正常な Windows インストーラー(MSI)に偽装した Magniber の配布が再開 (2/22)

ASEC 分析チームは2月22日の午前、Magniber ランサムウェアが、これまでの Windows アプリケーション(APPX)の形式ではなく正常な Windows インストーラー(MSI)に偽装して配布を再開したことを確認した。MSI の拡張子で配布されている Magniber のファイル名は、以下のように Windows アップデートファイルに偽装している。

  • Critical.Update.Win10.0-kb4215776.msi
  • Critical.Update.Win10.0-kb6253668.msi
  • Critical.Update.Win10.0-kb5946410.msi

MSI パッケージファイルは、正常な Windows アップデートにも使用される一種のインストール Framework である。Magniber は MSI パッケージファイル内に Magniber ランサムウェアの DLL を忍ばせて配布されている。

[図1] fup6xl85 バイナリ(DLL)を含んだパッケージ

MSI は基本的に Custom Action テーブルを通じて DLL のエクスポート関数呼び出し機能を提供する。Magniber の攻撃者はこの点を悪用して MSI の実行時に Magniber ランサムウェアの DLL エクスポート関数が実行されるようにしている。

https://docs.microsoft.com/ja-jp/windows/win32/msi/custom-actions

[図2] CustomAction 内に表示された fup6xl85 の k7167475hu エクスポート関数呼び出し

実行された DLL によるファイルの暗号化が終了すると、DLL は「C:\Users\Public」パスに権限の昇格およびボリュームシャドウの削除を行う EXE(PE ファイル)をドロップして実行する。

このほかにも、過去の Windows アプリケーション(APPX)の証明書と、今回の配布に使用された MSI ファイルの証明書が同一な点が特徴である。

[図3] Magniber ランサムウェアの証明書情報

現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。それだけではなく、旧バージョンの Internet Explorer ユーザーをターゲットにして、既知の CVE-2021-40444 脆弱性を再利用して Magniber ランサムウェアを配布しているため、ユーザーは出どころが不明なサイトにアクセスしないようにしなければならない。

現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。

[IOC]
[Magniber dll 生成パス]
– C:\Windows\Installer\MSI[ランダムの4文字].tmp

[Magniber exe 生成パス]
– C:\Users\Public\[ランダムのファイル名].exe

[Magniber dll ファイル検知]
– Ransomware/Win.Generic.C4978350 (2022.02.22.03)

[Magniber msi ファイル検知]
– Ransomware/MSI.Magniber (2022.02.24.01)

[Magniber exe ファイル検知]
– Ransomware/Win.Magniber.C4979399 (2022.02.25.00)

[Magniber 権限昇格ビヘイビア検知]
– Escalation/MDP.Magniber.M4217 (2022.02.25.03)

[Magniber dll MD5]
41f2bb0eb5c9731931748894c8bba581
5523c42788189336b50e00338676dc31
7822d28811afd739006b73db15d2b5a2
30665fb2dffafe5d7e3cfab4cf4d79dc
b6169c34b6eef8ebe21ae10904967385
0dfe349ff646b008b7ce6a8104f6e8c5
5efae9ad4bc66f7be01eca20277858aa
30a5ef2f39530eb3ffe61cb8153650e2
56cabf4dcdc963c8efd8dd4969825724
406e382d80ce29d0f0f02a9b1a258d40
166402b5dfa0717dfdc00702910ff354
fd4c042ef1e26410121b069744daf19d
1c09a97b26fff2465692df0a5cafc4e0
74d3f742a0110d11786e27ea3c6a4b59
78412c65ac9a1954f373961c0ddbc9ef
d9a63429fefa067c0ece510e6e22e1a4
dfdddf236603918bf4359716412c97fb

[Magniber msi MD5]
d417420973f452e41d9d5709fc76f8dd
f49194f0e8ced22850d91f231829d877
93425b7d09d179450b92f91b0942ef0b
37ebfc01406f7cde2741b3b73e77b991
b3ece680f2d56d0ce3d95f97dd36487b

[Magniber 権限昇格およびボリュームシャドウ exe ファイル MD5]
48c1b6749e85996dd8ce5f4fdd2409ee
07383337456b932e0a968d8c47372b8e
8e9928cd833340feda92d92155d2b0f3

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

5 1 vote
評価する
guest