AhnLab ASEC 分析チームは、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。このような対応を続けていたところ、11/29基準で Magniber ランサムウェアが拡散を中断した現状を捕捉した。
最近の Magniber ランサムウェアの製作者は、拡張子の変更、インジェクション、UAC 回避手法などの様々なアンチウィルス検知を回避する試みを行っており、ファイル、メモリ、AMSI 検知などをはじめとする、ASEC 分析チームの継続的な対応の過程を経て、10月以降、MSI 拡張子形態に配布方式が固定化していた。
このような Magniber ランサムウェアの配布方式の変化により、ASEC 分析チームは MSI 形態で拡散している Magniber ランサムウェアの検知を主な目的とする Ransomware/Win.Magniber.XG20, Ransomware/Win.Magniber.XG21 の検知をはじめとした様々な検知を追加し、積極的な対応を進めていたところ、11/29基準で Magniber ランサムウェアの配布が中断されたことを確認した。
下段の[図1]は Ransomware/Win.Magniber.XG20, Ransomware/Win.Magniber.XG21 に割り当てられたそれぞれの検知追加による Magniber ランサムウェアの拡散量の変化の推移を示したものである。まず Ransomware/Win.Magniber.XG20 検知の場合、検知追加以降2022年11月15日を基準に約1日間、Magniber ランサムウェアの配布が一時的に中断されていたことが捕捉された。次に Ransomware/Win.Magniber.XG21 検知の場合、検知が有効になった2022年11月22日を基準に約1日間、Magniber ランサムウェアが一時的な配布中断状態であることを確認した。その後約1週間、配布が続いていたが2022年11月29日を基準に MSI 形態で配布される Magniber ランサムウェアの配布が中断され、現在まで約1週間拡散が中断されている。
[図1] Ransomware/Win.MagniberXG20, Ransomware/Win.Magniber.XG21 検知追加に伴う Magniber ランサムウェアの拡散状況
本記事は Magniber ランサムウェアの配布中断状況と ASEC 分析チームの対応プロセスを中心に説明した。Magniber ランサムウェアは様々なアンチウィルス回避技法を搭載して配布されており、その配布方式も素早く変化しているマルウェアである。配布が中断されたということは、逆説的に見れば新たな配布方式への変更や、新たなアンチウィルス回避技法の搭載による激動の焦点になる場合があるため、継続的に監視しなければならない。
[ファイル検知]
- Ransomware/Win.Magniber.XG20 (2022.11.08.03)
- Ransomware/Win.Magniber.XG21 (2022.11.22.00)
[ビヘイビア検知]
- Ransom/MDP.Edit.M1947
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報