Spiralsランサムウェア、24時間足らずで被害者のシステムを完全掌握

Symantec社のThreat Hunter Teamによると、これまで確認されていなかったランサムウェア「Spirals」が先月、南アジアのITサービス企業を狙った攻撃で使用されました。攻撃者は初期侵入からデータ窃取、ネットワークの暗号化まで、わずか24時間足らずで完了させたということです。

Image

侵入後、迅速にファイルを暗号化するSpirals

SpiralsはRustで書かれており、ファイルごとに個別のAES-128鍵を使って暗号化を行います。各鍵は攻撃者が管理するECDH P-256公開鍵でラップされます。暗号化を高速化するため、5MBを超えるファイルはチャンク単位で暗号化されます。

被害者の元には「RECOVERY_SECTION.log」という身代金要求メモが残され、Torの交渉サイトへ誘導するとともに、支払いがなければ6日以内に窃取データを公開すると脅迫していました。

攻撃者はインターネットに公開されていたIISウェブサーバーを侵害し、ASP.NETのウェブシェルをアップロードすることで初期侵入を果たしました。そこからIISワーカープロセスを通じてコマンドを実行し、対話型セッションを開きました。その後、User Account Control(UAC)バイパスによって権限を昇格させ、リモートデスクトッププロトコル(RDP)を有効化し、永続的なアクセスを維持するためにローカルアカウントを作成しました。

認証情報のダンプとトンネリングで侵害を拡大

研究者らは次のように説明しています。「認証情報は、Security Account Manager(SAM)ハイブをパスワード保護されたアーカイブにダンプすることで窃取されました。その後、WMIを利用した横方向移動の過程で、攻撃者はrundll32.exeとcomsvcs.dllを使い、複数のマシン上でLSASSプロセスのメモリもダンプしています」

侵害したネットワークとの通信経路を複数確保するため、攻撃者はリバースSOCKSプロキシ、chrome.exeに偽装したトンネリングツールChiselの改名版、そしてCloudflare Tunnelクライアントを設置しました。攻撃で使用されたツールの一部は、基本的なファイル種別フィルタリングを回避する狙いとみられますが、拡張子を「.jpg」に偽装した状態で外部にホストされていました。

その後、攻撃者はSYSTEM権限で動作するPsExecを使い、同一のPowerShellペイロードを多数のホストへ次々と展開しました。数秒おきに新たな標的を攻撃し、この作業は約30分間続きました。

研究者らは「このペイロードは『bitsadmin.exe』という名前が付けられており、Background Intelligent Transfer Serviceに関連する正規のWindowsユーティリティを装ったものとみられます」と指摘しています。

このペイロードはWindows Defenderを無効化し、Veeam、VMware、Hyper-V、SQL Server、Oracle、PostgreSQLなど、バックアップ・データベース・仮想化関連製品23種に紐づくサービスを停止させ、ランサムウェアがファイルを暗号化する下地を整えました。

Symantecは次のように付け加えています。「今のところ、このランサムウェアが確認されているのは1件の被害者ネットワークのみですが、その機能性と隠密性の高さから、背後にいる攻撃者は熟練したオペレーターであり、より広範なキャンペーンを容易に展開できる能力を持っていることがうかがえます」

同社は、自社環境で関連する活動がないか確認したい組織向けに、今回の攻撃に関連する侵害指標(IoC)を公開しています。

翻訳元: https://www.helpnetsecurity.com/2026/07/17/spirals-ransomware-south-asia/

ソース: helpnetsecurity.com