Memento ランサムウェアによる WinRAR 悪用の奇策とは?

New Memento ransomware switches to WinRar after failing at encryption

2021/11/18 BleepingComputer — Memento と呼ばれる新しいランサムウェア・グループが、セキュリティ・ソフトウェアに暗号化方法が検出され続けた後に、パスワードで保護されたアーカイブ内でファイルをロックするという珍しい方法をとっている。先月、このグループは、被害者のネットワークにイニシャル・アクセスするために、VMware vCenter Server の Web クライアントの欠陥を悪用することでし、活動を開始した。

この vCenter の脆弱性は、CVE-2021-21971 として追跡されている、認証なしのリモートコード実行のバグであり、深刻度は 9.8 となっている。この脆弱性により、vCenter サーバの公開されている TCP/IP Port 443 にリモート・アクセスが可能な脅威アクターは、管理者権限により OS 上でコマンドを実行できる。

2021年2月に、この欠陥に対するパッチが公開されているが、Memento の運用状況が示すように、多数の組織がパッチを適用していないようだ。そして、4月以降に Memento による悪用が始まり、5月には別の驚異アクターもこの脆弱性を悪用し、PowerShell コマンドで XMR マイナーをインストールしていることが確認されている。

vCenter を悪用したランサムウェアの展開

10月に Memento は、ランサムウェアの運用も開始している。vCenter を利用して標的となるサーバーから管理者資格を抽出し、スケジュールされたタスクによる永続性を確立した後に、RDP over SSH を使用してネットワーク内で横方向に拡散している。偵察段階の後に、脅威アクターたちは、盗んだファイルのアーカイブを WinRAR で作成し、それを流出させている。

最終的に、Jetico のデータ消去ユーティリティー BCWipe を用いて、残された痕跡を消去した後に、Python ベースのランサムウェア系統を使用して AES 暗号化を行っている。ただし、ランサムウェア対策保護が備わっているシステムの場合には、Memento が拙速に暗号化ファイルを試みることで、被害が発生する前に暗号化ステップが検出されてしまった。

ワーク・アラウンド

セキュリティ・ソフトウェアによる一般的なランサムウェア検出を回避するために、Memento は暗号化を完全にスキップし、パスワードで保護されたアーカイブにファイルを移動させるという、興味深い戦術を思いついた。それを実現するために、このグループは、ファイルを WinRAR アーカイブに移動させ、アクセス保護のために強固なパスワードを設定し、そのキーを暗号化し、最後に元のファイルを削除するようになった。

Sophos の Analyst である Sean Gallagher は、「”crypt “コードは、ファイルを暗号化する代わりに、暗号化されていない状態のファイルをアーカイブ・ファイルに入れ、WinRAR のコピー機能を使用して各ファイルを、 .Vaultz というファイル拡張子を持つかたちで独自のアーカイブに保存した。さらに、アーカイブされた各ファイルにはパスワードが生成された。そして、そのパスワード自体が暗号化されたのだ」と述べている。

ドロップされた身代金メモでは、完全復旧のための 15.95 BTC ($940,000) の支払、および、1ファイルあたり 0.099 BTC ($5,850) の支払いが要求されている。

Sophos が調査したケースでは、被害者がバックアップを使ってファイルを復元したことで、これらの恐喝の試みは身代金の支払いには至っていない。しかし、Memento は新しいグループであり、非典型的な手法が有効であることを発見したことで、他の標的を攻撃する可能性がある。このように、VMware vCenter Server/Cloud Foundation を使用している場合は、既知の脆弱性を解決するために、最新バージョンへの更新が推奨されている。

独自の暗号化ツールなどを使用すると、そのプロセスが検知され、攻撃が失敗に終わるため、その役割を WinRAR に肩代わりさせるという手口です。こうした、正規のプロセスであれば、検出ソフトによる判別が困難になり、攻撃の成功率が高まるはずです。難読化の一種ですが、10月28日に紹介した Wslink マルウェアと並んで、厄介な相手になりそうです。

%d bloggers like this: