ランサムウェア「Everest」、暗号化前にWake-on-LANで休止中のホストを起動

2020年12月から活動しているランサムウェア「Everest」が、攻撃対象範囲を最大化するために、極めて珍しく攻撃的な手法を採用していることが分かりました。暗号化を実行する直前にWake-on-LAN(WoL)機能を悪用し、休止状態にあるネットワーク上のシステムを起動させるというものです。

Everestは著名な二重恐喝型グループとして知られており、政府機関、医療、製造業、そして世界各国のITセクターを頻繁に標的にしています。

攻撃者は通常、脆弱性のある公開アプリケーションの悪用、フィッシングキャンペーンの実施、あるいは窃取したリモートサービスの認証情報の使用によって、初期侵入を果たしています。

AttackIQによる最新の脅威エミュレーション調査では、同グループの成熟した手法が明らかにされており、このマルウェアが復旧ツールを無効化し、ネットワークへの到達範囲を拡大することで壊滅的な被害を確実にする仕組みが浮き彫りになっています。

Everestは静的解析を困難にし、エンドポイントセキュリティを回避するよう高度に設計されています。114KBのC#バイナリはConfuserExを使用し、強固な改ざん防止機能、文字列暗号化、制御フローの難読化を実装しています。

予測可能なインポートテーブルに依存する代わりに、実行時に動的にWin32 APIを解決することで、従来型の検知を回避します。

ロシア語圏で活動する多くのグループと同様、Everestはジオフェンシング機能を備えており、感染マシン上で独立国家共同体(CIS)の言語識別子を検知すると、実行を静かに停止します。

攻撃者にとって環境が安全だと判断されると、このランサムウェアは自らの活動を防御するために3つの継続的なバックグラウンドスレッドを起動します。

これらのスレッドは並行して動作し、リバースエンジニアリングツールの終了、フォレンジックサンドボックスのようなメモリを大量に消費するプロセスの強制終了、そして重要なセキュリティ製品の無効化を行います。

データを暗号化する前に、Everestは意図的にローカルホストの防御を弱め、迅速な水平展開に備えます。Windows Defenderのコントロールされたフォルダーアクセスを無効化し、ファイルとプリンターの共有を有効化した上で、旧式のSMB1プロトコルを再度有効にします。

できる限り多くのマシンをオンライン状態にするため、このランサムウェアはローカルのARPキャッシュを解析します。そして、UDPポート7番と9番を通じてWake-on-LANのマジックパケットをブロードキャストします。

この極めて異例な手順によって休止中のエンドポイントが起動し、即座に攻撃対象となります。その後マルウェアは、発見されたすべてのネットワーク共有をマッピングし、リモートファイルをローカルストレージと同様に処理できるようにする、とAttackIQは述べています

暗号化フェーズが完了すると、Everestは影響を受けたすべてのフォルダーに身代金要求メモを配置し、デスクトップの壁紙を変更した上で、連絡を要求するトレイ通知を表示します。

フォレンジック証拠を消し去るため、このランサムウェアは最後に遅延実行の自己削除スクリプトを実行し、自身のバイナリをゼロで上書きしてからディスクから完全に削除します。

翻訳元: https://cyberpress.org/everest-wakes-dormant-hosts/

ソース: cyberpress.org