Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

Phobos アフィリエイトの構造と活動について


2023年12月6日

  • Cisco Talos はこのほど、Phobos の活動の観察と、1,000 以上の Phobos のサンプル(VirusTotal で公開されている 2019 年以降のサンプル)の分析結果に基づき、最も多く使用されている Phobos の亜種、アフィリエイトが使用する一般的な戦術、手法、手順(TTP)、Phobos アフィリエイトの構造の特徴を特定しました。
  • 分析したサンプルで最も頻繁に見られたのは Eking、Eight、Elbie、Devos、Faust なので、これらが最も一般的な Phobos の亜種だと Talos はある程度確信しています。
  • アフィリエイトは似たような TTP を使用して Phobos を展開しており、通常は価値の高いサーバーを攻撃対象にします。被害者に圧力をかけて身代金を支払わせているようです。
  • Talos が観察したすべての攻撃については、復号できる秘密キーが 1 つしかないので、Phobos ランサムウェアは元締めグループが厳重に管理しているとの確信をある程度持っています。
  • Phobos が RaaS(Ransomware as a Service)として販売されている可能性を示すものもあります。Talos は、Phobos 攻撃に関連する数百の連絡先メールアドレスと ID を発見しました。Phobos マルウェアには、RaaS アフィリエイトによく見られる分散したアフィリエイト基盤があることをうかがわせるものです。

最も多く使用されている Phobos の亜種の特定

Phobos ランサムウェアは Dharma/Crysispopup_icon ランサムウェアの進化版です。サイバー犯罪グループの間で人気を博しているにもかかわらず、2019 年に初めて確認されて以来、開発は最小限にとどまっています。本ブログは、8Base ランサムウェアグループについてのこちらのブログで取り上げた Phobos ランサムウェアに関する Talos の分析の続きになります。

Talos は、VirusTotal のサンプル量に基づいて、Phobos ランサムウェアファミリの中で最も多く使用されている亜種を 5 つ特定しました。分析したサンプルで特徴的と言えるのはマルウェアビルダーの構成設定だけだったので、この構成設定のいくつかのバリエーションを調査しました。サンプルにはすべて同じソースコードが含まれており、他の Phobos アフィリエイトによってすでにロックされているファイルは暗号化されないように構成されていましたが、展開されている亜種によって構成に若干の違いがありました。

たとえば 8Base ランサムウェアグループによって展開された Phobos のサンプルには、以下に示すように、暗号化の対象にしない Phobos の他の亜種のリストが含まれていました。この構成エントリにはすべてのサンプルに共通する傾向があり、特定のサンプルの背後にいるグループの名称がリストの先頭に追加されていました。

過去の攻撃の名称と暗号化ループで無視されるファイル拡張子のリスト

サンプルの構成設定を抽出して Phobos の亜種を特定した後、Talos は最もよく見られた亜種と各 Phobos ランサムウェア攻撃に関連付けられた一意の ID を照合することで、最も活発な動きを見せている Phobos アフィリエイトを特定しました。

  • Ekingpopup_icon:遅くとも 2019 年から活動しており、通常はアジア太平洋地域のユーザーを攻撃対象にしている。
  • Eightpopup_icon:現在 8Base として活動しているグループが過去に行った攻撃だと考えられる。
  • Elbiepopup_icon:同じく APAC 地域のユーザーを攻撃対象にしていると見られ、2022 年から活動している。
  • Devospopup_icon:2019 年から活動しているグループだが、攻撃対象や TTP についての報告は少ない。
  • Faustpopup_icon:2022 年から活動している別の亜種で、特定の業界や地域を攻撃対象にしているわけではない。

通常、各亜種のサンプル間に見られる唯一の違いは、暗号化されたファイルの拡張子に使用される連絡先メールアドレスと、設定の 1 つに埋め込まれている身代金メモのみであり、他の設定はすべて同じです。Talos が分析した Phobos のすべての亜種で使用されているファイル拡張子は、以下に示す例と同じテンプレートに従っています。<<ID>> は攻撃対象のマシンのドライブのシリアル番号に置き換えられ、その右の数字は現在の攻撃の ID です。次にランサムウェア攻撃者への連絡に使用される電子メール、最後に亜種を表す拡張子が追加されています。

.id[<>-3253].[musonn@airmail[.]cc].eking

電子メールアドレスのドットを囲む角括弧は読者の安全を守るために追加したものですが、それ以外の角括弧はすべての亜種で使用されている実際の拡張子の一部です。

次のグラフからわかるように、これらの亜種は過去数年間に何百もの異なる連絡先メールアドレスを使用してきました。

今回の調査期間中に各 Phobos 亜種によって使用された連絡先メールアドレスの数

これらのメールアドレスは通常、次に示す無料または安全な電子メールプロバイダーを使用して作成されます。

Phobos ランサムウェアに使用されている最も一般的な電子メールプロバイダー

また、攻撃を遂行するために ICQ、Jabber、QQ などのインスタントメッセージ サービスを利用しているアフィリエイトも見受けられます。下の表には、各亜種用に攻撃者が選択したさまざまなプロバイダーを記載しています。

Devos Eight Elbie Eking Faust
email[.]tg gmx[.]com tutanota[.]com tutanota[.]com gmx[.]com
cock[.]li aol[.]com onionmail[.]org airmail[.]cc tutanota[.]com
protonmail[.]com protonmail[.]com tuta[.]io aol[.]com onionmail[.]org
libertymail[.]net tutanota[.]com techmail[.]info firemail[.]cc waifu[.]club
qq[.]com onionmail[.]org cock[.]li tuta[.]io tuta[.]io
pressmail[.]ch cock[.]li privatemail[.]com protonmail[.]com gmail[.]com
medmail[.]ch keemail[.]me gmail[.]com cock[.]li airmail[.]cc
tutanota[.]com mailfence[.]com yandex[.]ru criptext[.]com mailfence[.]com
cumallover[.]me zohomail[.]eu msgsafe[.]io ctemplar[.]com xmpp[.]jp
airmail[.]cc zohomail[.]com cyberfear[.]com gmx[.]com zohomail[.]eu
countermail[.]com ICQ@HONESTHORSE aol[.]com techmail[.]info cock[.]li
mailfence[.]com ICQ@VIRTUALHORSE msgsafe[.]io zohomail[.]com
mail[.]fr lenta[.]ru
proton[.]me
privatemail[.]com

Talos は、Devos アフィリエイトが QQ[.]com(中国のインスタントメッセージ アプリ)を使用していることと、8 つのアフィリエイトが ICQ(現在はロシアの会社が所有しているインスタントメッセージ サービス)を使用していることを発見しました。また、Proton Mail のように、他よりも安全だとみなされるサービスプロバイダーの使用も確認しています。こうしたプロバイダーの多様性は、Phobos が分散したアフィリエイト基盤を持ち、RaaS として運営されている可能性があるという Talos の見解をさらに裏付けるものです。

上述したように、さまざまな電子メールサービスプロバイダーが使用されているだけでなく、亜種ごとに膨大な数の異なる連絡先メールアドレスが使用されています。このことから、これら各亜種の背後にいるのは単一の攻撃グループではなく、複数の攻撃グループが背後に存在し、電子メールが使用禁止にならないようにプロバイダーを転々としている可能性が高いと考えられます。

Phobos の不正侵入で明らかになった戦術、手法、手順

2023 年の初めに、Talos は Phobos の「Elbie」亜種に関連した不正侵入を確認しました。この攻撃で狙われたのは Exchange サーバーです。その後侵入を拡大し、バックアップサーバー、データベースサーバー、ハイパーバイザーホストなど他のサーバーサイドのインフラを侵害しようとする動きがありました。攻撃者は、多数のシステムに同時にランサムウェアを展開しようとしたわけではなく、特定のインフラに対象を絞って、各システムに個別にランサムウェアを展開しようとしたようです。Talos がこう判断する理由は、損害を大きくして被害者が支払いに応じる可能性を高める方法として、Phobos のアフィリエイトは通常、被害者のネットワーク内の価値の高いサーバーを狙うからです。

攻撃者は Exchange サーバーに最初にアクセスした後、侵害を受けたユーザーの Desktop ディレクトリに作業ディレクトリを作成し、次のようなさまざまなツールをドロップしようとしました。

  • Process Hackerpopup_icon:プロセス可視化ツール。ファイルやサービスを削除したり、プロセスを強制終了したりするために攻撃者が使用するカーネルモードドライバも含まれています。
  • Automimpopup_icon:侵害を受けたホストでのログイン情報の自動収集を可能にするツールキット。LaZagne および Mimikatz ユーティリティが含まれています。
  • IObit File Unlockerpopup_icon:他のアプリケーションによって開かれているファイルのロックを解除するツール。データベースや開いているドキュメント、同様に通常は開かれたままになっているファイルが暗号化される確率を高めるために攻撃者が使用します。
  • Nirsoft Password Recovery Toolkitpopup_icon:ブラウザや電子メールクライアントなどの一般的なアプリケーションのパスワードを抽出するために使用されるツールキット。
  • Network Scanner(NS.exe)popup_icon:開いているサービスがないかネットワークをスキャンし、ネットワークで侵入を拡大するために使用される実行ファイル。
  • Angry IP Scannerpopup_icon:ネットワークをスキャンして開いているサービスを探し、見つかったマシンのネットワーク情報を特定するために使用されるツール。

攻撃者は、侵入後にさまざまな操作を実行するバッチファイルも多数ドロップしました。

あるバッチファイルは、侵害を受けたシステム上の Windows イベントログをクリアして、フォレンジック アーティファクトを最小限に抑え、検出をより困難にします。

FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")

ボリュームシャドウコピーを削除するバッチファイルもあります。おそらく、Phobos 展開後の復旧をより困難にするためのものです。

vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
exit

前回のブログで説明したように、上記のスクリプトは Phobos 構成に含まれており、暗号化プロセスが開始される前に抽出され、一時的に .BAT ファイルとして保存されます。

さらに、Windows レジストリキーを構成するためのバッチファイルも作成されていました。Windows ログオン画面に存在するユーザー補助機能を有効にし、事前の認証がなくても SYSTEM レベルのコマンドプロンプトを起動できるようにするものです。これは永続化のメカニズムとして使用されている可能性があり、攻撃の後半で攻撃者が RDP 経由でシステムを完全に制御できるようになります。

このスクリプトはまず、以下のレジストリエントリを設定してシステムのユーザーアカウント制御(UAC)を無効にします。

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f

次に、さまざまなユーザー補助機能を有効にするためのイメージファイル実行オプション(IFEO)のデバッガエントリを Windows コマンドプロセッサに設定します。これにより、攻撃者は Windows ログオン画面からユーザー補助機能を呼び出し、システム上で管理者特権でコマンドシェルを実行できるようになります。これらのアプリケーションのいずれかが起動されるたびに、指定されたデバッグアプリケーションが、昇格された権限で起動されます。次の例では Windows コマンドプロセッサが指定されています。

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Magnify.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HelpPane.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"

最後に、RDP を有効にし、ネットワークレベルの認証を無効にするさまざまなレジストリエントリを設定します。

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v fDenyTSConnections /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v fAllowUnsolicited /t REG_DWORD /d "00000001"

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v UserAuthentication /t REG_DWORD /d "00000000"

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /f /v SecurityLayer /t REG_DWORD /d "00000001"

攻撃者がドロップした別のスクリプトは、侵害を受けたシステム上で次のようなサービス構成変更を実行していました。

sc config Dnscache start= auto
net start Dnscache
sc config SSDPSRV start= auto
net start SSDPSRV
sc config FDResPub start= auto
net start FDResPub
sc config upnphost start= auto
net start upnphost

次のコマンドの実行により、侵害を受けたホスト上でファイル共有が有効にされました。

dism /online /enable-feature /featurename:File-Services /NoRestart

攻撃者はさらに、攻撃全体で使用するさまざまなコンポーネントの検出を最小限に抑え、セキュリティ担当者への警告を防ぐために、侵害を受けたホスト上のエンドポイント保護ソフトウェアのアンインストールを試みていました。

防御が無効になり、永続化のメカニズムが有効になった後で、攻撃者は Phobos ランサムウェアを展開し、サーバー内のファイルを暗号化しています。この事例の感染で発見された亜種は「Elbie」攻撃popup_iconの一部であり、以前のブログで説明したのと同じ動作が見られました。プロセスの最後に、攻撃者への連絡方法の詳細が記載された身代金メモ「info.hta」がユーザーのデスクトップにドロップされています。

連絡先メールアドレスが表示された Phobos の「info.hta」のサンプル

Phobos の開発者とアフィリエイトの特定

Phobos の攻撃とマルウェアのサンプルを分析した結果、このランサムウェアについてあまり知られていなかったアフィリエイトの構造と開発者にまつわる謎の解明に役立つ発見がいくつかありました。

Talos が確認した電子メールアドレスのバリエーションは、Phobos が RaaS である可能性を示すものです。VirusTotal で公開されている Phobos の各亜種は、10 以上のメールアドレスと関連しています。これらのメールアドレスは連絡を維持する目的で被害者に提供されており、中には 200 近くの一意のメールアドレス(ドメインはさまざま)を使用しているものもありました。主な連絡先メールアドレスとして ICQ と Jabber が使用された事例もあります。Phobos の背後にいるグループが 1 つだけという可能性は否定できないものの、攻撃者が連絡先メールアドレスをこれほど頻繁に変更するのは珍しいことです。多くのランサムウェア攻撃がわずか数個の連絡先メールアドレスを使って大成功を収めているのに対して、これでは余計な時間と労力がかかってしまいます。たとえば、別のブログで説明したように、8Base ランサムウェアグループは Phobos を使用しています。このことを Talos が確認したときに同グループが使用していた連絡先メールアドレスは「support@rexsdata[.]pro」の 1 つだけでした。

Talos はまた、Phobos はランサムウェアの復号ツールの秘密キーを管理している元締めグループによって厳重に管理されている可能性があると考えています。Phobos は、暗号化対象のファイルごとに、暗号化に使用するランダムな AES キーを生成します。次にこのキーと一部のメタデータを構成データに存在する RSA キーで暗号化し、暗号化されたファイルの末尾にこのデータを保存します。つまり、ファイルを復号するには、その公開 RSA キーに対応する秘密キーが必要になります。

Talos が分析した Phobos のすべてのサンプルには、構成データに同じ公開 RSA キーが含まれていました。つまり、復号できる秘密キーは 1 つだけということになります。分析したすべてのサンプルに同じ公開キーが含まれていることから、単一の攻撃グループが秘密キーを管理していると Talos では判断しています。Phobos の開発者は、アフィリエイトに復号サービスを提供し、手数料を得ている可能性があります。

Talos の調査では、VirusTotal で見つかったこのサンプルpopup_iconのように、「Elbie」の亜種のサンプルを復号することを約束する復号ツールの亜種が実際に存在することが判明しました。ただし、復号ツールにはファイル自体にはない 2 つの情報が必要なので、このツールを使用してサンプルを復号することはできません。

base64 でエンコードされたデータの入力を求める Phobos の復号ツールの画面

最初に必要なのは、base64 でエンコードされた暗号化 BLOB データが含まれているファイルのようです。これはサンプルの復号に使用される RSA 秘密キーだと思われます。2 番目に必要な情報は、この BLOB の内容を復号するために使用されるパスワードです。つまり、復号のために身代金を支払った被害者によってこの 2 つのデータが発見、共有されるか、データが漏洩した場合、RSA 秘密キーを回復できる可能性があります。

Phobos が元締めグループによって管理されているという Talos の見解をさらに裏付けるものが、ランサムウェアの拡張子ブロックリストが細心の注意を払って更新されているという事実です。前述したように、他の Phobos アフィリエイトによって以前にロックされたファイルについては、暗号化が回避されるようになっています。これは、ランサムウェアの構成設定のファイル拡張子ブロックリストに基づいています。この拡張子ブロックリストは、どのグループが同じベースサンプルを長期にわたって使用したかを示しているようです。マルウェアビルダーツールは通常、攻撃用のバイナリを生成する際、修正されたクリーンな「スタブ」バイナリをベースにします。このバイナリには、現在のビルドに必要な構成のペイロードがすべて設定されます。これは Phobos では行われません。

Talos が分析した多くの Phobos のサンプルで見つかった拡張子ブロックリストには、過去の Phobos の攻撃でロックされた新規ファイルの拡張子が登録され、継続的に更新されています。これは、ビルダーの背後に、過去にどのグループが Phobos を使用したかを追跡する元締めグループが存在するという考えの裏付けとなるものかもしれません。Phobos のアフィリエイトが互いの攻撃活動に干渉するのを防ぐことが目的だと考えられます。

カバレッジ

Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。

Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。

Threat Defense Virtual適応型セキュリティアプライアンスMeraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。

Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからpopup_iconお申し込みください。

Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。

特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。

Cisco Duopopup_icon は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。

ClamAV で、次の脅威を検出できます。

Win.Packed.Zusy
Win.Ransomware.8base
Win.Downloader.Generic
Win.Ransomware.Ulise

IOC

この脅威に関連する IOC は、こちらpopup_iconをご覧ください。

 

本稿は 2023 年 11 月 17 日に Talos Grouppopup_icon のブログに投稿された「Understanding the Phobos affiliate structure and activitypopup_icon」の抄訳です。

 

Tags:
コメントを書く