Phorpiexボットネットを介して LockBitランサムウェア を自動展開する新たなランサムウェアキャンペーンが発見されました。
Cybereason Security Servicesによると、これは脅威アクターがボットネットを活用して、従来の人手による運用型ランサムウェア攻撃を回避する手法に変化が生じていることを示しています。
攻撃チェーンの新しい点
これまでのLockBitの事案とは異なり、このキャンペーンではTrikとしても知られるPhorpiexを用いて、ランサムウェアを自動的に配布・実行しました。
通常、LockBit攻撃ではネットワーク内で到達範囲を広げるために手動操作が伴います。今回の最新手法では横展開を省略し、感染したマシンにLockBitを直接展開しました。
Cybereasonは、攻撃者がZIP添付ファイル付きのフィッシングメールを用いて感染を開始していたことを突き止めました。亜種によって、これらのZIPファイルにはLockBitダウンローダー用のSCRファイル、またはPhorpiexのTWIZT亜種用のLNKファイルのいずれかが含まれていました。
また、サイバーセキュリティチームは、LockBitダウンローダーが既知のコマンド&コントロール(C2)サーバーへの接続を試みていることも確認しました。このサーバーは以前、ランサムウェアのバイナリをホストしていました。分析時点では接続成功は確認されなかったものの、バイナリの挙動はLockBitの既知の手法と一致していました。
フィッシングメールの配信メカニズムについて詳しく読む:新たなフィッシング攻撃、ビッシングとDLLサイドローディング手法を組み合わせ
Phorpiex亜種の動作
Phorpiexは、2021年にソースコードが売却されて以降も、元の構造の多くを維持しています。TWIZTやGandCrabダウンローダーを含む各亜種に共通して、次の一貫したパターンに従います:
- 悪意のあるZIP添付ファイル付きのフィッシングメールにより感染が開始される
- 標準的なWindowsディレクトリ配下にファイルがドロップされ、実行される
- LockBitまたは他のペイロードがダウンロードされ、実行される
- Zone.Identifierメタデータなどの痕跡が削除される
- Windowsのレジストリキーにより永続化が維持される
特にTWIZT亜種は、再感染を避けるためにJPEGのマーカーファイルを確認し、同一ホスト上で複数回感染しないようミューテックスを作成します。
GandCrab亜種は、サンドボックス関連モジュールが検出された場合に自己終了することで解析回避機能を追加し、Windows Defenderの保護を無効化します。
脅威情勢への影響
このキャンペーンは、LockBitのようなランサムウェアグループが取り締まり後に戦略を適応させていることを示しています。
2024年初頭、各国の法執行機関がOperation Cronosを通じて LockBitの解体 を図ったにもかかわらず、同グループは依然として活動を継続しており、革新を続けています。
自動化されたボットネット主導の配布戦術を採用することで、LockBitのアフィリエイトは手動侵入に伴う時間とリスクを低減します。
このアプローチは、一般的なマルウェアと標的型ランサムウェア運用の境界を曖昧にするため、検知の取り組みも複雑化させます。
セキュリティ研究者は、この種の攻撃に備えるため、メールセキュリティ対策の強化と、レジストリ変更や不審なファイルダウンロードの厳格な監視を推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/phorpiex-botnet-delivers-lockbit/
