AhnLab ASEC 分析チームは Magniber ランサムウェアが2022.12.09に配布を再開したことを確認した。従来はセキュリティアップデート関連のファイル名を含んでいたが、新型コロナウイルスが猛威を振るう時期に Magniber ランサムウェアも新型コロナウイルス関連のファイル名を含んで配布されていることを確認した。
| C:\Users\$USERS\Downloads\COVID.Warning.Readme.2f4a204180a70de60e674426ee79673f.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.502ef18830aa097b6dd414d3c3edd5fb.msi C:\Users\$USERS\Downloads\COVID.Warning.Readme.a179a9245f8e13f41d799e775b71fdff.msi |
Magniber は過去、Internet Explorer の脆弱性を利用してユーザーの特別な動作を必要とせず、Web ページへのアクセスだけでドライブ・バイ・ダウンロード攻撃によりランサムウェアに感染させていた。しかし、MicroSoft が Internet Explorer のサービスを終了すると、新たなブラウザの脆弱性を利用することをあきらめ、ソーシャルエンジニアリング手法を用いてセキュリティアップデートや、前述したような新型コロナウイルス関連のファイル名を配布し、実行をユーザーの手に任せている。
これは、Magniber ランサムウェアだけでなく過去に GandCrab を、その後は BlueCrab、現在は Lockbit3.0 を配布しているランサムウェアの配布者も初期の感染ベクトル(MITRE ATT&CK ID: TA0001)は脆弱性からソーシャルエンジニアリング手法へと、ユーザーによる実行形式へと変更した。結局、サプライチェーン攻撃、脆弱性攻撃等にかかる工数よりもユーザーを騙して実行させるほうが、より簡単だということである。
Magniber ランサムウェアは既に共有した通り、Chrome ブラウザでは .msi ファイルでダウンロードされ、Edge ブラウザでは .zip でダウンロードされる。しかし、外部から流入したファイルの実行を尋ねる確認ウィンドウがなく、クリックするとすぐに実行されるため、ユーザーは信頼できないサイトへのアクセスには特に注意しなければならない。
| COVID.Warning.Readme.[ランダムな値] MS.Update.Center.Security.KB[ランダムな値] SYSTEM.Antivirus.Hotfix.[ランダムな値] ERROR.Software.Log.Hotfix.[ランダムな値] |
上記に記載されているファイル名のように、攻撃者はセキュリティや最新の社会トレンドワードを使用して実行を誘導する。今一度、信頼できないサイトへのアクセスは控えるようにし、知らないうちにダウンロードされたファイルは実行しないようにしなければならない。
[ファイル検知]
- Ransomware/Win.Magniber.R541176 (2022.12.12.02)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報