企業をターゲットとするサイバー攻撃が日に日に増加している。この5月だけでも、米国の最大送油管運営企業がランサムウェアによる攻撃を受け、送油管施設の稼働が全面中断する事例があった。また、韓国国内の有名なデリバリープラットフォーム企業もランサムウェアによる攻撃を受け、数万個の店舗とライダーが被害を受けた。
韓国の科学技術情報通信部が報道した資料[1]によると、<直近3年間の韓国国内ランサムウェア通報現況>は、年々増加している状況である。ランサムウェアは企業のサービス運用と内部の機密情報を人質にとり、仮想通貨を要求する。最近になって仮想通貨の価格が大幅に上がったため、すぐにサービスの運用再開を必要とする立場である企業をターゲットにして、攻撃が増加しているのである。
マルウェアの機能においても、企業をターゲットとする攻撃が増加している状況を確認できる。一般の個人ユーザーか企業かを確認して、異なる機能が動作するようにしている。多数のユーザーが存在する企業の特性上、システムが AD(Active Directory)環境で構成されたドメインに属している場合が大半である。マルウェアは、ドメインの存在有無によって企業であるかどうかを判断している。ドメインに参加しているシステムの場合、アカウントの奪取と内部伝播のためにハッキングツールをインストールしたり、追加のマルウェアをダウンロードしたりする。マルウェアは企業情報を奪取し、最終的にはランサムウェアを実行する。
これまで AhnLab が解析して公開したマルウェアのうち、企業をターゲットにしたマルウェアには以下のような事例がある。参考に、バックドアやダウンローダー系のマルウェアはランサムウェアを直接生成、および実行するのではなく、ハッキングツールで制御するためのバックドアを追加でインストールして企業のシステムを掌握している。以降、攻撃者はハッキングツールを利用してシステムにランサムウェアを実行する。現在までに確認された攻撃はすべて Cobalt Strike ハッキングツールを利用していた。
- BazarLoader, BazarBackdoor
- Ryuk Ransomware
- Hancitor Downloader
- BlueCrab Downloader
- Snake Ransomware
- FlawedAmmyy Downloader
BazarLoader がダウンロードする BazarBackdoor は、ユーザーの PC 情報および企業の環境情報を収集する。攻撃者との C&C 通信によって送信されるデータの中には、接続ドメイン名、接続されたドメインのリソース(PC 名)リスト、ドメインの信頼関係リスト、Administrators グループに属するメンバーのリスト、ドメイン管理者アカウントの結果等がある。企業であると確認された場合、他のマルウェアをダウンロードするダウンローダー機能を実行する。海外の感染例をもとに見たとき、CobaltStrike を利用して Ryuk や Conti のランサムウェアを企業システムで実行している。詳細内容は AhnLab TIP レポートで公開されている。[2]
Ryuk ランサムウェアは韓国国内の某企業でも被害が発生したランサムウェアであり、企業のドメインコントローラを奪取したあとに拡散された。ランサムウェア自体でも内部ネットワークをスキャンして SMB 共有フォルダーにアクセスし、伝播する機能がある。詳細内容は AhnLab TIP レポートで公開されている。[2]
Hancitor はスパムメールの添付ファイルとして配布されるダウンローダーで、追加のマルウェアをダウンロードする。過去には情報流出型マルウェアをダウンロードしていたが、最近では FickerStealer という情報流出型マルウェアをダウンロードする。このとき、システムがドメインに属している場合は以下のようにドメイン情報が伝達され、FickerStealer の代わりに Cobalt Strike をインストールする。詳細内容は AhnLab TIP レポートと ASEC ブログで公開されている。[3]
BlueCrab ランサムウェアの拡散プロセスにおいて、ドメインの環境変数を通して企業かどうかを確認する機能がある。企業でない場合、BlueCrab ランサムウェアがインストールおよび実行されるが、企業である場合は Cobalt Strike ハッキングツールがインストールされる。C&C サーバーへ接続する前にユーザーシステムの %USERDNSDOMAIN% 環境変数の存在有無を確認することでチェックする。詳細内容は AhnLab TIP レポートと ASEC ブログで公開されている。[4]
現在は出現していないが、2020年6月に発生した Snake ランサムウェアは、IP 等のネットワーククエリを通して企業かどうかを確認していた。これは、少数の特定企業だけをターゲットにした特異なケースであり、当時はホンダ等が標的企業であった。詳細内容は ASEC ブログで公開されている。[5]
FlawedAmmyy バックドアをダウンロードするマルウェアは、企業かどうかによって機能の動作を区別している代表的な例である。「cmd.exe /c net user /domain」コマンドにより得られた結果に応じて、企業かどうかを確認する。一般的な個人ユーザーはデフォルトの設定名である WORKGROUP が出力されるが、企業の場合はドメイン名が出力される。それ以降の機能は、企業であるという条件に該当した場合のみ動作する。詳細内容は AhnLab TIP レポートと ASEC ブログで公開されている。[6]
上記のような企業をターゲットとした攻撃は、大半がソーシャル・エンジニアリングの手法を用いた電子メールの添付ファイル、またはフィッシング Web サイトにより始まる。実際に韓国国内の企業の被害事例も、大規模に配布された電子メールから始まっていた。企業内の職員のうち一人でも不正ファイルを実行してしまえば、大規模な被害につながることがあり得る。個人ユーザーの注意だけでなく、企業のインフラの観点からも徹底した管理が必要である。主なアカウント管理やサーバーセキュリティ、アクセスポリシー制御等で被害を予防したり、脅威を軽減させることができる努力に注意を傾けなければならない。
[1] https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=112&pageIndex=&bbsSeqNo=94&nttSeqNo=3180261&searchOpt=ALL&searchTxt=
[2] BazarLoader(BazarBackdoor) マルウェア解析レポート、https://atip.ahnlab.com/Contents/IssueReport/MalwareAnalysisReport
[3] 企業 AD 環境で CobaltStrike ハッキングツールをインストールする Hancitor Word ドキュメント、https://asec.ahnlab.com/jp/23068/
[4] CobaltStrike を配布する BlueCrab ランサムウェア解析レポート、https://asec.ahnlab.com/jp/20066/
[5] 特定企業の環境でのみ動作するように設計されたSnakeランサムウェア、https://asec.ahnlab.com/jp/17077/
[6] 企業ユーザーをターゲットにしてインストールされるハッキングツール、Ammyy (CLOPランサムウェア)、https://asec.ahnlab.com/jp/15899/
Categories:マルウェアの情報