Yanluowang ランサムウェアが米国の金融業界を狙っている

Yanluowang Ransomware Targeting U.S. Financial Corporations

2021/12/01 SecurityWeek — Symantec のセキュリティ研究者たちは、ランサムウェア Yanluowang について、FiveHands グループに所属していた脅威アクターが運用していると考えている。Yanluowang は、10月に公開されたばかりの未開発のランサムウェアとも思えるが、大規模な組織を対象とした一連の標的型攻撃に利用されている。敵対者たちは、この攻撃の一環として、AdFind も偵察のために使用していた。

Symantec によると、Yanluowang ランサムウェアは、「2021年8月以降に、米国企業に対する標的型攻撃を行う脅威アクターにより使用されている」とのことだ。金融部門が主な標的となっているようだが、製造業/IT サービス/コンサルタント/エンジニアリング分野も標的にされている。

敵対者が採用した TTP (Tactics/Techniques/Procedures) は、ランサムウェア Thieflock の運用者が使用したものと類似していることから、この脅威アクターが新しいマルウェア・ファミリーに切り替えた可能性もある。Thieflock は、FiveHands グループが開発した RaaS であり、かつての Thieflock アフィリエイトが、いまは Yanluowang を運用していると、Symantec は考えているようだ。

この仮説は、カスタムなパスワード回復ツールや、オープンソースのネットワーク・スキャン・ツール、無料のブラウザなどが、攻撃に使われていることに基づいている。しかし、この2つのランサムウェア・ファミリーが、作者を共有しているようには見えないと Symantec は述べている。

最近になって確認された Yanluowang の攻撃では、感染したマシンに様々なペイロードをダウンロードするために PowerShell が使用され、また、レジストリで RDP が有効になっていることで、感染したマシンへのリモートアクセスが行われる。また、リモートアクセス・ツール ConnectWise も導入されている。

攻撃者は、AdFind を使用して Active Directory を照会し、横移動の対象となるシステムを特定している。各種の認証情報窃取ツールである GrabFF/GrabChrome/BrowserPassView/KeeThief などが使われ、SoftPerfect Network Scanner も使用されている。また、Symantec は、スクリーン・キャプチャや、ファイル流出ツール、Cobalt Strike Beacon、ProxifierPE などのツールの使用を確認している。

Yanluowang という名前からは、なんとなく中国系の響きが感じられますが、それは、命名した Symantec からのサインなのでしょうか?また、AdFind を検索すると、フリーのコマンドライン・ツールで、Active Directory から情報を収集するものらしいです。新しいランサムウェアなので、続報が出てくると思われます。

%d bloggers like this: