Phorpiexボットネットを悪用した大量のフィッシングキャンペーンにより、武器化されたWindowsショートカットファイルを通じてGLOBAL GROUPランサムウェアが配布されています。
攻撃は、Document.doc.lnkという名前のメール添付ファイルから始まります。既知のファイル拡張子を隠すWindowsの既定の動作により、このショートカットは不注意なユーザーには正規のWord文書のように見えます。
攻撃者は、shell32.dllなどのWindowsシステムファイルからアイコンを流用して見慣れた視覚的手がかりを作り出し、クリック前のためらいを減らすことで欺瞞を強化します。
開くと、このショートカットはバックグラウンドでcmd.exeを静かに起動し、続いてPowerShellを呼び出してリモートサーバーから第2段階のペイロードをダウンロードします。
セキュリティ研究者は最近、件名が「Your Document」のメールを特定しました。このフレーズは2024年および2025年を通じて大規模キャンペーンで支配的であり、ユーザーの疑念を回避するよう設計された悪意のある.lnk添付ファイルが含まれていました。
ソーシャルエンジニアリング、ステルス実行、LivingofftheLand(LotL)手法を組み合わせることで、このファイルは疑念を招きつつも、静かに第2段階のペイロードを取得して起動します。
windrv.exeという名前の悪意あるファイルは、正規のWindowsドライバーに見せかけるためにそう命名されており、被害者のシステムに保存された後、目に見える警告やインストールのプロンプトなしに自動的に実行されます。
GLOBAL GROUPの脅威
GLOBAL GROUPランサムウェアは、懸念すべきランサムウェア設計の進化を示しています。コマンド&コントロールサーバーと通信する従来型の亜種とは異なり、このランサムウェアは「ミュート」モードで完全にオフラインで動作します。
感染したマシン上で暗号化キーをローカル生成するため、ネットワーク監視で通常は不審な活動が検知されるような、エアギャップ環境や隔離環境でも機能します。
このランサムウェアは堅牢なChaCha20-Poly1305アルゴリズムでファイルを暗号化し、拡張子として.Recoを付加します。
この暗号化方式には改ざんを防ぐ認証機能が含まれており、攻撃者の秘密鍵がなければ復号は不可能です。類似のマルウェアファミリー向けの従来の復号ツールは、GLOBAL GROUPには効果がありません。
GLOBAL GROUPは、検知回避と被害最大化のために高度な手法を用います。セキュリティ研究者が一般的に使用する仮想化環境や解析ツールをチェックし、サンドボックス検知を回避できるようにしています。
タスク スケジューラを使用して「CoolTask」という名前のタスクを作成し、SYSTEM権限でシステム起動時に実行されるよう設定したうえで、直ちにトリガーします。
このマルウェアは、暗号化のためにファイルのロックを解除する目的でデータベースプロセスを終了させ、さらにpingコマンドをタイマーとして使用した後、フォレンジック調査を妨げるためにディスク上から自己削除します。
このランサムウェアは、Windowsサービスとスケジュールされたタスクを通じて永続化を確立し、横展開機能によってネットワーク全体に拡散することが可能です。
検知指標
感染したシステムには、GLOBAL GROUPによる侵害を告知するように変更されたデスクトップ壁紙、.Reco拡張子の暗号化ファイル、Torベースの支払いサイトへ誘導するREADME.Reco.txtの身代金メモなど、明確な兆候が現れます。
技術的指標としては、ミューテックス「Global\Fxo16jmdgujs437」や、ヘックスエディタで確認できる固有のファイルマーカー「xcrydtednotstill_amazingg_time!!」が含まれます。
Active Directoryの照会やリモートマシン上でのサービス作成を行います。活動を隠蔽するためにイベントログを消去することさえ可能です。
このキャンペーンは、ショートカットファイルが依然として有効な攻撃ベクターである理由を浮き彫りにし、ネットワークベースの検知だけでは限界があることを強調しています。
組織は、エンドポイントの振る舞い監視を優先し、メール添付のショートカットファイルの自動実行を無効化し、Windowsエクスプローラーでファイル拡張子が表示されるようにするべきです。
定期的なオフラインバックアップは、ネットワーク接続なしで動作するランサムウェアに対する最も信頼できる防御策であり続けます。
翻訳元: https://gbhackers.com/global-group-ransomware/
