ランサムウェアの背後にいる攻撃者は、2021年は主に多重恐喝の手口を組み込んだ攻撃キャンペーンに注力していました。本ブログ記事では、ランサムウェア「LockBit」/「Conti」グループに焦点を当てます。この2つのグループは、多国のさまざまな組織に対して暴露型ランサムウェアキャンペーンを展開したことからも明らかなように、2021年第4四半期に活発な攻撃活動を繰り広げていました。
続きを読む本稿では、ランサムウェアファミリー「White Rabbit」を解析し、この新規ランサムウェアファミリーが駆使する、よく知られた検出回避の手法について解説します。トレンドマイクロは、2021年12月、米国の地方銀行を攻撃した新たなランサムウェアファミリー「White Rabbit」を確認しました。このランサムウェアファミリーは、既によく知られたランサムウェアファミリー「Egregor」を参考にした隠ぺい手法を備えており、サイバー犯罪者グループ「FIN8」と関連する可能性があると見られています。
図1:ランサムウェアの実行のコマンドラインを示すSysTracerのログ例
rabbit.exeの引数として-p KissMe が使用されていることがわかる
トレンドマイクロは、ランサムウェア「LockBit」が侵入時に用いるツール群を追跡調査する中で、2021月10月のアンダーグラウンドフォーラム「RAMP」内でアフィリエイト(攻撃を行う実行犯)候補者に向けた「LockBit Linux-ESXi Locker version 1.0(ESXiサーバを標的とするLinux版LockBit 1.0)」の告知を発見しました。これは、「LockBit」ランサムウェアの背後にいるサイバー犯罪者グループ(LockBitグループ)が、攻撃対象をLinuxホストにまで拡大したことを示しています。トレンドマイクロは10月以降、Linux版LockBit 1.0による実際の攻撃活動を観測しています。
続きを読む■ 新たな脆弱性への迅速な対応が求められるセキュリティチーム
昨今のサイバー攻撃では、ソフトウェアの脆弱性を悪用する手口が増加しています。代表的なものとして、トレンドマイクロでは新型コロナウイルスによるテレワークの普及に伴って需要が高まったVPNの脆弱性を悪用する通信がここ数年で増加していることを確認しています。これらは、例えばランサムウェア攻撃において攻撃者が標的のネットワーク内部に侵入するために積極的に悪用されています。また、日本国内において企業から公表された情報漏えい事例をトレンドマイクロが整理・集計したデータにおいても、インシデントが発生した原因のうちおよそ4割が脆弱性を占めています。組織におけるセキュリティインシデントを防ぐために、自組織をとりまくIT環境が抱える脆弱性を適切に対処することが求められています。
図 1:企業から公表されたWeb/クラウドからの情報漏えい事例 89 件における事故原因割合
(2021 年上半期, 公表内容を元にトレンドマイクロが独自に集計)
2021年2月、トレンドマイクロはランサムウェアファミリ「Conti」による攻撃に関連した一連の疑わしいイベントに対して警戒を強めていたところ、弊社製品であるTrend Micro Vision Oneによって攻撃の痕跡を確認しました。Contiは悪名高いランサムウェアファミリ「Ryuk」の後継とされていました。実際、攻撃者は次第に、過去にRyukの拡散に使用された手法と同じ手口で不正プログラムを配信するようになりました。たとえば、他のマルウェアファミリ「Trickbot」、「Emotet」、「BazarLoader」がContiの配信に使用されています。本稿では、商用のペネトレーションツール「Cobalt Strike beacon」がContiによってどのように使用されているか、またトレンドマイクロがTrend Micro Vision Oneプラットフォームを使用してContiによる脅威をどのように追跡したのかを解説していきます。
続きを読むUnix系OSのコンピュータをWindowsのドメインコントローラやファイルサーバなどとして利用するために導入されるオープンソースソフトウェア「Samba」の開発元は、同ソフトウェア4.13.17以前のバージョンで見つかった、ヒープ領域内において境界外読み取り/書き込みが可能となる脆弱性に対応する修正パッチをリリースしました。この脆弱性は、脆弱性リサーチャーグループ「STAR Labs」のNguyễn Hoàng Thạch氏およびBilly Jheng Bing-John氏によって、トレンドマイクロの脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が運営するハッキングの世界大会「Pwn2Own Austin 2021」において初めて存在が示され、開発元へ情報が提供されました。次いでZDIのLucas Leong氏がこの脆弱性の追加亜種を発見し、同様にSambaの開発元へ提供されました。今回の一連の脆弱性は、脆弱性リサーチャーグループ「DEVCORE」のOrange Tsai氏からもSambaの開発元へ報告されました。
今回の脆弱性が悪用されると、攻撃者は、Samba がインストールされたシステム上で任意のコードをリモートで実行することが可能となります。この脆弱性を悪用する際、認証の必要はありません。脆弱性自体は、Samba サーバデーモン(smbd)において、ファイルを開く際のEA(Extended Attributes、拡張属性)メタデータの構文解析処理内に存在しているからです。攻撃者は、この脆弱性を悪用することで、root権限でコードを実行することができます。
続きを読む- 【追記情報:2021年2月3日(木)】「「Samba」とは?」「過去に確認されたSambaでの脆弱性リスク」の項目を追加、「推奨される対策、暫定的な緩和策」に一部追記しました。
2022年1月31日、Unix系OSのコンピュータをWindowsのドメインコントローラやファイルサーバなどとして利用するために導入されるオープンソースソフトウェア「Samba」の更新版がリリースされ、新たな3つの脆弱性に対処しました。そのうち最も深刻な脆弱性であるCVE-2021-44142は、ヒープ領域内において境界外読み取り/書き込みが可能となる脆弱性です。これにより、遠隔から攻撃者が影響を受ける端末上でroot権限として任意のコードを実行できる可能性があります。
続きを読むトレンドマイクロは、16進表記 / 8進表記のIPアドレスを用いてパターンマッチングの検出回避を試みるEmotetスパムキャンペーンを観測しました。どちらのキャンペーンもソーシャルエンジニアリングの手法を用いており、メール受信者を騙して添付ファイルのマクロ機能を有効化させることでマルウェアを自動で実行させます。一連の処理を受け取ったオペレーティングシステム(OS)は、自動的にそれらの値をドット付き10進表記に変換し、外部サーバからの要求を実行します。個人ユーザおよび法人組織は、Emotetからダウンロードされる「TrickBot」や「Cobalt Strike」などの第二段階で配信されるマルウェアを侵入させないためにも、スパムメール / 不正コンテンツの検出機能やブロック機能、および関連する対策機能を有効化してキャンペーンに警戒する必要があります。
続きを読む