- Cisco Talos はランサムウェア CyberLock と Lucky_Gh0$t、さらに新種のマルウェア「Numero」など、正規の AI ツールのインストーラを偽装する新たな脅威を発見しました。
- CyberLock は PowerShell で開発されたランサムウェアであり、被害者のシステムの特定のファイルを暗号化することが主な目的です。攻撃者は身代金要求メッセージの中で、支払いはパレスチナ、ウクライナ、アフリカ、アジアなどの地域で人道支援のために使用されると、虚偽の主張を行っています。
- Lucky_Gh0$t ランサムウェアは、Chaos ランサムウェアシリーズの第 6 バージョン、Yashma ランサムウェアの別の亜種であり、Yashma ランサムウェアのバイナリにわずかな変更を加えたものです。
- Numero は新たに特定された破壊的マルウェアであり、被害者の Windows OS のグラフィカル ユーザー インターフェイス(GUI)コンポーネントを操作してシステムを完全に使用不能にします。
AI はさまざまな業種で急速に普及しており、自動化、データ主導の意思決定、カスタマーエンゲージメントの強化により、業界に変革をもたらしています。しかし、AI が各種産業の発展を推進する中で、攻撃者は AI の人気を悪用し、AI ソリューションのインストーラやツールを装ったさまざまなマルウェアを拡散しています。
これらの不正なインストーラを配布する手法やチャネルはさまざまです。たとえば検索エンジンのランキングを操作して悪意のある Web サイトやダウンロードリンクを検索結果の上位に表示させる SEO ポイズニング手法や、Telegram やソーシャル メディア メッセンジャーなどのプラットフォームなどが使用されています。
その結果、AI ソリューションを探している無防備な企業が、マルウェアの埋め込まれた偽造ツールをダウンロードする危険性があります。この行為は、企業の機密データや金融資産を危険にさらすだけでなく、AI 市場の正当なソリューションに対する信用も損なうため、重大なリスクをもたらします。そのため、こうした脅威の被害に遭わないよう、細心の注意を払い、開発元を慎重に調べ、信頼できるベンダーのみを利用する必要があります。
Talos は最近、AI ソリューションを装ったいくつかの脅威が出回っていることを明らかにしました。具体的には、ランサムウェアファミリ CyberLock と Lucky_Gh0$t、さらに「Numero」という新種の破壊的マルウェアなどです。これらの AI ツールの正規版は、B2B セールス分野やテクノロジーおよびマーケティング分野で特に人気があり、こうした業界の個人ユーザーや組織は、悪意のあるこれらの脅威の標的となる危険性が非常に高まっています。
CyberLock ランサムウェア
Talos は、AI ソリューションに見せかけて作成された偽の Web サイト「novaleadsai[.]com」を確認しました。元の Web サイトのドメイン「novaleads.app」を偽装したものと考えられます。「novaleads.app」は、さまざまなサービスと成果報酬モデルを通じて企業がリードの価値を最大化できるように設計されたリード収益化プラットフォームです。
図 1. AI ツールを宣伝する偽の Web サイト
偽の Web サイトでは、最初の 12 か月間は利用無料、その後は月 95 ドルのサブスクリプションという謳い文句で製品のダウンロードを促しています。さらに攻撃者は、SEO 操作の手法を使用して、偽の Web サイトをオンライン検索エンジンの検索結果の上位に表示させていました。
偽の AI 製品の ZIP アーカイブをダウンロードすると、その中には「NovaLeadsAI.exe」という .NET 実行ファイルが含まれています。この実行ファイルのコンパイル日は 2025 年 2 月 2 日であり、偽ドメイン「novaleadsai[.]com」の作成日と同じです。
「NovaLeadsAI.exe」ファイルは、CyberLock ランサムウェアの PowerShell スクリプトがリソースファイルとして埋め込まれているローダーです。被害者がこのローダー実行ファイルを実行すると、ランサムウェアが展開されます。
図 2. CyberLock ランサムウェアローダーのスニペット
CyberLock の身代金要求メッセージ
CyberLock ランサムウェアは、2025 年 2 月には活動を開始していたと考えられます。攻撃者は、身代金要求メッセージで、機密性の高いビジネス文書、個人ファイル、機密データベースに完全にアクセスできると主張し、復号キーと引き換えに多額の身代金を要求しています。被害者は、「cyberspectreislocked@onionmail[.]org」宛てにメールを送信するように指示されます。
CyberLock の攻撃者は、5 万米ドルの身代金を仮想通貨 Monero(XMR)で支払うように要求し、身代金はパレスチナ、ウクライナ、アフリカ、アジアなどの地域への人道支援に使用されるという虚偽の主張をして攻撃対象者の心理を揺さぶります。また、身代金を 2 つのウォレットに分割することで、防御側の追跡を困難にしています。
身代金要求メッセージの内容は、3 日以内に支払わなければ盗んだデータを公開すると脅迫して被害者を操ろうとするものですが、Talos が調査したところ、ランサムウェアのコード内にデータ窃取機能が含まれている証拠は見つかりませんでした。
図 3. CyberLock の身代金要求メッセージ
CyberLock は PowerShell で作成
CyberLock ランサムウェアは PowerShell で作成されています。CSharp コードが埋め込まれており、.NET ローダーの埋め込みリソースとして被害者に配布されます。
実行された CyberLock は、まず kernel32.dll の GetConsoleWindow 関数と user32.dll の ShowWindow 関数を使用して PowerShell ウィンドウを非表示にします。次に、暗号化された公開キーを復号してシークレットを生成し、暗号化プロセス中にそのシークレットを使用して AES キーと IV を導き出します。
図 4. CyberLock ランサムウェアのスニペット
CyberLock は、現在のプロセスが管理者権限で実行されていない場合、自身を昇格して管理者権限で再実行する機能を持っています。
図 5. CyberLock ランサムウェアのスニペット
CyberLocker は、論理パーティションのフォルダとファイルを「C:\」、「D:\」、「E:\」というラベルで列挙します。次に、標的のファイルを AES で暗号化し、暗号化後のファイルに「.cyberlock」という拡張子を付加します。
図 6. CyberLock ランサムウェアのスニペット
標的となるファイル拡張子とカテゴリは次のとおりです。
| カテゴリ | ファイル拡張子 |
| テキストドキュメント | .txt, .doc, .docx, .odt, .rtf, .md, .rst, .tex, .sty |
| スプレッドシート | .xls, .xlsx, .ods, .csv, .tsv |
| プレゼンテーション | .ppt, .pptx, .odp, .potx, .ppsx |
| PDF と eBook | .pdf, .pdfx, .epub, .mobi, .azw, .azw3, .chm, .hlp |
| 画像 | .jpg, .jpeg, .png, .gif, .bmp, .tiff, .raw, .svg, .jfif, .ico, .webp |
| 音声 | .mp3, .wav, .ogg, .aac, .flac, .m4a, .m4b, .caf, .mp3g |
| ビデオ | .avi, .mp4, .mov, .mkv, .wmv, .webm, .3gp, .flv, .m4v, .vob, .mts, .m2ts, .ts, .mxf, .divx, .mpeg, .mpg, .ram, .rm |
| アーカイブとディスクイメージ | .zip, .rar, .7z, .tar, .gz, .xz, .tar.gz, .tar.bz2, .iso, .iso9660, .img, .dmg, .cdr, .zipx, .cab, .zpaq, .seam, .rar5 |
| 実行ファイルとスクリプト | .exe, .bat, .cmd, .sh, .ps1, .vbs, .js, .appx, .apk, .ipa, .deb, .rpm, .whl |
| コードとプログラミング | .html, .css, .scss, .xml, .json, .yaml, .cfg, .sql, .pl, .rb, .py, .lua, .h, .c, .cpp, .m, .swift, .java, .asm, .psm1 |
| データベースファイル | .sql, .mdb, .accdb, .db, .sqlite, .sqlitedb, .db3, .sqlite3 |
| システムと設定 | .log, .bak, .tmp, .swp, .ini, .plist, .xmlrpc, .dsk, .xcv |
| フォント | .ttf, .otf, .woff, .woff2, .eot, .pfb |
| デザインとグラフィックス | .ai, .psd, .indd, .eps, .fla, .swf |
| バックアップと仮想マシン | .vhd, .vmdk, .qcow2, .gho, .vpb |
| GIS とマップ | .gpx, .kml, .shp |
| その他のファイル | .torrent, .bup, .ifo, .bin, .dll, .msi, .sys, .qif, .pages, .key, .numbers, .rdata, .seed, .3dxml, .kdbx |
標的のファイルを暗号化した後、CyberLock は被害者のマシンのデスクトップに「ReadMeNow.txt」というファイル名の身代金要求メッセージを作成します。メッセージの内容は、ランサムウェアの PowerShell スクリプトに埋め込まれた文字列から書き込まれます。
Talos は、攻撃者が身代金要求メッセージを投下した後、被害者のマシンのデスクトップに壁紙を設定することを確認しました。攻撃者は、サイバーセキュリティ企業のブログ記事にあるヘッダー画像を被害者のマシンのユーザー プロファイル アプリケーションの一時フォルダにダウンロードします。次に、レジストリキー「Wallpaper」の値として、ダウンロードした画像のパスを設定し、PowerShell コマンドを使用してその壁紙を有効にします。Talos は、攻撃者が被害者のマシンのデスクトップの壁紙にセキュリティ調査会社のブログ記事のヘッダー画像をなぜ設定したのか、その動機を完全には把握できていません。
図 7. CyberLock ランサムウェアのスニペット
図 8. ブログ記事のヘッダーを使用した壁紙の例
最後に CyberLock は、LoLBin(living-off-the-land binary、環境寄生型バイナリ)「cipher.exe」を「/w」オプション付きで使用して、被害者のハードドライブのパーティションにある空き領域を消去し、削除されたファイルのフォレンジック復元を妨げます。
図 9. ハードドライブの空き領域を消去するコマンドの実行
「Cipher.exe」とは、Windows に組み込まれたコマンドラインツールであり、ファイルとフォルダの暗号化を管理するために使用します。このツールには、「/w」オプションを使用して空き領域を上書きすることで、削除されたファイルの復元を阻止できる機能があります。この機能は、ディスクの再割り当て前にディスクを安全に消去する、あるいは、データ保護法遵守の一環として機密データが不正な第三者によって復元されないようにするなど、正当な目的のために Microsoft が設計したものです。
この機能は、不正行為の痕跡を消したり、被害者のマシンからファイルを永久に削除したりするために攻撃者によく悪用されます。Volexity
の研究者が指摘しているように、この手法は以前、ロシアの APT グループによる攻撃で使用されました。ただし、今回の攻撃と以前に報告された攻撃との関連性については、Talos ではその兆候を確認していません。
ChatGPT インストーラに偽装した Lucky_Gh0$t ランサムウェア
Talos は、Lucky_Gh0$t ランサムウェアが、「ChatGPT 4.0 full version – Premium.exe」というファイル名の SFX(自己解凍アーカイブ)ZIP インストーラとして配布されていることを発見しました。
悪意のあるこの SFX インストーラには、Lucky_Gh0$t ランサムウェアの実行ファイル(ファイル名は「dwn.exe」)を格納したフォルダが含まれていました。このファイルは、Microsoft の正規の実行ファイル「dwm.exe」に見せかけたものです。同じフォルダには、Microsoft の正規のオープンソース AI ツールもありました。これらのツールは、特に Azure エコシステムで AI を使用する開発者やデータサイエンティストを対象に、GitHub リポジトリで公開されています。攻撃者が SFX アーカイブに正規のツールを含めた目的は、正規のパッケージを装うことで、マルウェア対策ファイルスキャナによる検出を回避することだと考えられます。
被害者が悪意のある SFX インストーラファイルを実行すると、SFX スクリプトがランサムウェアを実行します。
図 10. 悪意のある SFX 実行ファイルの内容
Lucky_Gh0$t ランサムウェアは Yashma ランサムウェアの亜種ですが、回避手法、ボリュームシャドウコピーとバックアップの削除、AES-256 および RSA-2048 暗号化手法などの大半の機能は変更されていません。Lucky_Gh0$t のバイナリではわずかな変更がいくつか加えられていて、それが暗号化の対象とするファイルのサイズの上限に関するものであることを Talos は確認しました。
Lucky_Gh0$t は、被害者のマシンのファイルのうち、サイズが約 1.2GB 未満のファイルに対して RSA 暗号化 AES キーで暗号化を行った後、ファイル拡張子として 4 文字のランダムな英数字を付加します。暗号化の対象となるファイルのカテゴリは次のとおりです。
- テキスト、コード、設定ファイル
- Microsoft Office および Adobe ファイル
- メディアフォーマットと画像
- アーカイブとインストーラ
- バックアップファイルとデータベースファイル
- Android パッケージキット、Java Server Pages、Active Server Pages
- 証明書ファイル
- Visual Studio のソリューションと PostScript
図 11. 1.2GB 未満のファイルを対象とする Lucky_Gh0$t の暗号化機能
標的のファイルが 1.2GB を超える場合は、元のファイルと同じサイズの新しいファイルを作成し、ファイルの中身として「?」を 1 文字書き込みます。この新しいファイルに拡張子として 4 文字のランダムな英数字を付加し、元のファイルを削除するという破壊的な挙動が以下のとおり確認できます。
図 12. 1.2GB 以上のファイルを対象とする Lucky_Gh0$t の暗号化機能
Lucky_Gh0$t ランサムウェアは、身代金要求メッセージの中で被害者に個人 ID を提供し、身代金の支払いと復号の詳細については安全なメッセンジャー プラットフォーム「getsession[.]org」と固有のセッション ID を使用して連絡するように指示します。
図 13. Lucky_Gh0$t の身代金要求メッセージ
AI 動画作成ツールを装う Numero
Talos は最近、AI 動画作成ツール「InVideo AI」のインストーラに見せかけた新たな破壊的マルウェア「Numero」を発見しました。InVideo AI は、マーケティング動画、ソーシャル メディア コンテンツ、解説動画、プレゼンテーションなどで広く利用されているオンラインプラットフォームです。攻撃者は、悪意のあるファイルのメタデータでこの製品名と組織名を偽装しています。
図 14. ペイロード Numero を実行する偽インストーラの実行フロー
この偽インストーラは、悪意のある Windows バッチファイル、VB スクリプト、Numero 実行ファイルを格納したドロッパーであり、ファイル名は「wintitle.exe」です。この偽インストーラは、被害者によって実行されると、ローカル ユーザー プロファイルのアプリケーション一時フォルダにあるフォルダに、悪意のあるコンポーネントをドロップします。次に、ドロップした Windows バッチファイルを Windows シェル経由で実行し、無限ループで繰り返します。バッチファイルは、まず Numero マルウェアを実行し、次に cscript 経由で VB スクリプトを実行して 60 秒後に Numero の実行を停止します。
実行を再開した後、バッチファイルは Numero マルウェアのプロセスを終了し、再度実行を開始します。バッチファイルにこの無限ループを実装することで、Numero マルウェアは被害者のマシン上で継続的に実行されることになります。
図 15. 悪意のある Windows bat ローダー
Numero の動作は、ウィンドウ操作マルウェアと一致しています。Numero は C++ で作成された 32 ビットの Windows 実行ファイルであり、2025 年 1 月 24 日にコンパイルされました。
Numero は、IDA、x64 デバッガ、x32 デバッガ、ollydbg、scylla、windbg、reshacker、ImportREC、Immunity デバッガ、Zeta デバッガ、Rock デバッガなど、さまざまなマルウェア分析ツールとデバッガのプロセスハンドルをチェックして分析を回避します。
図 16. Numero の関数と悪意のあるスレッドのスニペット
Numero マルウェアは、スレッドを作成し、無限ループで実行します。スレッドコードは Windows GUI とやり取りし、Windows API の GetDesktopWindow、EnumChildWindows、SendMessageW を使用して被害者のデスクトップウィンドウを操作します。被害者のマシンのデスクトップウィンドウを継続的に監視し、そのデスクトップに作成された子ウィンドウにフックすると、そのウィンドウのタイトル、ボタン、コンテンツを数値文字列「1234567890」で上書きし、被害者のマシンを破壊して使用不能にします。
図 17 Windows の [ファイル名を指定して実行] ウィンドウが破壊された状態
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Network/Cloud Analytics(Stealthwatch/Stealthwatch Cloud)は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイスで、望ましくない可能性があるアクティビティをユーザーに警告します。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型セキュリティサービスエッジ(SSE)です。Cisco Secure Access はユーザーがどこで作業していても、インターネット、クラウドサービス、プライベート アプリケーションへのシームレスかつ透過的でセキュアなアクセスを提供します。Cisco Secure Access の無料トライアルにご興味をお持ちの場合は、シスコのアカウント担当者または認定パートナーまでお問い合わせください。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
これらの脅威の Snort SID は次のとおりです。
- Snort 2:64901、64902、64899、64900、64897、64898、64896
- Snort 3:301207、301206、301205
ClamAV でも、次の脅威を検出できます。
- Ps1.Ransomware.CyberLock-10045054-0
- Win.Dropper.CyberLock-10045058-0
- Win.Dropper.LuckyGhost-10045078-0
- Win.Ransomware.LuckyGhost-10045080-0
- Win.Loader.Numero-10045084-0
- Win.Dropper.Numero-10045088-0
- Win.Malware.Numero-10045090-0
- Win.Malware.Numero-10045093-0
IOC(侵害の指標)
この脅威の IOC は、こちらの GitHub リポジトリで提供しています。
本稿は 2025 年 5 月 29 日にTalos Group
Authors