AhnLab SEcurity intelligence Center (ASEC)は最近、MS-SQL サーバーを対象とした攻撃をモニタリングしていたところ、TargetCompany ランサムウェアグループが Mallox ランサムウェアをインストールしている事例を確認した。TargetCompany ランサムウェアグループは主に、不適切に管理されている MS-SQL サーバーを攻撃し、Mallox ランサムウェアをインストールしている。このような攻撃は数年間にわたり続いているが、ここでは新たに確認されたマルウェアを通じて、過去の Tor2Mine コインマイナー、BlueSky ランサムウェアを配布していた攻撃事例との関連性についてまとめる。
今回の攻撃は、過去の事例と同様に不適切に管理されている MS-SQL サーバーがその対象となった。攻撃者は、総当たり攻撃および辞書攻撃により MS-SQL サーバーを攻撃したものと考えられ、SA アカウントにログイン後 Remcos RAT をインストールした。攻撃が行われてから4時間が経過するとRemcos RAT を利用し、遠隔で画面操作を行うマルウェアをさらにインストールした。攻撃者は、これらのマルウェアを通じて感染システムを調査し、情報を窃取したものと推定される。そして、他の攻撃では29時間経つと Mallox ランサムウェアをインストールして感染システムの暗号化を試みた。
1. Remcos RAT
Remcos はリモート管理のためのツールであり、販売されている商用遠隔操作ツール(Remote Administration Tool)である。しかし、他の RAT(Remote Access Trojan)マルウェアのように、キーロガー、スクリーンショットキャプチャ、Web カメラおよびマイクの制御だけでなく、システムに存在する Web ブラウザの履歴およびパスワード抽出機能のような悪意を持って使用することができる機能に対応しているため、様々な攻撃者がこれを使用している。[1]
Remcos は、スパムメールの添付ファイルやクラックに偽装した形で配布される場合も多いが、不適切に管理されている MS-SQL サーバーを対象にした攻撃でも感染システムを操作するための目的で、Cobalt Strike とともによく使用されている。[2](韓国語で提供) 2023年5月には、セキュリティ製品の検知を回避するために MS-SQL サーバーを掌握したあと、PowerShell の代わりに SQLPS ユーティリティを悪用して配布されることもあった。
今回確認された攻撃も、不適切に管理されているサーバーを対象としており、マルウェアをインストールする過程で SQLPS ツールが利用された。
攻撃に使われた Remcos RAT は 4.9.3 Light バージョンである。Light バージョンは Pro バージョンとは異なり、キーロガーやスクリーンショットキャプチャ等の機能に対応していない。以下は、Remcos RAT の実行中に復号化された設定データと代表的な設定の一部である。
| 設定 | データ |
|---|---|
| Host:Port:Password | 80.66.75[.]238:3388:1 |
| Assigned name | RemoteHost |
| Connect interval | 1 |
| Mutex | Rmc-8P1R4F |
| Keylog flag | Disabled |
| Keylog path | Application path |
| Keylog file | logs.dat |
| Screenshot flag | Disabled |
| Screenshot time | 10 |
| Screenshot path | AppData |
| Screenshot file | Screenshots |
| Audio record time | 5 |
| Audio folder | MicRecords |
| Copy folder | Remcos |
| Keylog folder | remcos |
表1. Remcos RAT の設定データの一部 [3](外部サイト、英語にて提供)
攻撃者は、Remcos RAT によりさらなるマルウェアをインストールした。始めにインストールされたものは AnyDesk と追加したユーザーアカウントにより感染システムを操作できるマルウェアであった。これは、攻撃に使用した Remcos が Light バージョンであることから、スムーズな遠隔操作のためのものと考えられる。また、別の攻撃では約29時間後に Mallox ランサムウェアをインストールして感染システムの暗号化を試みる事例も確認された。
2. 遠隔画面操作マルウェア
最初の感染から4時間後、攻撃者は Remcos RAT を利用し、遠隔操作機能を追加するマルウェアをインストールした。このマルウェアは、まず C&C サーバーの「creds」アドレスに接続し、文字列をダウンロードする。解析時点では C&C サーバーとの接続は不可能だが、「ID;PW」フォーマットの文字列をダウンロードできたものと推定され、この文字列の ID とパスワードでユーザーアカウントを追加し、管理者グループに登録する。
| URL | 説明 |
|---|---|
| https://{C&C サーバー}/creds | 追加するユーザーアカウント文字列のダウンロード (ID;PW フォーマット) |
| https://{C&C サーバー}/secret | AnyDesk インストール時に指定するパスワード文字列のダウンロード |
| https://{C&C サーバー}/desk | AnyDesk インストーラーのダウンロード (MSI) |
| https://{C&C サーバー}/gate/{AnyDesk_ID} | インストールした AnyDesk の ID 転送 |
その後、「secret」アドレスに接続して文字列をダウンロードするが、これは AnyDesk インストール後に指定するパスワードである。そして Program Files パスで「\AnyDeskMSI\AnyDeskMSI.exe」ファイルが存在するかどうかを確認するが、AnyDesk がインストールされていない場合は「desk」アドレスで MSI フォーマットの AnyDesk インストーラーをダウンロードしてインストールする。ここまでのプロセスが完了すると AnyDesk に C&C サーバーからダウンロードしたパスワードを設定して、インストールした AnyDesk の ID を入手する。最後にこのようにして入手した ID を「gate」アドレスに伝達する。
| 引数 | 説明 |
|---|---|
| –start-service | AnyDesk サービス開始 |
| –set-password | AnyDesk にパスワードを設定 |
| –restart-service | AnyDesk サービス再起動 |
| –get-id | インストールされた AnyDesk の ID を入手 |
攻撃者は C&C サーバーで受け取った AnyDesk の ID を利用して感染システムにアクセスすることができ、「secret」へ伝達したパスワードで認証を行い、感染システムの操作が可能になったと考えられる。また、追加したアカウント情報で感染システムに RDP、すなわちリモートデスクトップでログインし、遠隔画面操作も可能であったと思われる。
3. Mallox ランサムウェア
Mallox ランサムウェアは Trigona、BlueSky ランサムウェアとともに、不適切に管理されている MS-SQL サーバーを攻撃する代表的なランサムウェアの一つである。[4] 攻撃者は、別のシステムから Remcos RAT マルウェアを利用し、Mallox ランサムウェアをインストールしたりもした。
| 概要 | 説明 |
|---|---|
| 暗号化アルゴリズム | AES-256 / SHA-256,AES-128-CTR [5] |
| 暗号化拡張子 | “.rmallox” |
| ランサムノート名 | “HOW TO BACK FILES.txt” |
| 優先暗号化拡張子 | “.bak”, “.zip”, “.rar”, “.7z”, “.gz”, “.sql”, “.mdf”, “.hdd”, “.vhd”, “.vdi”, “.vmx”, “.vmdk”, “.nvram”, “.vmem”, “.vmsn”, “.vmsd”, “.vmss”, “.lck”, “.vhdx”, “.vhd”, “.dbf”, “.ora”, “.oraenv”, “.dmp”, “.ibd”, “.mdb”, “.smd”, “.mdb” |
| 暗号化除外パス | “msocache”, “$windows.~ws”, “system volume information”, “intel”, “appdata”, “perflogs”, “programdata”, “google”, “application data”, “tor browser”, “boot”, “$windows.~bt”, “mozilla”, “boot”, “windows.old”, “Windows Microsoft.NET”, “WindowsPowerShell”, “Windows NT”, “Windows”, “Common Files”, “Microsoft Security Client”, “Internet Explorer”, “Reference”, “Assemblies”, “Windows Defender”, “Microsoft ASP.NET”, “Core Runtime”, “Package”, “Store”, “Microsoft Help Viewer”, “Microsoft MPI”, “Windows Kits”, “Microsoft.NET”, “Windows Mail”, “Microsoft Security Client”, “Package Store”, “Microsoft Analysis Services”, “Windows Portable Devices”, “Windows Photo Viewer”, “Windows Sidebar” |
| 暗号化除外ファイル | “desktop.ini”, “ntuser.dat”, “thumbs.db”, “iconcache.db”, “ntuser.ini”, “ntldr”, “bootfont.bin”, “ntuser.dat.log”, “bootsect.bak”, “boot.ini”, “autorun.inf”, “debugLog.txt”, “TargetInfo.txt” |
| 暗号化除外拡張子 | “.msstyles”, “.icl”, “.idx”, “.avast”, “.rtp”, “.mallox”, “.sys”, “.nomedia”, “.dll”, “.hta”, “.cur”, “.lock”, “.cpl”, “.Globeimposter-Alpha865qqz”, “.ics”, “.hlp”, “.com”, “.spl”, “.msi”, “.key”, “.mpa”, “.rom”, “.drv”, “.bat”, “.386”, “.adv”, “.diangcab”, “.mod”, “.scr”, “.theme”, “.ocx”, “.prf”, “.cab”, “.diagcfg”, “.msu”, “.cmd”, “.ico”, “.msc”, “.ani”, “.icns”, “.diagpkg”, “.deskthemepack”, “.wpx”, “.msp”, “.bin”, “.themepack”, “.shs”, “.nls”, “.exe”, “.lnk”, “.ps1”, “.rmallox” |
| 終了対象プロセス | 参考資料を参照 |
| 終了対象のサービス | 参考資料を参照 |
| C&C アドレス | hxxp://91.215.85[.]142/QWEwqdsvsf/ap.php |
| その他 | ボリュームシャドウの削除、終了機能の無効化 |
Mallox ランサムウェアは、まず以下のようなコマンドを利用してボリュームシャドウコピーを削除し、Windows の復旧関連の機能を無効にする。
| > cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures > cmd.exe /c bcdedit /set {current} recoveryenabled no > vssadmin.exe delete shadows /all /quiet |
そして、データベースや仮想化、バックアップソリューション等のファイルの暗号化に邪魔になるプロセスおよびサービスを強制終了する。Malloxは、このほかにも以下のようなレジストリキーを設定してシャットダウン、再起動、ログアウトボタンを無効にし、ログオン画面でシャットダウン機能を無効にする等、暗号化の過程でユーザーがシステムの電源をシャットダウンしたり、再起動したりすることを妨害する。
| 設定対象レジストリ | 説明 |
|---|---|
| HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown / value / 0x00000001 HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideRestart / value / 0x00000001 HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideSignOut / value / 0x00000001 |
シャットダウン、再起動、ログアウトボタンの無効化 |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System / shutdownwithoutlogon / 0x00000000 | ログオン画面でのシャットダウン機能の無効化 |
| HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxConnectionTime / 0x00000000 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxDisconnectionTime / 0x00000000 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxIdleTime / 0x00000000 |
リモートデスクトップ接続の制限 |
Mallox は、共有フォルダーにアクセスして自身を伝染させる機能をサポートし、このほかにも感染システムの基本情報を収集して C&C サーバーに送信することもある。
ここまでのプロセスが完了すると、以下のようなランサムノートを生成してシステムのファイルを暗号化する。
4. 過去の BlueSky 攻撃事例との比較
攻撃に使用された遠隔画面操作マルウェアは、オープンソースや既知のツールではなく、攻撃者が自ら製作した、または未知のマルウェアと推定される。このマルウェアは、少なくとも2022年12月に初めて確認され、今回確認されたタイプとは C&C サーバーアドレスを除けば実質的に同じものである。
2022年12月に配布されたマルウェアの C&C サーバーアドレスは、以前 The DFIR Report で取り上げた攻撃事例で確認された C&C サーバーアドレスと同様である。[6](外部サイト、英語にて提供) この攻撃事例においても、攻撃者は外部に公開されていながらも不適切に管理されている MS-SQL サーバーを攻撃し、管理者、すなわち SA アカウントへの総当たり攻撃から始まった。
その後、攻撃者は感染システムを操作するために Cobalt Strike をインストールし、これを利用して Tor2Mine コインマイナーと BlueSky ランサムウェアをインストールした。各攻撃は MS-SQL サーバーを対象とする同じ攻撃方式が使用され、新たに確認されたマルウェアが使用されたという共通点がある。すなわち、過去に行われた BlueSky ランサムウェア、および Tor2Mine コインマイナーの攻撃事例もまた、TargetCompany の仕業であると考えられる。過去の TrendMicro もレポートを通じて、両方のランサムウェアが暗号化方式や攻撃方式で類似性があることを知らせた。[7]
5. 結論
不適切に管理されている MS-SQL サーバーを対象に Mallox ランサムウェアをインストールする攻撃事例が持続的に確認されている。TargetCompany ランサムウェアグループは最初の攻撃以降、Remcos RAT や遠隔画面操作マルウェアをインストールし、他のシステムでは Mallox ランサムウェアをインストールして感染システムの暗号化を試みたこともあった。この攻撃は以前、 MS-SQL サーバーを攻撃し Tor2Mine コインマイナーや BlueSky ランサムウェアをインストールした攻撃者の仕業と推定される。
Mallox のようなランサムウェア攻撃者は、収益のために感染システムを暗号化し、機密情報を窃取して脅迫する方式を使用している。その他にも、資格情報の窃取およびラテラルムーブメントのための様々な手法を試みるため、企業では単一システムだけでなく企業の内部ネットワーク全体が掌握され、企業の機密情報が窃取されてネットワーク内のシステムが暗号化される可能性がある。
MS-SQL サーバーを対象とする攻撃には代表的に、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護する必要がある。
そして、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。上記のような処置が先行されていない場合、攻撃者およびマルウェアによって感染状態が継続する場合がある。
ファイル検知
– Downloader/Win.Agent.C5614241 (2024.04.18.03)
– Backdoor/Win.Remcos.C5607317 (2024.04.03.00)
– Ransomware/Win.Mallox.C5601155 (2024.03.15.01)
– Trojan/Win.Generic.C5352187 (2023.01.07.01)
振る舞い検知
– Execution/MDP.Powershell.M4602
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Command.M1751
– Ransom/MDP.Event.M1946
IoC
MD5
– 52819909e2a662210ab4307e0f5bf562 : Remcos RAT (walkingrpc.bat)
– 20dd8410ff11915a0b1f4a5018c9c340 : 遠隔画面操作マルウェア (launcher.exe)
– 09b17832fc76dcc50a4bf20bd1343bb8 : Mallox ランサムウェア (360.exe)
– 3297dc417cf85cfcea194f88a044aebd : 遠隔画面操作マルウェア – 過去の事例
– ff011e8a1d1858f529e8a4f591dc0f02 : 遠隔画面操作マルウェア – 過去の事例
C&C サーバー
– 80.66.75[.]238:3388 : Remcos RAT
– hxxps://80.66.75[.]238:3030 : 遠隔画面操作マルウェア
– hxxp://91.215.85[.]142/QWEwqdsvsf/ap.php : Mallox ランサムウェア
– hxxps://5.188.86[.]237:3030 : 遠隔画面操作マルウェア – 過去の事例
ダウンロードアドレス
– hxxp://42.193.223[.]169/extensioncompabilitynode.exe : Remcos RAT
参考資料
終了対象のプロセス
– “sqlserv.exe”, “oracle.exe”, “ntdbsmgr.exe”, “sqlservr.exe”, “sqlwriter.exe”, “MsDtsSrvr.exe”, “msmdsrv.exe”, “ReportingServecesService.exe”, “fdhost.exe”, “fdlauncher.exe”, “mysql.exe”
終了対象のサービス
– “SiebelApplicationContainer_Siebel_Home_d_Siebel_sai, “ReportServer$SQLEXPRESS”, “SQL Server Reporting Services”, “SQL Server (MSSQLSERVER)”, “MSSQLFDLauncher”, “SQLSERVERAGENT”, “SQLBrowser”, “SQLTELEMETRY”, “MsDtsServer130”, “SSISTasdRY130”, “MSSQL$WOLTERSKLUWER”, “SQLAgent$PROGID”, “SQLWriter”, “MSSQL$VEEAMSQL2012”, “SQLAgent$VEEAMSQL2012”, “MSSQL”, “SQLAgent”, “MSSQLServerADHelper100”, “MSSQLServerOLAPService”, “MsDtsServer100”, “ReportServer”, “SQLTELEMETRY$HL”, “TMBMServer”, “MSSQL$PROGID”, “XT800Service_Personal”, “AHS SERVICE”, “Sense Shield Service”, “FontCache3.0.0.0”, “OSP Service”, “DAService_TCP”, “eCard-TTransServer”, “wanxiao-monitor”, “vm-agent”, “SyncBASE Service”, “Flash Helper Service”, “Kiwi Syslog Server”, “UWS HiPriv Services”, “UWS LoPriv Services”, “UtilDev Web Server Pro”, “ZTE USBIP Client Guard”, “ZTE USBIP Client”, “ZTE FileTranS”, “Zabbix Agent”, “EasyFZS Server”, “Rpc Monitor”, “Nuo Update Monitor”, “Daemon Service”, “FlexNet Licensing Service 64”, “U8WorkerService2”, “U8MPool”, “U8WebPool”, “U8WorkerService1”, “TongBackupSrv”, “cbVSCService11”, “CobianBackup11”, “MSSQLSERVER”, “MSSQL$”, “vss”, “vmvss”, “MSSQL$FE_EXPRESS”, “SQLANYs_Sage_FAS_Fixed_Assets”, “MSSQL$VIM_SQLEXP”, “QcSoftService”, “VMTools”, “VGAuthService”, “MSDTC”, “TeamViewer”, “RabbitMQ”, “SSMonitorService”, “SSSyncService”, “TPlusStdAppService1300”, “MSSQL$SQL2008”, “SQLAgent$SQL2008”, “TPlusStdTaskService1300”, “TPlusStdUpgradeService1300”, “VirboxWebServer”, “jhi_service”, “LMS”, “eCardMPService”, “EnergyDataService”, “UI0Detect”, “K3MobileService”, “TCPIDDAService”, “WebAttendServer”, “UIODetect”, “VMAuthdService”, “VMUSBArbService”, “VMwareHostd”, “VmAgentDaemon”, “OpenSSHd”, “eSightService”, “apachezt”, “Jenkins”, “secbizsrv”, “MSMQ”, “smtpsvrJT”, “zyb_sync”, “360EntHttpServer”, “360EntSvc”, “360EntClientSvc”, “NFWebServer”, “wampapache”, “MSSEARCH”, “msftesql”, “OracleDBConcoleorcl”, “OracleJobSchedulerORCL”, “OracleMTSRecoveryService”, “OracleOraDb11g_home1ClrAgent”, “OracleOraDb11g_home1TNSListener”, “OracleVssWriterORCL”, “OracleServiceORCL”, “aspnet_state”, “Redis”, “JhTask”, “ImeDictUpdateService”, “MCService”, “allpass_redisservice_port21160”, “ftnlsv3”, “ftnlses3”, “FxService”, “ftusbrdwks”, “ftusbrdsrv”, “wwbizsrv”, “qemu-ga”, “AlibabaProtect”, “ZTEVdservice”, “kbasesrv”, “MMRHookService”, “IpOverUsbSvc”, “KuaiYunTools”, “KMSELDI”, “btPanel”, “Protect_2345Explorer”, “2345PicSvc”, “vmware-converter-agent”, “vmware-converter-server”, “vmware-converter-worker”, “QQCertificateService”, “OracleRemExecService”, “GPSDaemon”, “GPSUserSvr”, “GPSDownSvr”, “GPSStorageSvr”, “GPSDataProcSvr”, “GPSGatewaySvr”, “GPSMediaSvr”, “GPSLoginSvr”, “GPSTomcat6”, “GPSMysqld”, “GPSFtpd”, “BackupExecAgentAccelerator”, “bedbg”, “BackupExecDeviceMediaService”, “BackupExecRPCService”, “BackupExecAgentBrowser”, “BackupExecJobEngine”, “BackupExecManagementService”, “MDM”, “TxQBService”, “Gailun_Downloader”, “RemoteAssistService”, “YunService”, “Serv-U”, “OpenFastAssist”, “asComSvc”, “OfficeUpdateService”, “RtcSrv”, “RTCASMCU”, “FTA”, “MASTER”, “NscAuthService”, “MSCRMUnzipService”, “MSCRMAsyncService$maintenance”, “MSCRMAsyncService”, “REPLICA”, “RTCATS”, “RTCAVMCU”, “RtcQms”, “RTCMEETINGMCU”, “RTCIMMCU”, “RTCDATAMCU”, “RTCCDR”, “ProjectEventService16”, “ProjectQueueService16”, “SPAdminV4”, “SPSearchHostController”, “SPTimerV4”, “SPTraceV4”, “OSearch16”, “ProjectCalcService16”, “c2wts”, “AppFabricCachingService”, “ADWS”, “MotionBoard57”, “MotionBoardRCService57”, “vsvnjobsvc”, “VisualSVNServer”, “BestSyncSvc”, “LPManager”, “MediatekRegistryWriter”, “RaAutoInstSrv_RT2870”, “CobianBackup10”, “SQLANYs_sem5”, “CASLicenceServer”, “SQLService”, “semwebsrv”, “TbossSystem”, “ErpEnvSvc”, “Mysoft.Autoupgrade.DispatchService”, “Mysoft.Autoupgrade.UpdateService”, “Mysoft.Config.WindowsService”, “Mysoft.DataCenterService”, “Mysoft.SchedulingService”, “Mysoft.Setup.InstallService”, “MysoftUpdate”, “edr_monitor”, “abs_deployer”, “savsvc”, “ShareBoxMonitorService”, “ShareBoxService”, “CloudExchangeService”, “CIS”, “EASService”, “KICkSvr”, “U8SmsSrv”, “OfficeClearCache”, “TurboCRM70”, “U8DispatchService”, “U8EISService”, “U8EncryptService”, “U8GCService”, “U8KeyManagePool”, “U8SCMPool”, “U8SLReportService”, “U8TaskService”, “UFAllNet”, “UFReportService”, “UTUService”
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報