Cisco Japan Blog / セキュリティ / 複数の Qilin ケースから分かる最新の攻撃手法

Cisco Talos の武田です。

2025 年上半期における日本でのランサムウェア被害状況を解説したブログにて、「Qilin」は最も警戒すべきランサムウェアグループの一つと紹介しました。
こちらのブログでは、Qilin の最新の攻撃手法について紹介いたします。

この記事は、Cisco Talos の Security Research Enginner である Takahiro Takeda、James Nutland、Jordyn Dunk、Michael Szeliga によるブログ 「Uncovering Qilin Attack Methods Exposed Through Multiple Cases」（2025/10/27）の翻訳です。

Uncovering Qilin Attack Methods Exposed Through Multiple Cases

• 2025 年、Qilin ランサムウェアは、月平均 40 件以上、自身のリークサイトに被害者の情報を継続して掲載し、世界で多くの被害を出しているランサムウェアグループの一つです。
• 製造業の被害が最も多く、次いで、専門、科学技術サービス関連、卸売業となっています。
• False Flag な可能性がありますが、攻撃者（アフィリエイト）が使ったスクリプト内の文字コード windows-1251（キリル文字）が指定されていることから、東欧、ロシア語圏の話者がアフィリエイトとして関係している可能性があります。
• Talos は、データの持ち出し（情報流出）に使用されたツールの中から、クラウドサーバーへのファイル転送を可能にするオープンソースツール「Cyberduck」を特定しました。最新の傾向として、この Cyberduck は、Qilin ランサムウェア関連のケースにおいて広く悪用されていることが確認されています。
  また、アーティファクトログには「notepad.exe」や「mspaint.exe」などの使用痕跡も記録されており、これらは機密情報の閲覧に利用されていたことが判明しています。
• Qilin のケースにおいては、2つ実行方法で、暗号化ツールが使用されていることが確認されました。具体的には、「encryptor_1.exe」が PsExec を介して複数のホストに拡散する一方で、「encryptor_2.exe」は単一のシステム上で実行され、複数のネットワーク共有フォルダーを暗号化していました。

Summary

Qilin（前.Agenda）ランサムウェアグループは、2022 年 7 月ごろから観測され、活動を行っています。図 1 は、攻撃者によって侵害された企業のリストを公開するためのリークサイトです。

このグループは、ファイルの暗号化と窃取した情報を暴露する二重脅迫の手口を取ります。

図 1. Qilin ランサムウェアグループのリークサイト

ここ数年で、Qilin はその活動範囲を拡大し、現在では世界的に最も活発かつ深刻な被害をもたらすランサムウェア脅威の一つとして位置づけられています。
同グループは「Ransomware-as-a-Service（RaaS）」と呼ばれるビジネスモデルを採用しており、自らランサムウェアのプラットフォームや関連ツールを開発・提供し、アフィリエイト（加盟攻撃者）に配布しています。

これらのアフィリエイトは、そのツールを用いて世界各地の組織に対して攻撃を行っています。

Victimology and prevalence

現在の報告によると、最も深刻な影響を受けている国はアメリカ合衆国であり、次いでカナダ、イギリス、フランス、ドイツが挙げられます。

図 2.  Qilinランサムウェアによって被害を出している国

図 3 は、Qilinランサムウェアグループのリークサイトに情報が掲載された被害者数を示しています。データによると、2025 年 6 月に掲載件数が 100 件に達してピークを記録し、8 月にもほぼ同水準の件数が確認されました。

被害者数は月ごとに変動があるものの、1 月を除き、すべての月で 40 件を超えている点が注目されます。これらの結果から、Qilin が依然として継続的かつ重大な脅威であることが分かります。

図 3. Qilinランサムウェアグループのリークサイトに情報が掲載された月別の推移

最も大きな影響を受けているのは製造業であり、全報告件数の約 23％ を占めており、他の業種を大きく上回っています。次いで影響が大きいのは専門・科学技術サービス業で、全体の約18％を占めています。
第 3 位は卸売業で、約 10％ の割合となっており、中間層では、医療、建設、小売、教育、金融といった社会インフラを構成する主要な分野が挙げられ、いずれも平均して約 5％ 程度の影響となっています。

一方、サービス業や一次産業などの分野では比較的件数が少なく、平均で 2％ 未満にとどまっています。

図4. 業種ごとの影響

Qilin ransomware attack flow

2025 年において、Talos は、Qilin ランサムウェアに関連する複数のインシデントに対応いたしました。
全体的な攻撃の流れは図 5 に示しており、以降のセクションでは、各フェーズで確認された戦術・技術・手順（TTPs）について詳細に説明いたします。

図 5.  TTPs VPN 侵害から Qilin ランサムウェア実行までの流れ

Latest Qilin TTPs

Initial Access

Talos は、単一の確定した初期侵入経路を明確に特定することはできませんでした。
しかしながら、いくつかの事例においては、攻撃者がダークウェブ上に漏えいした管理者認証情報を悪用して VPN アクセスを取得し、さらにグループポリシー（Active Directory GPO）を変更して、

リモートデスクトッププロトコル（RDP）を有効化し、被害組織のネットワークへ到達した可能性があると、中程度の確信度をもって評価しています。

図 6 に示したインシデントでは、Talos は、認証情報がダークウェブ上に流出していたことを確認しました。
約 2 週間後、漏えいした認証情報を使用した可能性のある多数の NTLM 認証試行が VPN に対して行われ、その結果、侵入が成功しました。
侵害された VPN から、攻撃者はドメインコントローラーおよび最初に侵入されたホストに対して RDP 接続を実行しました。

この活動は、先に確認された認証情報の流出と時間的な関連が見られますが、両者の間に明確な因果関係を立証するための十分な証拠は得られていません。
特筆すべき点として、この事例で問題となった VPN には多要素認証（MFA）が設定されておらず、そのため攻撃者は認証情報を入手することで制限なくアクセスできる状況となっていました。

図 6. VPNからの侵入されたケース

Reconnaissance and discovery

被害者のネットワークへのアクセスを得た後、攻撃者は「nltest.exe」および「net.exe」を実行し、ドメインコントローラーの列挙およびドメインユーザー情報の収集を行います。

nltest /dclist:<Domain>
net user <Username> /domain

さらに、痕跡からは、攻撃者が「whoami」コマンドを実行してユーザーの権限レベルを確認し、「tasklist」コマンドを用いて「explorer.exe」などの実行中プロセスを列挙し、

「netscan」ツールを使用して追加の偵察活動を行っていたことが示されています。

C:\WINDOWS\system32\whoami.exe /priv
tasklist /FI “IMAGENAME eq explorer.exe” /FO CSV /NH

また、「Qilin ランサムウェア」のセクションで紹介しますが、ランサムウェアの実行時には、ホスト名、ドメインユーザー、グループ、および権限の列挙も行われます。

Credential access and exfiltration

Talos が調査したケースにおいて、認証情報窃取を目的としたと見られる複数のツールを格納した、パスワード保護されたフォルダを確認しました。アーカイブによりすべてのファイルを完全に解析することはできませんでしたが、内容からは Mimikatz、NirSoft が公開している複数のパスワード回復ユーティリティ、およびカスタムスクリプトファイルの使用が示唆されます。

図 7.  認証情報窃取ツールを格納したフォルダの中身

!light.bat バッチファイルには WDigest のレジストリ設定を変更する reg add コマンドが含まれていました。UseLogonCredential を 1 に設定することで、Windows は認証時に平文のログオン資格情報をメモリ上に保持するよう構成されます。このコマンドにより、 Mimikatz のような認証情報ダンプツールによってユーザーのパスワードが抽出される形で悪用される可能性があります。

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /f /d 1

reg add コマンド実行後、バッチファイルは netpass.exe、WebBrowserPassView.exe、BypassCredGuard.exe、SharpDecryptPwd を呼び出し、最終的に Mimikatz を実行します。スクリプト内（図 8 参照）では、SharpDecryptPwd が WinSCP、Navicat、Xmanager、TeamViewer、FileZilla、Foxmail、TortoiseSVN、Google Chrome、RDCMan、SunLogin といった複数のクライアントアプリケーションから保存された認証情報を抽出し、リダイレクトして永続化するように構成されており、これにより収集された認証情報が集約され、後の利用や外部への持ち出し（流出）に利用される状態になります。

図 8. SharpDecryptPwd を使ったアプリケーションの情報窃取

SharpDecryptPwd の実行後、!light.bat によって、mimikatz が実行されます。(図 9)

Mimikatz を通じて実行されたコマンドは、Windows のイベントログの消去、SeDebugPrivilege の有効化、Chrome の SQLite データベースからの保存済みパスワードの抽出、過去のログオンからの資格情報の回復、ならびに RDP、SSH、Citrix に関連する資格情報および構成データの収集します。

図 9. Mimikatzによって収集される認証情報

また、窃取した情報を pars.vbs で整形し、図 10の通り、最終的に、攻撃者の指定する SMTP サーバーに、窃取した情報をまとめた result.txt を送信します。攻撃者の背景の情報として、文字コードを windows-1251（キリル文字）が指定されていることから、東欧、ロシア語圏の話者である可能性が推測できます。

図 10. pars.vbs内の窃取した情報を外部の smtp サーバーに送信するコード

Artifacts of exfiltration

標的のデータが収集された後、WinRAR を使って、パッケージ化され、オープンソースソフトウェアを用いて、流出したケースも確認しています。以下は、実際に実行された WinRAR.exe の引数です。

この WinRAR コマンドでは、ベースフォルダを除外、サブディレクトリの再起処理も行わないように、アーカイブを作成するように設定されています。

C:\Program Files\WinRAR\WinRAR.exe a -ep1 -scul -r0 -iext -imon1　--.  Specify the target files and directories

また、攻撃者は、多数のファイルから機密性の高い情報を探すため、LoLBinsのmspaint.exe や notepad.exe、iexplore.exe を使い、ファイルの中身を確認していることが判明しています。

図 11. 攻撃者よって窃取する情報の選別を行っていると考えられるログ

最新の傾向として、クラウドサーバーへのファイル転送を可能にするオープンソースソフトウェア「Cyberduck」が、Qilin ランサムウェア関連の事例で広く悪用されています。
攻撃者は、正規のクラウドベースサービスをデータ流出に悪用することで、信頼されたドメインや正規のウェブトラフィック内に自身の活動を隠蔽することができます。
図 12 に示すように、Cyberduck の history ファイルからは、Backblaze ホストが送信先として指定されており、大容量ファイルを転送するために分割／マルチパートアップロードのカスタム設定が有効化されていたことが確認できます。

図 12. Cyberduckのhistoryファイル（一部抜粋）

Privilege escalation and lateral movement

上記で説明した窃取された資格情報を使用して、攻撃者は権限昇格とラテラルムーブメントを実行します。
Talos は、侵害されたアカウントが複数の IP アドレスおよびそれらのネットワーク共有へアクセスしていること、ならびに多くの VPN アカウントに対する多数の NTLM 認証試行（おそらく流出した資格情報を使用して）が観測されていることを確認しています。
さらに、リモートアクセスを可能にするためにファイアウォール設定を変更し、レジストリ経由で RDP 設定を変更するコマンドを実行します。併せて、rdpclip.exe などの使用も確認しています。

reg add HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

以下のコマンドでは、攻撃者が指定した特定のアカウントをローカル管理者に追加を行います。これにより、システムの制御を完全に行えるようになります。

C:\Windows\system32\net1 localgroup administrators  /add

また、C ドライブ全体を ”c” という名前でネットワーク共有し、すべてのユーザーにフルアクセス権限を与え、自由に操作できるようコマンドを実行します。

net share c=c:\ /grant : everyone,full

T1219: Remote Access Software

攻撃者は、ランサムウェアを実行する前に、ユーザーが正規に使用しているリモート監視および管理（RMM）ツールとは異なる RMM ソフトウェアをインストールします。
Talos は、インストールされた RMM がラテラルムーブメントに使用されたと断定できませんでしたが、AnyDesk、Chrome Remote Desktop、Distant Desktop、GoToDesk、QuickAssist、そして ScreenConnect を含む複数の RMM ツールの痕跡を確認しています。
図 13 は実際の ScreenConnect 接続ログの抜粋を示しており、ScreenConnect がポート8880 でコマンド＆コントロール（C2）サーバーに接続していたことを示しています。

図 13. ScreenConnectのインストールと C2 への接続（一部抜粋）

Defense evasion

Obfuscated Powershell

図 14 と図 15 は、検知回避を目的として、数値エンコードで 2 つのパターンの難読化された PowerShell のコードです。

図 14. obfuscated PowerShell No. 1.

図 15. obfuscated PowerShell No. 2.

下記は、図 14 と図 15 の難読化をデコードした際の Powershell コマンドです。

[Net.ServicePointManager]::ServerCertificateValidationCallback = {$true}
try{
[Ref].Assembly.GetType('Sys'+'tem.Man'+'agement.Aut'+'omation.Am'+'siUt'+'ils').GetField('am'+'siIni'+'tFailed', 'NonP'+'ublic,Sta'+'tic').SetValue($null, $true)
}catch{}
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

これらのコマンドを実行すると、3 つの変更が行われます。まず、AMSI を無効化します。その結果、バッチファイルやマルウェアなどのペイロードの実行が妨げられなくなります。次に、TLS 証明書の検証を無効にし、悪意のあるドメインや C2 サーバーへの接続の障壁が取り除かれます。最後に、Restricted Admin を有効にし、RDP 認証はパスワードではなく NT ハッシュや Kerberos チケットに依存するようになります。パスワードは保持されないものの、NT ハッシュはシステム上に残り、攻撃者がユーザーになりすますために悪用される可能性があります。

1. AMSI を無効化する
2. TLS 証明書の検証を無効化する
3. Restricted Admin を有効にする

Disabling EDR

Talos は EDR を無効化する試みの痕跡を複数観測しました。 EDR の uninstall.exe を直接実行するコマンドや sc コマンドでサービスを停止しようとするコマンドは、頻繁に観測しています。同時に、攻撃者が dark-kill や HRSword といったオープンソースのツールを実行している例も確認されています。以下のコマンドは dark-kill の使用痕跡です。通常のユーザーモードで実行する代わりに、dark.sys を Windows カーネルに読み込むドライバとして指定し、サービス名 dark で起動しています。痕跡からは、必要に応じて攻撃者が別パスからドライバを再登録し、最後にサービスを削除して痕跡を消していることも示されています。

sc create dark type= kernel binPath=dark.sys
sc start dark
sc create dark type= kernel binPath=C:\Users\\Downloads\DarkKill\Debug\dark.sys
sc delete dark 

さらに、HRSword.exe を実行するために、攻撃者は mshta 経由で VBScript を使い、ShellExecute の runas オプションを指定して管理者権限でバッチファイルを実行しようとする試みも確認されています。ログには 1.bat 実行後にショートカットファイル HRSword.lnk が作成された記録があるため、HRSword.exe がその .lnk ファイル経由で起動されている可能性があります。

mshta vbscript:CreateObject(Shell.Application).ShellExecute(cmd.exe,/c C:\Users\xx\xxx\HRSword\HRSWOR~1.BAT ::,,runas,1)

impact and inhibit recovery

Qilin ランサムウェアが実行される前に、Talos は Cobalt Strike ローダー や SystemBC のリモートアクセスツールが実行される事例を確認しています。Cobalt Strike は侵害されたホスト上で先に検出されているものの、Cobalt Strike が SystemBC をインストールしたかどうかは明らかではありません。

Cobalt Strike Loader

Talos が調査した Cobalt Strike ローダー は、図 16 に示すバイナリの .bss セクションに含まれる暗号化ペイロードを復号し、続いて Cobalt Strike Beacon をメモリ上に展開して実行します。

図 16. .bssセクションに含まれる暗号化されたペイロード

図 17 に示す処理の流れで、埋め込まれている暗号化ペイロードをメモリ上で実行します。

CreateThreadpoolWait APIとSetThreadpoolWait API は、Windows のスレッドプール API で、よく使用される CreatThread API（新しいスレッドを即時作成し、指定アドレスからコードを実行）とは異なり、イベントやオブジェクトの状態変化を待ち受けて、自動的にワーカーに処理させる方法です。このコードでは、まず、CreateThreadpoolwait の引数から decrypted_buf がコールバック関数として登録し、待機オブジェクトがシグナル状態になったら、このコールバックを呼んでくれる仕組みを作成します。その後、VirtualProtect で実行権限を付与し、アンチサンドボックスを目的とした図に示す MesssageBoxA によってユーザー操作を促します。

ユーザーが OK をクリックすると、SetThreadpoolWait が呼ばれ、EventA は最初からシグナル状態（bInitialState = 1）のため、即座にメモリに展開された復号したコードが実行されます。

図 17. Cobalt Strike Loader のメイン処理

図 18. MessageBoxA API によるアンチサンドボックス

復号には、RC4 をベースにしたカスタム復号ルーチンを実装しており、先頭 2048 バイトは全体を復号し、その後は 32 バイト単位で前半 24 バイトのみを復号します。

以降の 8 バイトは暗号化されたまま残されるため、標準的な RC4 とは異なる動作をしています。

図 19. Custom RC4の処理

Cobalt Strike Beacon

メモリ上に展開された Cobalt Strike Beacon は、その設定（config）により Cobalt Strike バージョン 4.x として構成されており、Malleable C2 を使用して HTTP ヘッダを偽装するよう設定されています。
この構成では http_get_header と http_post_header に “Host: ocsp.verisign.com” が含まれており、視認されるホストヘッダを実際の送信先と異なるようにし、通信を OCSP や証明書配布に見せかけています。
通信は TCP ポート 443 上の HTTPS を使用して Team Server（C2）へ行うよう設定されています。

図 20.  1768.py (Cobalt Strike Config Parser) の出力結果 （一部抜粋）

Qilin Ransomware

Talos では、複数のケースで「Qilin.B」と呼ばれている Qilin ランサムウェアの亜種が使用されていることを確認しています。

本節ではその挙動について説明します。詳細については、Halcyon が 2024 年 10 月に公開した解析記事も参照していただけますと幸いです。

Execution method

攻撃者は、単一のランサムウェアのみを実行するケースもありますが、2 つのランサムウェアを展開しているケースも確認しています。2 つのランサムウェアを実行するケースにおいては、1 つ目を、「encryptor_1.exe」を、PsExec を使用して環境全体に配布されました（下記のコマンド参照）。このコマンドは、ローカルの <encryptor_1>.exe をリモート \\IPaddress にコピーして、管理権限で昇格を行い、起動します。もう 1 つの「encryptor_2.exe」は単一のシステムから実行され、複数のネットワーク共有を対象にしています。

cmd /C [PsExec] -accepteula \\IP Address -c -f -h -d -i
C:\Users\xxx\.exe --password [PASSWORD] --spread --spread-process

PowerShell command executed

Powershell を使ったコマンドが、AD から効率的に、全コンピュータのホスト名を取得するため、実行されます。

powershell -Command Import-Module ActiveDirectory ; Get-ADComputer -Filter * | Select-Object -ExpandProperty DNSHostName

Powershell を使ったもう一つのコマンドとして観測されているのは、Active Directory 用の リモート サーバー管理ツール（RSAT-AD-PowerShell モジュール）のインストールを行うものです。AD ドメイン サービス（AD DS）および AD ライトウェイト ディレクトリ サービス（AD LDS）に関連する PowerShell コマンドレットを実行します。これにより、ドメイン ユーザー、グループ、特権の列挙が可能になります。

Powershell -Command ServerManagerCmd.exe -i RSAT-AD-PowerShell ; 
Install-WindowsFeature RSAT-AD-PowerShell ; Add-WindowsCapability -Online -Name 'RSAT.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0' 

また、Get-WinEvent -ListLog * で、システム上の全イベントログの一覧を取得し、RecordCount が 0 でないログ（中身が空ではない）をフィルタし、.NET の EventLogSession クラスの GlobalSession.ClearLog() メソッドを呼び出して、指定したログを全削除します。

powershell $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in  $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)}

最後に、仮想化環境内のホストを標的とする PowerShell スクリプトはハードコードされています。
PowerShell の処理の一つとして、vCenter サーバーへの接続を確立し、vCenter 環境内のすべてのデータセンターとクラスタを列挙し、クラスタ設定で HA と DRS を無効化します。（図 21）

図 21.  Disable-ClusterServices 関数

その後、すべての ESXi ホストを列挙、root パスワードを変更し、SSH アクセスを有効化します。最後に、任意のバイナリを /tmp ディレクトリへアップロードし、特定したすべてのホスト上で実行します。

バイナリには chmod +x で実行権を付与し、$esxiRights に定義されているコマンドで /User/execInstalledOnly を 0 に設定して（これにより署名されていないバイナリの実行を許可）、Process-ESXis 関数を使って全ホスト上でペイロードを実行します。

図 22.  Process-ESXi 関数および Process-ESXis 関数（一部抜粋）

Lateral movement

ランサムウェア実行時にファイルアクセスの範囲を広げ、影響を大きくするために、fsutil コマンドも実行されます。このコマンドはシンボリックリンクに対する操作を行います。R2R は Remote to Remote（ネットワーク共有から別のネットワーク共有へ）、R2L は Remote to Local（ネットワーク共有からローカルへ）を意味します。
これら二つの動作をそれぞれ実行・有効化することで、攻撃者は異なる効果を達成できます。例えば R2R では、サーバ A のシンボリックリンクを用いて別のサーバ B 上のファイルを参照できます。R2L の場合は、サーバ A の共有シンボリックリンクがホスト上のファイルを指していれば、攻撃者はそのリンク経由でホストのローカルファイルにアクセスできます。これらのコマンドは PsExec を使って実行されることがあります。

cmd /C net use
cmd /C fsutil behavior set SymlinkEvaluation R2R:1
cmd /C fsutil behavior set SymlinkEvaluation R2L:1 

Delete backup

ランサムウェアは Volume Shadow Copy Service（VSS）の起動タイプを「手動」に変更し、VSS が保持するすべてのシャドウコピー（ボリュームスナップショット）を削除します。

cmd /C net start vss
cmd /C wmic service where name='vss' call ChangeStartMode Manual
cmd /C vssadmin.exe Delete Shadows /all /quiet
cmd /C net stop vss
cmd /C wmic service where name='vss' call ChangeStartMode Disabled

Ransom note

図 23 に示されている身代金要求文（ランサムノート）は、暗号化された各フォルダに作成されます。ノートには主に、データが漏洩したことが記載されており、Tor 接続を必要とする .onion アドレスのリークサイトへのリンクと、Tor 環境がない被害者向けに Tor 不要でアクセスできる（IP アドレスで指定された）URL が記載されています。また、含まれるデータの種類や、要求を無視した場合の影響に関する警告も記載されています。
さらに「Credential」欄には、被害企業ごとに一意の企業 ID がファイル拡張子として割り当てられており、ノートに示されたドメイン URL を使用することで、その一意のログイン ID とパスワードでサイトにアクセスできると記載されています。

図 23. Qilin ランサムノート（一部抜粋）

Config

Qilin ランサムウェアの設定ファイルには、ファイル暗号化の設定、サービスやプロセスの停止対象リスト、および組織固有のアカウントなどが含まれます。

リスト項目は全部で 8 つあり、そのうちの 4 つは以下のとおりです：

• “extension_black_list” 暗号化されないファイル拡張子
• “extension_white_list” このランサムウェアが明示的に暗号化する拡張子
• “filename_black_list” 暗号化しないファイル名
• “directory_black_list” 暗号化しないディレクトリ名

white_symlink_subdirs という二つのリストも確認しています。解析した Qilin ランサムウェアには、white_symlink_dirs のリストは空で、white_symlink_subdirs のみが、

ClusterStorage と指定されていました。ここで指定されている ClusterStorage は、Windows Server の Failover Cluster（クラスタ共有ボリューム, CSV）で使用されるディレクトリ名で、CSV には Hyper-V の仮想マシン（VHDX）やデータベースといった、組織にとって極めて重要なファイルが配置されます。ランサムウェアの被害を増大させるため、一般ユーザーディレクトリだけでなく、仮想化基盤やクラスタ環境を直接人質に取ることを目的としていることが分かります。

そのため、ClusterStorage のサブディレクトリにあるファイルは、確実に暗号化したいリストとして指定されています。white_symlink_dirs のリストは空であるのは、シンボリックリンクをたどって、無限ループや二重暗号化などを防ぐためだと考えられます。

process_black_list と win_services_black_list は、終了させるプロセスとサービスを指定しています。データベース関連、バックアップ、セキュリティ、リモート管理などが対象となっています。そして、この Config には、興味深い点として、図 24 に示す通り、被害者環境固有のドメイン、ユーザー名、パスワードの情報がハードコードされていました。攻撃者が事前に、偵察した情報をもとに、ランサムウェアに組込み、権限昇格に利用していることが分かります。

extension_black_list

["themepack", "nls", "diapkg", "msi", "lnk", "exe", "scr", "bat", "drv", "rtp", "msp", "prf", "msc", "ico", "key", "ocx", "diagcab", "diagcfg", "pdb", "wpx", "hlp", "icns", "rom", "dll", 
"msstyles", "mod", "ps1", "ics", "hta", "bin", "cmd", "ani", "386", "lock", "cur", "idx", "sys", "com", "deskthemepack", "shs", "theme", "mpa", "nomedia", "spl", "cpl", "adv", "icl", "msu", "company_id"]

extension_white_list

["mdf", "ldf", "bak", "vib", "vbk", "vbm", "vrb", "vmdk", "abk", "bkz", "sqb", "trn", "backup", "bkup", "old", "tibx", "pfi", "pvhd", "pbf", "dim", "gho", "vpcbackup", "arc", "mtf", "bkf", "dr"]

filename_black_list

["desktop.ini", "autorun.ini", "ntldr", "bootsect.bak", "thumbs.db", "boot.ini", "ntuser.dat", "iconcache.db", "bootfont.bin", "ntuser.ini", "ntuser.dat.log", "autorun.inf", "bootmgr", "bootmgr.efi", "bootmgfw.efi", "#recycle", "autorun.inf", "boot.ini", "bootfont.bin", "bootmgr", "bootmgr.efi", "bootmgfw.efi", "desktop.ini", "iconcache.db", "ntldr", "ntuser.dat", "ntuser.dat.log", "ntuser.ini", "thumbs.db", "#recycle", "bootsect.bak"]

directory_black_list

["windows", "system volume information", "intel", "admin$", "ipc$", "sysvol", "netlogon", "$windows.~ws", "application data", "mozilla", "program files (x86)", "program files", "$windows.~bt", "msocache", "tor browser", "programdata", "boot", "config.msi", "google", "perflogs", "appdata", "windows.old", "appdata", "..", ".", "boot", "windows", "windows.old", "$recycle.bin", "admin$"]

white_symlink_subdirs

["ClusterStorage"]

process_black_list

["vmms", "vmwp", "vmcompute", "agntsvc", "dbeng50", "dbsnmp", "encsvc", "excel", "firefox", "infopath", "isqlplussvc", "sql", "msaccess", "mspub", "mydesktopqos", "mydesktopservice", "notepad", "ocautoupds", "ocomm", "ocssd", "onenote", "oracle", "outlook", "powerpnt", "sqbcoreservice", "steam", "synctime", "tbirdconfig", "thebat", "thunderbird", "visio", "winword", "wordpad", "xfssvccon", "bedbh", "vxmon", "benetns", "bengien", "pvlsvr", "beserver", "raw_agent_svc", "vsnapvss", "cagservice", "qbidpservice", "qbdbmgrn", "qbcfmonitorservice", "sap", "teamviewer_service", "teamviewer", "tv_w32", "tv_x64", "cvmountd", "cvd", "cvfwd", "cvods", "saphostexec", "saposcol", "sapstartsrv", "avagent", "avscc", "dellsystemdetect", "enterpriseclient", "veeamnfssvc", "veeamtransportsvc", "veeamdeploymentsvc", "mvdesktopservice"]

win_services_black_list

["vmms", "mepocs", "memtas", "veeam", "backup", "vss", "sql", "msexchange", "sophos", "msexchange", "msexchange\\$", "wsbexchange", "pdvfsservice", "backupexecvssprovider", "backupexecagentaccelerator", "backupexecagentbrowser", "backupexecdivecimediaservice", "backupexecjobengine", "backupexecmanagementservice", "backupexecrpcservice", "gxblr", "gxvss", "gxclmgrs", "gxcvd", "gxcimgr", "gxmmm", "gxvsshwprov", "gxfwd", "sapservice", "sap", "sap\\$", "sapd\\$", "saphostcontrol", "saphostexec", "qbcfmonitorservice", "qbdbmgrn", "qbidpservice", "acronisagent", "veeamnfssvc", "veeamdeploymentservice", "veeamtransportsvc", "mvarmor", "mvarmor64", "vsnapvss", "acrsch2svc", "(.*?)sql(.*?)"]

Accounts

図 24. ハードコードされた被害者環境固有のドメイン、ユーザー、パスワード

Generating execution logs

実行すると、％TEMP% 配下に、QLOG というフォルダを作成し、ThreadId({Number}).LOG というファイルが複数作成されます。

攻撃者が暗号の段階のログを詳細に確認できる設計となっていることが分かります。

図 25. ThreadId({Number}).LOG の中身（一部抜粋）

Change wallpaper setting

%TEMP% 配下に、ランサムウェアが壁紙に使用する jpg 画像を作成し、以下のレジストリの値を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
(Example)
Value: C:\%TEMP%ElSDJGep.jpg

図 26. ランサムウェアによる壁紙の変更

Persistence

ランサムウェアによる暗号化実行後、それぞれ以下のコマンドで、タスクスケジュールとレジストリの操作によって、永続化を実現します。

一つ目のタスクスケジュールでは、作成するタスク名を TVInstallRestore にし、ログイン時で実行するように、/SC ONLOGON を引数で指定しています。

また、正規ツールと誤認させるため、ランサムウェアのファイル名を TeamViewer_Host_Setup – <encryptor_2>.exe として、侵害される前にインストールされていた TeamViewer を名前に使っていました。

二つ目では、再起動の度に、ランサムウェアを実行させるため、RUN キーに、ランサムウェアの実行ファイルが、値に登録されます。

C:\WINDOWS\system32\schtasks /Create /TN TVInstallRestore /TR C:-INSTALLERS\TeamViewer_Host_Setup – .exe /RESTORE /RU SYSTEM /SC ONLOGON /F

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Key
*random-alphabet in lowercase letters
Key Value
C:\Users\Administrator\Desktop\.exe --password [PASSWORD]--no-admin;

Appendix

図 27.  複数の事例における、侵害後の TTPs/ツールの概要

MITRE ATT&CK TTPs

Coverage

Cisco Secure Endpoint（旧 AMP for Endpoints）は、本投稿で詳述したマルウェアの実行を防止するのに最適です。こちらから Secure Endpoint を無料でお試しいただけます。

Cisco Secure Email（旧 Cisco Email Security）は、脅威アクターがキャンペーンの一環として送信する悪意あるメールをブロックできます。こちらから Secure Email を無料でお試しいただけます。

Cisco Secure Firewall（旧 Next-Generation Firewall および Firepower NGFW）は、Threat Defense Virtual、Adaptive Security Appliance、Meraki MX などのアプライアンスを通じて、本脅威に関連する悪意のある活動を検知できます。

Cisco Secure Network/Cloud Analytics（Stealthwatch／Stealthwatch Cloud）は、ネットワークトラフィックを自動的に分析し、接続されているすべてのデバイス上で発生する潜在的に不要なアクティビティをユーザーに通知します。

Cisco Secure Malware Analytics（Threat Grid）は、悪意あるバイナリを特定し、すべての Cisco Secure 製品に対して保護機能を組み込みます。

Cisco Secure Access は、ゼロトラストの原則に基づいて構築された、最新のクラウド提供型 Security Service Edge（SSE）です。Secure Access は、ユーザーがどこで働いていても、インターネット、クラウドサービス、またはプライベートアプリケーションへのシームレスで透過的かつ安全なアクセスを提供します。Cisco Secure Access の無料トライアルにご興味のある方は、Cisco のアカウント担当者または認定パートナーまでお問い合わせください。

Umbrella は Cisco のセキュアインターネットゲートウェイ（SIG）であり、ユーザーが社内ネットワーク内外のいずれにいても、悪意のあるドメイン、IP、URL への接続をブロックします。

Cisco Secure Web Appliance（旧 Web Security Appliance）は、潜在的に危険なサイトを自動的にブロックし、ユーザーがアクセスする前に不審なサイトを検査します。

お客様の特定の環境や脅威データに応じた追加の保護は、Firewall Management Center から利用できます。

Cisco Duo はユーザーに多要素認証を提供し、認可されたユーザーのみがネットワークへアクセスできるようにします。

オープンソースの Snort Subscriber Rule Set の利用者は、Snort.org で購入可能な最新のルールパックをダウンロードすることで、常に最新の状態を維持できます。

Snort SIDs for the threats are: 65446

この脅威については、ClamAV による検出も提供されています。

• Win.Ransomware.Qilin-10044197-0
• Win.Trojan.Systembc-10058229-0
• Win.Loader.CobaltStrike-10058228-0
• Win.Dropper.Mimikatz-9778171-1

Indicators of compromise (IOCs)

本投稿に関する IOCs はこちらからダウンロードできます。

Authors

Takahiro Takeda

Security Research Engineer

Talos, TI&I, Outreach team