これまで報告されていなかった多段階型マルウェアフレームワーク「Avalon」が確認されました。内部的に「CrownX」と呼ばれるランサムウェアコンポーネントを組み込み、復旧システムやバックアップシステムを標的としています。
攻撃者は実行ファイルを直接添付する代わりに、悪意あるコンテンツをISOイメージ内に格納することでメール層でのスキャンを回避し、一見正規に見える「Secure Document」パッケージをマウントするよう被害者をソーシャルエンジニアリングで誘導しました。
マウントされたISO内に含まれる文書を装ったショートカット(.lnk)が、段階的なMSBuildプロジェクト(zfighv.tmp)を起動します。このプロジェクトはCodeTaskFactoryを使ってインラインC#をコンパイルし、暗号化されたマネージドダウンローダーをメモリ上で完全に再構築することで、ディスクに痕跡を残さず従来の検知手法を回避していました。
このマネージドダウンローダーは、次段階をHTTPS経由で取得する前にテレメトリと検査経路を無効化します。具体的にはETWおよびAMSIのエントリポイントを特定し、常に成功を返す短いリターンスタブを仕込んでいました。
また、証明書検証を無条件に許可するコールバックを用い、ブラウザを模したUser-Agentとキャンペーン通信を識別するための独自ヘッダー「X-Edge-Cache」を付与してリクエストを送信していました。
レスポンスには暗号化されたPEファイルと32バイトのHMAC-SHA256タグが含まれており、ローダーはオフセットベースのHMACキーストリームを用いてペイロードを検証・復号した後、そのPEをMSBuildプロセスのメモリ上に手動でマッピングしていました。
この手動マッピング処理では、リロケーション、インポート解決、例外登録、Control Flow Guardの設定までも再現されており、最終的なネイティブx64インプラントはディスク上に別ファイルを作ることなく実行されていました。
この侵入チェーンは、法律文書を装った偽装メールから始まります。受信者はProton Driveでホストされたパスワード保護アーカイブへ誘導されました。
BlackpointのAdversary Pursuit Group(APG)が特定したマルウェアフレームワークは、現在「Avalon」として追跡されており、多段階のフィッシングチェーンを通じて配布されています。
回収されたインプラントは自らを「Avalon」と名乗り、中央オーケストレーション層として機能していました。認証情報窃取、永続化、水平展開、テレメトリの削減、そして最終段階の恐喝までが一体化されていました。
アーカイブ内には「Secure_Document_CA-283505_pdf.iso」という名前のISOイメージが含まれていました。このイメージをマウントすると、「Secure Document CA-283505.pdf.lnk」という名前のショートカットが現れます。
ローカルの認証情報検証モジュールは、LogonUserWとローカルSAM列挙を組み込みのパスワードリストと組み合わせて使用し、脆弱な認証情報を実際に使用可能なアクセス権へと変換していました。
C2通信にはWinHTTPによるPOSTリクエストが使われ、helloxcherry[.]comの/api/v2/taskingへ送信されていました。フォームフィールドはLSASS、SAM、一般的な情報窃取のペイロードごとに分けられていました。
Avalonは水平展開の対象として価値の高いターゲット、すなわちドメインコントローラー、バックアッププラットフォーム、仮想化インフラを優先し、Veeamに関連する文字列のほか、Acronis、NetApp、Synology、vCenter、Hyper-V、Exchangeに関連する文字列を検索していました。
遠隔でのステージングには管理共有と、Microsoftの正規ツール(MSBuild.exe、csc.exe、InstallUtil.exe)が使われ、リモートホスト上で.NETコンポーネントをコンパイルまたはロードしていました。実行方法にはスケジュールタスク、リモートサービスの起動、PsExec形式の手法が含まれていました。
ランサムウェアモジュール「CrownX」は堅牢な暗号化技術と復旧妨害機能を備えていました。CrownXはBCrypt APIとAES-GCMを用いた認証付き暗号化を行い、効率的な処理のためにファイルマッピングを、制御されたファイル操作のためにトランザクション対応APIを使用していました。
対象はVMイメージ、データベース、ソースファイル、設計用CADファイル、クリエイティブ関連のプロジェクトファイルなど幅広い形式に及び、鍵が提供された場合に復号を可能にするため、構造化されたメタデータ(ノンス、認証タグ、セグメント情報)を付加していました。
CrownXは身代金要求メッセージを表示するための複数の手段も試みており、支払いを迫るためのカウントダウンタイマーも組み込んでいました。
特に重大な点として、Avalonは復旧の仕組みそのものを攻撃していました。VSSを停止させ、COM経由でシャドウコピーを削除し、レジストリの復旧設定を変更したほか、WinREイメージや復元構成も標的にしていました。
アンチフォレンジック用のサブシステムは、Prefetch、AmCache、SRUM、ShimCache、ジャンプリスト、PowerShellの履歴、USNジャーナルなど、調査に使われるその他の痕跡を消去していました。
このフレームワークには物理ドライブへ直接書き込む機能まで含まれており、パーティションやブート構造を破壊できるため、暗号化にとどまらずディスクレベルの破壊にまで被害が及ぶ可能性があります。
Avalonは、認証情報の窃取、永続化、水平展開、恐喝という一連の機能を単一の回収済みペイロードに統合した、攻撃側の運用集約を示すものであり、防御側が対処に使える時間的猶予を狭めています。
注記: IPアドレスおよびドメインは、誤ってアクセスされたりハイパーリンク化されたりすることを防ぐため、意図的に無害化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。
翻訳元: https://cyberpress.org/crownx-ransomware-attack/