AhnLab Security Emergency response Center(ASEC)は、ドメインのタイプミスを悪用したタイポスクワッティング(Typosquatting)手法によって、活発に配布されていた代表的なマルウェアである Magniber ランサムウェアの拡散を継続的にモニタリングし、迅速に対応してきた。Magniber が使用するインジェクション手法の遮断ルールが配布された以降の8/15には、以下のような内容の記事をブログで公開した。
その後、Magniber 製作者は様々な検知回避テストを実行しながら数を軽減させていたが、8/25基準で Magniber ランサムウェアの配布が中断されたことを確認した。
2016年に Magniber が初めて登場して以来、このように長い時間の間、配布を中止して休息を持ったことはない(通常2週間から1カ月以内に新たな手法で検知を回避して再配布を開始)。検知ルールの数量グラフは以下の通りである。8月25日を基点として検知が報告されていない上、配布も中止されていることを確認した。
Magniber ランサムウェアは様々なアンチウィルス回避技法を搭載して配布され、その配布方式も素早く変化するマルウェアである。配布が中断されたということは、逆説的に見れば新たな配布方式への変更や、新たな脆弱性、さらなるアンチウィルス回避技法の搭載による激動の焦点になる場合があるため、継続的に監視しなければならない。
[Magniber 振る舞い検知]
– Ransom/MDP.Magniber.M4687 (2022.08.03.03)
– Ransom/MDP.Magniber.M4683 (2022.07.19.00)
[Magniber ファイル検知]
-Ransomware/Win.Magniber.C5468545(2023.08.09.02)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報