ASEC 分析チームは、過去に紹介した方法と同様の、著作権法違反の内容に偽装したフィッシングメールによって LockBit ランサムウェアが再び拡散していることを確認した。今年2月に拡散したフィッシングメール(下記のリンクを参照)の本文と類似した内容で作成されており、従来と同様、添付されたファイル名に圧縮ファイルのパスワードが記載されて配布されている。
[図2] のように、フィッシングメールに添付された圧縮ファイルには、追加の圧縮ファイルが存在していることが確認できる。
内部の追加圧縮ファイルを解凍すると、[図3]のような PDF ファイルアイコンに偽装した実行ファイルが存在している。
このファイルは[図4]のように NSIS ファイルであることが確認でき、nsi スクリプトの内容を確認したところ、「162809383」のデータファイルをデコードして、再帰処理およびインジェクションすることで不正な振る舞いが行われていた。
このランサムウェアは被害の復旧を防ぐためにボリュームシャドウコピーを削除する。また、ランサムウェアを持続的に実行させるためにレジストリ Run キーへの登録と、LockBit_Ransomware.hta をデスクトップにドロップして、壁紙の変更および再起動後も実行されるようにレジストリに登録する。
| bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no vssadmin delete shadows /all /quiet wmic shadowcopy delete |
その後、実行中のドキュメントファイルの感染および解析を回避するために多数のサービスとプロセスを終了する。
| wrapper, vmware-converter, vmware-usbarbitator64, MSSQL, MSSQL$, sql 等 |
| winword.exe, QBDBMgr.exe, 360doctor.exe, Adobe Desktop Service.exe, Autorunsc64a.exe, Sysmon.exe, Sysmon64.exe, procexp64a, procexp64a.exe, procmon.exe, procmon64.exe, procmon64a, procmon64a.exe, Raccine_x86, ProcessHacker.exe 等 |
特定のサービスおよびプロセスを終了させると暗号化が実行され、ドライブタイプが DRIVE_REMOVABLE、DRIVE_FIXED、DRIVE_RAMDISK である場合に暗号化が行われる。暗号化除外フォルダー/ファイル名および拡張子は以下の通りである。
| system volume information, windows photo viewer, windowspowershell, internet explorer, windows security, windows defender, $recycle.bin, Mozilla, msbuild, appdata, windows 等 |
| .mp4 .mp3 .reg .ini .idx .cur .drv .sys .ico .lnk .dll .exe .lock .lockbit .sqlite .accdb .lzma .zipx .7z .db 等 |
暗号化されたファイルは .lockbit の拡張子と特定のアイコンを持っており、Restore-My-Files.txt というファイル名のランサムノートが暗号化されたフォルダー内に生成される。
このように、著作権に関する内容に偽装したランサムウェアの配布は過去から継続的に行われている。また、このタイプのマルウェアを配布する目的の電子メールには実際の作家の名前が含まれており、ユーザーが不正なメールであることを認知できずに添付ファイルを開いてしまうおそれがあるため、ユーザーは特に注意が必要である。
[ファイル検知]
Malware/Gen.Reputation.C4312359
[ビヘイビア検知]
Malware/MDP.SystemManipulation.M1751
[IOC 情報]
- 3a05e519067bea559491f6347dd6d296 (eml)
- 74a53d9db6b2358d3e5fe3accf0cb738 (exe)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報