Magniber ランサムウェアの変化(*.msi -> *.cpl) – 7/20

2022年2月から Magniber ランサムウェアは Internet Explorer ブラウザの脆弱性ではなく、Windows インストールパッケージファイル(.msi)形式で配布されている。

https://asec.ahnlab.com/jp/32161/

有効な証明書が含まれており、MSI ファイルの内部に DLL 形式で配布されていたが、7/20(水)からは MSI ファイルではなく CPL 拡張子(Windows Control Panel Item)によって配布されていることが確認された。

[図-1] 従来の MSI ファイルの配布状況

上記の図のように、従来の MSI ファイルの拡散状況が落ち着ているように見えるが、Magniber ランサムウェアの攻撃者は MSI ファイルから CPL ファイルに配布経路を転換したことがわかる。

(2022/07/19) MS.Upgrade.Database.Cloud.msi
(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome ブラウザ)
(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge ブラウザ)

[図-2] 広告サイトおよび偽装サイトによってリダイレクションされたランサムウェアの配布ページ(Chrome ブラウザ)

Chrome ブラウザの場合、cpl ファイルがそのままダウンロードされるが、Edge ブラウザの場合は cpl ファイルのダウンロードがブロックされるため、.zip ファイルに圧縮されて配布されている。

[図-3] Edge ブラウザから .cpl ファイルをダウンロードする際のブロック画面
[図-4] 広告サイトおよび偽装サイトによってリダイレクションされたランサムウェアの配布ページ(Edge ブラウザ)

Magniber の攻撃者は Edge ブラウザからも .cpl ファイルを配布しているが、ブラウザからダウンロードがブロックされるや否や .zip に変更して配布を開始した。

[図-5] 配布ページからダウンロードされた Windows コントロールパネルファイル(.cpl) (Magniber ランサムウェア)
[図-6] Chrome ブラウザを利用した Magniber ダウンロード時のプロセスツリー

ダウンロードされた [Magniber].cpl ファイルをユーザーが実行する場合、Windows の正常なプロセスである control.exe が rundll32.exe を利用して cpl ファイルを動作させる。

[図-7] Magniber ランサムウェアのランサムノート

現在、Magniber は最新バージョンの Windows 版 Chrome、Edge ブラウザのユーザーをターゲットに、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)の手法で配布されている。したがって、ユーザーがタイプミスしたドメインによって今回の事例のようなランサムウェアの配布につながる可能性があるため、特に注意が必要である。

現在 AhnLab では、Magniber ランサムウェアについて以下の通り対応している。

[IOC]
[ファイル検知]
Ransomware/Win.Magniber.C5211694 (2022.07.20.02)

[ビヘイビア検知]
Ransom/MDP.Magniber.M4379 (2022.07.22.02)

[.cpl MD5]
C49DD67AFB59A85FBCBC77C412338255

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments