号化型ランサムウェアファミリ「DARKSIDE(ダークサイド)」が出現する一方で、別のランサムウェアファミリ「CRYSIS」(別名Dharma)を背後で操る攻撃者がハッキングツールキットを一般に公開しました。メッセージ機能を悪用する脅威においては、攻撃対象を絞った標的型メールの送信活動(キャンペーン)を介して情報窃取型マルウェア「NEGASTEAL(ネガスティール)」(別名Agent Tesla)が拡散されました。またファイルレス活動を行う脅威においては、不正マイニングを狙い、コインマイナーが正規アプリケーションにバンドルされ頒布されていることが確認されました。
続きを読む
