ProxyShellを悪用した「LV」ランサムウェアによる攻撃を解説｜トレンドマイクロ

概要

トレンドマイクロの調査チームが、2020年後半から活動を開始したRaaS（ランサムウェア・アズ・ア・サービス）の一種である「LV」ランサムウェアグループに関連する感染を分析したところ、REvil（別称Sodinokibi）をベースにしていることを確認しました。LVランサムウェアの開発者は、REvilのソースコードにアクセスするのではなく、代わりにREvilのバイナリスクリプトを修正している可能性が高いことが判明しています。ただし、LVランサムウェア及びREvilグループの正確な関連性については確実に検証することはできませんでした。これまでの調査によると、REvilを運営する攻撃グループは、ソースコードを任意に売却したか、ソースコードを盗まれたか、もしくはパートナーシップの一環としてLVランサムウェアグループとソースコードを共有したかのいずれかであったと推測されています。そして、LVランサムウェアを運営する攻撃者がREvilバイナリをランサムウェアの運用に再利用するために、REvil v2.03 ベータ版の構成を差し替えたと考えられています。

2022年の第2四半期以降、このグループ名を称したランサムウェアが再出現しており、トレンドマイクロの調査によると、これらのグループによる攻撃の件数が急増していることが判明しました。さらに、2022年8月にドイツ連邦情報セキュリティ局が発表した警告において、ランサムウェアのオペレーターが半導体企業のSemikronに対して、盗んだデータの流出に関し脅迫行為を行っていたことが明らかになりました。

この記事では、ヨルダンに拠点を置く企業に対するLVランサムウェアの攻撃について、その詳細を解説します。当該ケースでは、攻撃者は被害者のファイルを暗号化した後に復号するための身代金を要求するだけではなく、支払わない場合には盗んだデータを公開すると脅す「二重恐喝」を行いました。

LVランサムウェアのターゲット

2021年12月のサイバー犯罪フォーラムにおいて、LVランサムウェアを運用していると自称する攻撃者がネットワークアクセスのブローカーを探している投稿を確認しました。攻撃者は、カナダ、欧州、そして米国における事業体のネットワークアクセス権を取得することによりランサムウェアを各地に展開することで収益化することに興味を示していました。

図2：ネットワークアクセスのブローカーを探すLVランサムウェアの運営者を名乗る者の投稿（オリジナル版及び翻訳版）

報告されたLVランサムウェアの攻撃数は、2022年第2四半期以降増加しており、これは攻撃者が関連するプログラムを拡大しようとする動きと一致しています。図3に示すチャートは、この活動の増加を示しています。

Trend Micro™ Smart Protection Network™やその他の社内ソースのデータによると、検出数が最も多かったのはヨーロッパでした。また、ランサムウェアのペイロードによるインシデントの報告数が最も多かったのは米国とサウジアラビアでした。これらの攻撃対象は複数の業種にまたがっており、製造業とテクノロジー業が最も被害を受けていることから、この攻撃グループは日和見主義的なアプローチを行っていると判断できます。

感染経路

このセクションでは、被害者の環境に侵入した際に攻撃グループが使用したTTP（ツール、戦術、手順）を、インシデントレスポンスの観点から解説します。

ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）及びProxyLogon（CVE-2021-26855、CVE-2021-27065）の脆弱性は、攻撃者によって政府機関を標的とするために利用されていることが確認されています。そして、今回の最初の攻撃箇所は、標的とされた環境のExchangeサーバにおいて、ProxyShellを不正利用することにより公開アクセスフォルダにおいてWebシェルが作成されたことから始まりました（2022年9月上旬）。

その後攻撃者は、図7の不正なIPアドレス185[.]82[.]219[.]201からサーバに対して別のPowerShellのバックドアをダウンロードして実行する、不正なPowerShellコードを実行しました。

図 8：不正なPowerShellコードはExchangeサーバ上のpowershell.exeプロセスで実行

また、不正なPowerShellコードをホストしていたIPアドレスと同様のアドレスがトンネリングツールとして利用され、データ流出が行われたと推測されています。

図9：トンネリングツールGostをホストしているIPアドレス185[.]82[.]219[.]201

図 10： 2022年9月6日に初めてログオンされた不正なPowerShellコード

感染したExchangeサーバのIIS（インターネット・インフォメーション・サービス）のアクセスログを解析した結果、以下のIPアドレスが、侵入と同時にProxyshellの脆弱性を利用いたことが判明しました。

138[.]199[.]47[.]184
195[.]242[.]213[.]155
213[.]232[.]87[.]177
91[.]132[.]138[.]213
91[.]132[.]138[.]221

認証情報へのアクセス及び水平移動の段階において、攻撃者はMimikatzを使用して認証情報をダンプしていました。また、NetScan及びAdvanced Port Scannerは環境内の探索のために使用されました。感染したExchangeサーバの1つから収集したイベントログによると、ランサムウェアによる感染が発生する前日（2022年9月8日）に不正利用されたユーザアカウントから多くのログインを行っていたことが判明しています。

攻撃者が、侵害したドメイン管理者のアカウントを使ってRDP(リモート・デスクトップ・プロトコル)経由でドメインコントローラへアクセスすると、ランサムウェアの検体がサーバに作成されます。そして、攻撃用のスケジュールタスクを含む不正なグループポリシーが2022年9月9日に作成され、ドメインコントローラのサーバ上の共有フォルダからランサムウェアが実行されました。

図11：レジストリHivesにおける不正なスケジュールタスク GoogleUpdateUX

ドメインコントローラは、攻撃者により2022年9月9日に不正なGPO（グループ・ポリシー・オブジェクト)を作成するために使用されました。そして、このGPOは、ドメインコントローラに接続されている残りのマシンにランサムウェアを展開するための不正なバッチファイル1.bat及びinstall.batを実行するスケジュールタスクを作成しました。バッチファイルinstall.batは、標的となるマシンで見つかったセキュリティエージェントサービスを無効化するために使用されています。

図13：ドメインコントローラのグループポリシーフォルダで発見された不正なGPO XMLファイル

図 16： scriptsフォルダの削除を示すMFT（マスター・ファイル・テーブル）の記録

トレンドマイクロが分析した特定のマシンにおいて、ファイルがl7dm4566nの拡張子で暗号化されていることが身代金脅迫文に記されていました。

PowerShellバックドア

Microsoft Exchangeの不正使用後に実行されるPowerShellコマンドは、C&C（コマンド＆コントロール）サーバ185[.]82[.]219[.]201から別のPowerShellスクリプトをダウンロードし実行する役割を担っています。ダウンロードされたPowerShellは、検出されることを回避するためにメモリから直接実行されます。

このPowerShellバックドアは、SystemBC malware as a serviceに関連していることが確認されています。また、このスクリプトには接続するC&CサーバのIPアドレスとポート番号がハードコードされており、接続前にRc4_crypt関数にデータが引き渡されます。

トレンドマイクロは、このバックドアから、異なるハードコードがされたC&C IPアドレスとポートを持つ複数のバリアント（変異種）をVirusTotalにおいて発見しました（IOCsセクション参照）。

サンプルの類似性の分析

この度観測されたLVランサムウェアのペイロードは、昨年の調査で分析した古いサンプルとほぼ同様であり、実際のランサムウェアのペイロードに新しい機能は追加されていませんでした。また、古いサンプルが使用していたのと同じ基本的なパッカーの機能が使用されています。

実行ファイルは、LVランサムウェアのバイナリを enc というセクション内にRC4-encrypted（暗号化）されたデータとして格納しています。

新しいペイロードを以前の調査時の古いペイロードと比較した結果、トレンドマイクロは両方のペイロードが同一であると判断しました。これは、LVランサムウェアの背後にいる攻撃者が、ペイロードの主要機能を強化せずに関連のプログラムを拡張していることを示しています。サンプル間の類似性（図23）を分析すると両者が同じ機能を有していることが確認できます。

図 24： LVランサムウェアを遂行するための内部機能に関するbindiffによる結果

被害に遭わないためには

LVランサムウェアは、アンダーグラウンド経由でネットワークにアクセスできる攻撃者と提携することで複数の地域や業種をターゲットにすることが可能になりました。このような動きは、ランサムウェアが新しい機能の追加だけに依存するのではなく、より優れた流通ネットワークの構築といった他の要素にも依存していることを示しています。

ランサムウェアのオペレーターは、そのルーチンとして、一般的に脆弱性を利用したテクニックを採用しています。企業や組織は、ProxyShellのような重大な脆弱性に対処する際には、インフラストラクチャやソフトウェアの定期的なパッチ適用及びアップデートに十分なリソースを割り当てることを検討する必要があります。さらに、定期的に監査を行い、資産やデータのインベントリを作成することでシステムを最新の状態として把握することが大切です。最後に、データ保護、バックアップ、そしてリカバリ対策を実施することによりランサムウェアに感染した場合でもデータが失われないようにすることが可能となります。

多層的なアプローチは、エンドポイント、メール、ウェブ、ネットワークなど、システムへ侵入される可能性のある全てのポイントを保護します。不正なコンポーネントや不審な挙動を検知するセキュリティ技術として検討すべき対策は以下になります。

多層防御と不審な挙動の検知を提供するTrend Micro Vision One™は、ランサムウェアがシステムに被害を及ぼす前に疑わしい挙動やツールをブロックします。
Trend Micro Cloud One™ - Workload Securityは、脆弱性を悪用する既知及び未知の脅威からシステムを強力に保護します。また、Cloud Oneは仮想パッチや機械学習などの最新の技術により組織を攻撃から保護します。
Trend Micro™ Deep Discovery™ Email Inspectorは、カスタムサンドボックス及び高度な分析技術により、ランサムウェアの侵入ポイントとなる不正なメール（フィッシングメールなど）を効果的にブロックします。
Trend Micro Apex One™はファイルレス攻撃やランサムウェアなどのより危険性の高い脅威を自動検知・対処します。

IOC（痕跡情報）

IOC（痕跡情報）の全リストは、こちらをご覧ください。

参考記事

「LV Ransomware Exploits ProxyShell in Attack on a Jordan-based Company」
By: Mohamed Fahmy, Sherif Magdy, Ahmed Samir

翻訳：新井智士（Core Technology Marketing, Trend Micro™ Research）

タグ

ProxyShellを悪用した「LV」ランサムウェアによる攻撃を解説

LVランサムウェアのターゲット

感染経路

PowerShellバックドア

サンプルの類似性の分析

被害に遭わないためには

IOC（痕跡情報）

執筆者

リソース

サポート

会社概要

リソース

サポート

会社概要

The Americas

Asia Pacific

Europe, Middle East & Africa