LockFile ランサムウェアは PetitPotam 攻撃で Windows ドメインを乗っ取る

LockFile ransomware uses PetitPotam attack to hijack Windows domains

2021/08/20 BleepingComputer — 少なくとも1人のランサムウェア脅威アクターが、最近発見された PetitPotam NTLM リレー攻撃手法を利用して、世界中の様々なネットワーク上の Windows ドメインを乗っ取り始めている。この攻撃の背後には、7月に初めて確認された、LockFile と呼ばれる新しいランサムウェア・ギャングがいるようだが、同業のグループとの類似性や参照点が見られる。

PetitPotam を利用した DC へのアクセス

LockFile の攻撃は、主として米国とアジアで記録されており、その被害者には、金融サービス/製造/エンジニアリング/法律/ビジネスサービス/旅行/観光などの分野が含まれている。Broadcom の一部門である Symantec のセキュリティ研究者によると、攻撃者が最初にネットワークにアクセスするときには、Microsoft Exchange サーバーを介しているが、その正確な方式は不明である。続いて攻撃者は、LockFile の制御下にあるリモート NTLM リレーへの認証を強制する、新しい PetitPotam メソッドを利用して、組織のドメイン・コントローラを乗っ取る。

7月に、セキュリティ研究者である Gilles Lionel が発見したPetitPotam には、いくつかのバリエーションがあり、Microsoft は阻止しようとし試み続けている。しかし、現時点では、公式の緩和策や更新プログラムでは、PetitPotam の攻撃ベクトルを完全にはブロックできていない。LockFile 脅威アクターは、一般に公開されているコードを頼りに、オリジナルのPetitPotam (CVE-2021-36942 としてトラッキングされている) のバリエーションを悪用しているようだ。ドメイン、コントローラの乗っ取りに成功すると、攻撃者は Windows ドメイン全体を制御できるようになり、任意のコマンド実行が可能になる。

LockBit との類似性

Symantec は、本日のブログ記事で、LockFile ランサムウェアの身代金メモが、LockBit ランサムウェア・グループが使用しているものと、きわめて似ていると指摘している。さらに、この新しいグループは、被害者に残した連絡先の電子メールアドレス (contact@contipauper[.]com) の中で、Conti グループについても少しだけ言及しているように見える。このメールドメインの選択から LockFile を推測すると、先日に攻撃プレイブックをリークした、Conti 系列の不満分子プロジェクトのようも思える。

攻撃チェーンのギャップ

Symantec は、LockFile の攻撃経路を分析し、この種の攻撃で典型的に事例と同様に、ファイル暗号化マルウェアを爆発させるまでの少なくとも数日間は、ハッカーがネットワーク上で過ごしていると指摘している。研究者によると、被害者の Exchange サーバを侵害する際、攻撃者はリモート・ロケーションからファイルをダウンロードするために、PowerShell コマンドを実行している。攻撃の最終段階では、ランサムウェアを展開する 20~30分前に、侵害された Exchange サーバーに PetitPotam エクスプロイトと、2つのファイルをインストールすることで、ドメイン・コントローラーの乗っ取りを進める。

-Active_DESKOP_RENDER.DLL
-active_desktop_launcher.exe (正規の KuGou Active Desktop ランチャー)

正規の KuGou Active Desktop ランチャーを悪用して、DLL ハイジャック攻撃を行い、悪意の DLL をロードしてセキュリティ・ソフトウェアによる検出を回避する。研究者によると、このランチャーにより読み込まれた DLL は、シェルコードを含む「desktop.ini」というファイルを、読み込んで復号化するそうだ。Symantec は、このファイルを回収して分析というレベルに達していないが、一連の操作が成功すると最後にシェルコードが実行されるという。

最終的には、ローカルのドメイン・コントローラー上に、LockFile ランサムウェアのペイロードをコピーし、サーバーへの認証直後にクライアント・ホスト上で実行される、スクリプトと実行ファイルの助けを借りて、ネットワーク上にプッシュする。Symantec によると、LockFile は新しいランサムウェア脅威アクターであり、コミュニティで著名なプレイヤーもしくは、引退したかプレイヤーとの、つながりがあると考えている。いまも LockFile は活動しており、最近でも被害者のネットワーク内で発見されている。

先日に「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した」をポストしましたが、そこには LockFile は言及されていませんでした。このところ、LockBit に関するニュースが目に付きますが、どの脅威アクターも Exchange と Windows を狙っています。それだけ、攻撃に成功したときに、得るものが大きいのでしょう。また、PetitPotam (CVE-2021-36942 ) のバリエーションも増えていきそうですね。この後にポストする、「LockFile ランサムウェアは ProxyShell 脆弱性を介して Microsoft Exchange を攻撃する」も、合わせて ど〜ぞ。

%d bloggers like this: