Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中

ASEC 分析チームでは最近、Amadey Bot マルウェアが LockBit ランサムウェアのインストールにて使われていることを確認した。Amadey Bot は、2018年ごろから確認されているマルウェアで、攻撃者の命令を受けて、情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。

Amadey は過去、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop ランサムウェアとして有名な TA505 グループによって FlawedAmmyy をインストールする際に使用されたりしたことがある。このほかにも、最近では韓国国内の有名なメッセンジャープログラムに偽装して配布された履歴がある。

• 韓国国内の有名メッセンジャープログラムに偽装して拡散している Amadey Bot

LockBit ランサムウェアをインストールする際に使用する Amadey は現在までに2種類の方式で配布されていることが確認された。一つは不正な Word ドキュメントファイルであり、もう一つは Word ドキュメントファイルのアイコンに偽装した実行(.exe)ファイルである。

配布事例1) 不正な Word ドキュメントファイル

以下は「シムシア.docx」という名前で VirusTotal にアップロードされた不正な Word ドキュメントである。このマルウェアは External 形式の Word ドキュメントであり、開くと以下のアドレスから不正な VBA マクロが含まれた Word をダウンロードする。

本文を見ると、VBA マクロ有効化のために「コンテンツの有効化」ボタンをクリックするように誘導する図が含まれている。

ユーザーが「コンテンツの有効化」ボタンをクリックすると、ダウンロードされた VBA マクロが実行される。この VBA マクロは不正な LNK ファイルをインストールする機能を担っている。LNK ファイルは「C:\Users\Public\skem.lnk」のパスに生成され、以下のようなコマンドで実行される。

> rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk

LNK ファイルは PowerShell コマンドを実行して外部から Amadey をダウンロードして実行させる、ダウンローダーマルウェアである。

配布事例2) Word ファイルに偽装した実行ファイル

このほかにも「履歴書.exe」というファイル名で収集された事例も存在する。攻撃に使用された電子メールは確認されていないが、「履歴書.exe」という名前のファイル名で実行されている点や、圧縮プログラムにより生成されている点、また以下のように正常な Word ドキュメントファイルのアイコンを装っている点から見て、メールの添付ファイルを通じて Amadey がインストールされたものと推定できる。以下は、2022年10月27日頃に収集された実行ファイルである。

Amadey Bot

上記で取り上げた2つの Amadey はどちらも同じ C&C サーバーおよびダウンロードアドレスが使用されていることから、攻撃者は2つのタイプによって Amadey Bot を配布したものと推定される。これらのプロセスを通じて実行された Amadey は、まず Temp パスに自身をコピーしたあと、タスクスケジューラに登録して再起動後も実行されるようにする。

> “c:\windows\system32\schtasks.exe” /create /sc minute /mo 1 /tn rovwer.exe /tr “c:\users[ユーザー名]\appdata\local\temp\0d467a63d9\rovwer.exe” /f

その後、C&C サーバーに接続して感染先システムの基本情報を伝達したあと、コマンドが渡される。C&C サーバーに伝達する感染先システムの情報、および情報窃取目的のプラグイン等、Amadey の機能に関連した詳しい内容については、以下のブログですでに取り上げている。

• SmokeLoader によって拡散している Amadey Bot

Amadey が C&C サーバーから渡されたコマンドは全部で3つあり、これらは外部からマルウェアをダウンロードして実行するダウンローダーのコマンドである。「cc.ps1」、「dd.ps1」の2つは PowerShell 形式の LockBit ランサムウェアであり、「LBB.exe」は exe 実行ファイルフォーマットの LockBit ランサムウェアである。それぞれ、以下のように C&C サーバーのレスポンスで表示される名前のパスに生成される。

– %TEMP%\1000018041\dd.ps1
– %TEMP%\1000019041\cc.ps1
– %TEMP%\1000020001\LBB.exe

LockBit 3.0 ランサムウェア

ダウンロード後は、それぞれ生成した LockBit ランサムウェアを実行する。PowerShell ファイルは難読化されており、LockBit ランサムウェアをメモリ上に復号化して実行される構造になっている。

参考に、Amadey はダウンロードしたファイルが PowerShell である場合、以下のようなコマンドを使用する。

> “c:\windows\system32\windowspowershell\v1.0\powershell.exe” -executionpolicy remotesigned -file “c:\users[ユーザー名]\appdata\local\temp\1000018041\dd.ps1”

Amadey を通じてインストールされている LockBit ランサムウェアは、2022年頃から韓国国内をターゲットに拡散が続いており、すでに以下のように ASEC ブログでも取り上げている。具体的には最近使用されている LockBit 3.0 バージョンであり、主にエントリーシートや著作権のようなテーマを利用して配布されていることから、企業を攻撃のターゲットにしているものと推定される。

• 履歴書および著作権に関するメールで LockBit ランサムウェアが拡散中 (2022年2月掲載)
• 著作権関連のメールに偽装した LockBit ランサムウェアの拡散 (2022年6月掲載)
• 入社志望内容に偽装したメールで拡散している NSIS 形式の LockBit 3.0 ランサムウェア (2022年9月掲載)
• Word ドキュメントを通じて拡散する LockBit 3.0 ランサムウェア (2022年9月掲載)

LockBit ランサムウェアは、ユーザー環境に存在するファイルを感染させたあと、デスクトップの背景を以下のように変更してユーザーに知らせる。そして、各フォルダーごとにランサムノートを生成してシステムに存在するデータがすべて暗号化のうえ窃取されたという事実を知らせ、暗号化したファイルの復号化およびデータ流出を条件に身代金を要求する。

最近、LockBit ランサムウェアが様々な方式で拡散しており、ユーザーの注意が必要である。使用しているアプリケーションおよび V3 を最新バージョンにアップデートして使用するようにし、出どころが不明なドキュメントファイルは開かないようにしなければならない。

[ファイル検知]
– Downloader/DOC.External (2022.10.31.02)
– Downloader/DOC.Generic (2022.10.31.02)
– Trojan/LNK.Runner (2022.10.31.02)
– Malware/Win.Generic.R531852 (2022.10.27.03)
– Trojan/Win.Delf.R452782 (2021.11.24.02)
– Ransomware/Win.LockBit.R506767 (2022.07.27.01)
– Ransomware/PowerShell.Lockbit.S1945 (2022.10.29.00)

[AMSI 検知]
– Ransomware/PowerShell.Lockbit.SA1945 (2022.10.29.00)

[ビヘイビア検知]
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Event.M1875
– Ransom/MDP.Behavior.M1946

[IOC]
MD5
– 13b12238e3a44bcdf89a7686e7179e16 : 不正な Word ドキュメント (シムシア.docx)
– ae59e82ddd8d9840b79bfddbe4034462 : ダウンロードされた VBA マクロのマルウェア (v5sqpe.dotm)
– bf4d4f36c34461c6605b42c456fa4492 : ダウンローダー LNK (skeml.lnk)
– 56c9c8f181803ece490087ebe053ef72 : Amadey (1234.exe)
– bf331800dbb46bb32a8ac89e4543cafa : Amadey (履歴書.exe)
– ad444dcdadfe5ba7901ec58be714cf57 : Amadey Stealer Plugin (cred.dll)
– f9ab1c6ad6e788686509d5abedfd1001 : LockBit (cc.ps1)
– 1690f558aa93267b8bcd14c1d5b9ce34 : LockBit (dd.ps1)
– 5e54923e6dc9508ae25fb6148d5b2e55 : LockBit (LBB.exe)

C&C およびダウンロード
– hxxp://188.34.187[.]110/v5sqpe.dotm : External リンク
– hxxp://188.34.187[.]110/1234.exe : Amadey ダウンロードアドレス
– hxxp://62.204.41[.]25/3g4mn5s/index.php : Amadey C&C
– hxxp://62.204.41[.]25/3g4mn5s/Plugins/cred.dll : Amadey Stealer Plugin ダウンロードアドレス
– hxxp://188.34.187[.]110/dd.ps1 : LockBit
– hxxp://188.34.187[.]110/cc.ps1 : LockBit
– hxxp://188.34.187[.]110/LBB.exe : LockBit

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。