マグニバー(Magniber)ランサムウェアの攻撃者は、V3 の診断を回避するために進化を続けてきた。AhnLab ASEC ブログを講読してきた読者であれば、AhnLab とマグニバーランサムウェア製作者の間で繰り広げられている、追いつ追われつの長い歴史についてはよくご存知だろう。
マグニバーの配布者は、AhnLab の創立記念日(3/15)による休日を狙い、これまで使用してきた脆弱性(CVE-2020-0968)の代わりに、CVE-2021-26411脆弱性へと緊急変更した。AhnLab ASEC 分析チームは、このような検知回避の試みを素早く認知するための自動対応および収集システムを構築、運営しており、当該システムを通じて今回 CVE-2021-26411脆弱性スクリプトに変更されたことをすぐ捕捉することができた。この脆弱性は3月9日に Microsoft からセキュリティパッチが配布されたため、Internet Explorer ユーザーはなるべく早くパッチを適用する必要がある。V3 ユーザーの場合、行為検知機能を通して、このようなファイルレス(Fileless)形態の脆弱性攻撃を事前に遮断することが可能である。
参考 – 過去の脆弱性変更:
- Magniber ランサムウェア拡散における脆弱性の変更(CVE-2018-8174 -> CVE-2019-1367)
- Magniber ランサムウェア拡散における脆弱性の変更(CVE-2019-1367 -> CVE-2020-0968)および行為診断回避の実行)
変更された最新の CVE-2021-26411 脆弱性は、Google と Microsoft および複数のセキュリティ業界に従事している研究員の情報を奪取するために北朝鮮が使用した Internet Explorer の脆弱性コードと非常に類似している部分が多い。
参考ページ
New campaign targeting security researchers(Google)
ZINC attacks against security researchers(Microsoft)
Hacking group also used an IE zero-day against security researchers(Lazarus グループ推定)
Internet Explore の0-day 解析
上記の情報奪取の試みはすべて MHTML ファイルを利用して codevexillium[.]org への接続を Internet Explorer に接続するように誘導していた(MHTML 実行の基本プロセスである Internet Explorer の使用を誘導)。当該ページ(codevexillium[.]org)は、脆弱性を持っている JS コードを含んでおり、以下のように収集されたマグニバーが使用するコードと非常に類似していることがわかる。
*引用元: https://enki.co.kr/blog/2021/02/04/ie_0day.html
*引用元: https://enki.co.kr/blog/2021/02/04/ie_0day.html
Internet Explorer ユーザーはマグニバー攻撃に非常に脆弱である。セキュリティ研究者を狙った攻撃でも Internet Explorer の使用を誘導するために MHTML ファイルで配布している状況から鑑みても、セキュリティに脆弱なプログラムの使用は避けなければならない。
AhnLab V3では、上記のような攻撃について行為基盤検知機能を通して、ファイルの暗号化が実行される前に遮断している。
V3 行為検知の診断名
– Malware/MDP.Inject.M2906
– Malware/MDP.Inject.M3431
脆弱性変更前/後の V3 行為検知の診断名に対する変化は、以下の通りである。一日平均で400~600件の遮断ログが確認されていた行為ルール M3379番が、3月15日には129件と急激に減少し、行為ルール M2906番が、545件に急増していることがわかる。マグニバーの製作者による新しい脆弱性への変更が急速に行われているだけに、ユーザーの注意が必要である。
Categories:マルウェアの情報