出典:Niday Picture Library(Alamyストックフォト経由)
新たに出現したランサムウェアアクターが、先進的持続的脅威グループ(APT)スタイルの高度な手法を用いて、組織を標的にカスタマイズされた身代金要求を行い、企業に重大なリスクをもたらしています。
Charonは新しいランサムウェアファミリーです(ギリシャ神話で魂を冥界へ運ぶ渡し守にちなんで命名)。Trend Microは、中東の公共部門および航空業界で標的型攻撃として展開されているのを観測しました。これはCharonが実際に確認された初めての記録であり、同社の新たな調査によるものです。
このランサムウェアは、DLLサイドローディング、プロセスインジェクション、アンチEDR機能など、通常は高度な脅威アクターの特徴であり、今回の場合はEarth Baxiaグループによるキャンペーンを彷彿とさせる手法を活用しています。これはTrend Microの本日公開されたブログ記事によるものです。
「攻撃チェーンは、正規のブラウザ関連ファイルであるEdge.exe(元の名前はcookie_exporter.exe)を利用し、悪意のあるmsedge.dll(SWORDLDR)をサイドロードして、最終的にCharonランサムウェアのペイロードを展開しました」とTrend Microの脅威研究者は投稿で述べています。
Charonランサムウェアと中国支援アクターとの潜在的な関係
研究者らは、このキャンペーンでEarth Baxia(APT41、Wicked Panda、Grass Typhoonとしても追跡されている高度な持続的脅威グループ)の手法と重複する技術を観測しました。同グループは中華人民共和国(PRC)の指示で活動する複数のAPTの1つです。しかし、攻撃には被害組織名を特定して記載したカスタムの身代金メモも含まれており、この潜在的な関係性に疑問を投げかけるものだと研究者らは指摘しています。
「技術的な重複、特に同じバイナリとDLLを使って暗号化されたシェルコードを展開する特定のツールチェーンは観測されましたが、この攻撃をEarth Baxiaに断定的に帰属することはできません」と研究者らは記しています。「これらの手法は、直接的な関与、意図的な模倣、または類似した戦術の独立した開発のいずれかを示している可能性があります。」
いずれにせよ、Charonの登場とその高度な戦術・手法がランサムウェアの現場にもたらすものは「重大なビジネスリスクであり、業務の中断、データ損失、ダウンタイムに伴う財務的コストにつながる可能性がある」と彼らは付け加えています。「ランサムウェアオペレーターの戦術は、ローカルおよびネットワーク上のデータの両方を危険にさらし、復旧作業を妨げる可能性があります」と記しています。
Charonのマルウェア攻撃チェーン
Charonの攻撃チェーンは、ネットワーク内を巧妙かつ効率的に動き回ることができる高度な脅威アクターを示しています。研究者らが観測した注目すべき戦術の一つは、DLLサイドローディングを利用してCharonランサムウェアのペイロード実行を容易にすることです。
「DLLサイドローディングは特定のグループに固有のものではありませんが、ここで観測された特定の実装――一致するツールチェーンと暗号化されたペイロード配信――は、通常高度な持続的脅威に関連付けられる高度さを示しています」と記しています。
初期侵入は、正規のEdge.exeバイナリを実行することで行われ、これが悪意のあるDLLのサイドローディングに悪用されます。そのDLLは、埋め込まれたランサムウェアペイロードを復号し、新たに生成されたsvchost.exeプロセスにインジェクションする役割を担います。「この手法により、マルウェアは正規のWindowsサービスを装い、通常のエンドポイントセキュリティ制御を回避できます」と研究者らは観測しています。
Charonはまた、一見無害に見えるログファイルDumpStack.logを利用した多段階ペイロード抽出技術も使用しています。しかし詳しく調べると、これは暗号化されたシェルコードであり、ランサムウェアペイロードの配信を担っていることが判明しました。さらに分析を進めると、中間ペイロード内に第2層の暗号化も明らかになりました。
高度なランサムウェアアクターから身を守るには
総じて、Charonの攻撃フローは「懸念すべき傾向」、すなわち「ランサムウェアオペレーターによるAPTレベルの手法の採用」を示しているとTrend Microは述べています。APTの戦術とランサムウェア運用の融合は、「巧妙な回避技術とランサムウェア暗号化による即時のビジネスインパクトを組み合わせ、組織にとってリスクを高める」と研究者らは記しています。
既に危険な脅威環境において、アクターの「ステルス性、速度、回避性の融合」――新たなランサムウェアアクターが次々と現れ、他のアクターが撲滅されるたびに入れ替わる――ことを踏まえ、Trend Microは、特に今回観測されたDLLサイドローディング対策として多層防御アプローチを推奨しています。
このアクターの特徴的な手法に対抗する戦術としては、DLLサイドローディングやプロセスインジェクションに対する防御強化、特にサイドローディングによく悪用されるディレクトリ(アプリケーションフォルダや一時フォルダなど)で実行可能ファイルやDLLの実行・読み込みを制限することが挙げられますと研究者らは指摘しています。
防御側はまた、Edge.exeや他の署名済みバイナリが非標準のDLLやsvchost.exeインスタンスを生成するなど、不審なプロセスチェーンに対してアラートを作成するべきです。また、正規バイナリの隣に配置された未署名または不審なDLLにも注意を払う必要があるとTrend Microは述べています。
組織が高度なランサムウェア戦術に対抗するために採用できるさらなる防御策としては、EDRやアンチウイルスエージェントが、マルウェアによる無効化や改ざん、アンインストールを防ぐ機能を持って稼働していることを確認し、ワークステーション、サーバー、機密共有間のアクセスを制限して横展開を防ぐことが挙げられます。
翻訳元: https://www.darkreading.com/threat-intelligence/charon-ransomware-apt-tactics