LockBit ランサムウェアの進化:Ngrok 悪用や Neshta 感染などの新たな手法とは?

Evolution of the LockBit Ransomware operation relies on new techniques

2022/07/09 SecurityAffairs — Cybereason の Global Security Operations Center (GSOC) Team は、脅威の状況を調査し、その攻撃を軽減するための推奨事項を提供する、Cybereason Threat Analysis Reports を発表した。ランサムウェア Lockbit の進化に着目する研究者たちは、全く異なる時期に発生した2つの感染について詳述し、そのオペレーションにおける進化の状況を浮き彫りにしている。

Cybereason の研究者たちは、そこで用いた複数のテクニックにより、ターゲットのシステムを感染させる Lockbit の進化を記録している。ランサムウェアのアフィリエイトたちは、EDR (Endpoint Detection and Response) ツールなどのセキュリティ・ソリューションを、無効化させるための技術を向上させている。

専門家たちによる分析結果では、「LockBit は、RaaS (Ransomware as a Service) モデルで運営されている。LockBit のアフィリエイトたちは、自分たちの好みに合わせて攻撃を行い、また、目的を達成するために、様々なツールやテクニックを使用している。キル・チェーンに沿って攻撃が進むにつれ、さまざまなケースにおけるアクティビティが、類似のものに収束する傾向がある」と述べられている。

Lockbit RaaS のアフィリエイトたちは、自身のツールを活用してネットワークやシステム全体を侵害し、身代金の獲得に成功すると、報酬としてその何割かを受け取る仕組みになっている。

2021年 Q4 に実施された最初の攻撃では、LockBit ギャングと連携するアフィリエイトたちが、独自のマルウェアとツールを使用してターゲットを侵害していた。研究者が分析した大半の感染において、攻撃者たちは、設定ミスのあるサービスを、特に一般に開放された RDP ポートを悪用して、標的のネットワークを侵害していた。


このレポートは、「アプリケーションのパッチおよび脆弱性を悪用する不正なネットワーク・アクセスや、従業員のコンピュータを経由したネットワーク侵入、古典的なフィッシング・メールを介した有害なファイルのダウンロードなどのケースもある」と続けている。

脅威アクターたちは、侵入したネットワークに最初の足場を築いた後に、Mimikatz や Netscan などのツールを用いて、偵察活動や認証情報の抽出を開始する。

2022年 Q4 に発生した2番目の感染についても、このレポートは解説している。研究者たちは、最初の侵害から、横方向の動き/持続性の確立/権限の拡大/最終的なランサムウェア展開にいたるまで、さまざまな攻撃の段階を詳述している。

攻撃者たちは、net.exe を活用してドメイン・アカウントを作成し、その権限をドメイン管理者に昇格させ、被害者のネットワーク上で永続性を獲得し、拡散させたという。また、研究者たちは、正規のリバース・プロキシ・ツールである Ngrok の悪用も発見した。攻撃者は、このツールを悪用することで、ファイアウォールのサーバーへのトンネル作成が可能になる。

また攻撃者は、標的ネットワーク内の他のマシンを、マルウェア Neshta に感染させた。それは、標的の実行可能ファイルに悪意のコードを挿入するファイル・インフェクターである。

この時点で、LockBit アフィリエイトは、LockBit ペイロードを実行し、暗号化を開始するために必要な、すべての手順を完了している。

  • 複数の感染マシンによる、ネットワーク上での永続性
  • トップ・プライオリティ・アカウントへのアクセス
  • 被害者データの収集/流出
  • ネットワークの発見とスキャンによる、大半の資産のリストアップ


さらに、専門家たちは、Mitre マッピングに加えて、Indicators of Compromise も公開している。

最近になり、LockBit 3.0 がリリースされ、バグバウンティ・プログラム/暗号通貨 Zcash による身代金要求/新しい恐喝戦術などが追加されている。このギャングは 2019年から活動しており、現在では最も活発なランサムウェア・ギャングの1つとなっている。

LockBit に関する調査/分析の結果を共有しようとする、Cybereason のレポートをベースにした記事です。最近の LockBit で印象に残っているトピックは、文中にもあるバグバウンティ・プログラムによるエコシステムの拡大です。それなりの財力がなければ実現できないことです。また、著作権違反を主張する偽のメールで、初期感染させるという、狡猾な手口も見逃せません。今年に入ってからでも、Bridgestone AmericasFoxconnMandiant といった大手企業に対して、ランサムウェア攻撃を仕掛けています。このランサムウェア・グループが研究される背景には、それなりの理由があるのでしょう。

%d bloggers like this: