New “Rorschach” Ransomware Spread Via Commercial Product
2023/04/04 InfoSecurity — 商用セキュリティ製品である Palo Alto Cortex XDR Dump Service Tool を悪用する脅威アクターたちが、新しくユニークなランサムウェア株を展開させている。この Rorschach (ロールシャッハ) と名付けられたマルウェアは、Check Point Research (CPR) および Check Point Incident Response Team (CPIRT) により発見され、今日の未明のアドバイザリで取り上げられた。
CPR の Jiri Vinopal と Dennis Yarizadeh と Gil Gekker は、「他のランサムウェアのケースとは異なり、この脅威アクターに別名はなく、既知のランサムウェア・グループには所属していないようだ。ランサムウェアのエコシステムでは珍しいケースであり、とても興味深いケースであることから、このマルウェアを徹底的に分析した」と述べている。
このランサムウェアが、ドメイン・コントローラー (DC) 上で実行されると、自己複製能力を持つことになる。また、感染させたデバイスのイベントログを、クリアすることも確認された。
CPR チームのアドバイザリには、「ビルトインされた機能に基づき動作するだけではなく、多数のオプション引数に基づき動作するという、きわめて柔軟な仕様となっており、オペレーターのニーズに応じて動作を変更できる。最も悪名高いランサムウェア・ファミリーのいくつかから、インスピレーションを得ているようだが、システムコールをダイレクトに使用するなど、他のランサムウェアでは見られない独自の機能性も含まれている」と記されている。
既存のランサムウェア・ファミリーとの類似点として挙げられるのは、ランサム・メモの書式であり、ある事例では Yanluowang ランサムウェアのものに類似し、別の事例では DarkSide のものに類似しているという。
CPR の Threat Intelligence Group Manager である Sergey Shykevich は、「ロールシャッハ心理テストの結果が人により異なるように、この新しいタイプのランサムウェアは、高レベルで技術を他のランサムウェア・ファミリーから取り入れているが、他のランサムウェア・ファミリーとは全く異なるものになっている」と説明している。
彼によると、Rorschach は、同社が遭遇した中で最も迅速で、最も精巧なランサムウェアの1つであるとのことだ。
Shykevich は、「この事実は、サイバー攻撃の性質が急速に変化していることを示している。そして、Rorschach によるデータの暗号化を阻止するための、予防原則に立ったソリューションを、企業が導入する必要性を物語っている」と結論付けている。
先日に、CISA が Ransomware Vulnerability Warning Pilot (RVWP) プログラムを発表しているが、それから数週間後に、この CPR のアドバイザリは公表された。
この Rorschach ですが、Check Point のレポートには、”The ransomware was deployed using DLL side-loading of a Cortex XDR Dump Service Tool” と記されています。このところ、DLL サイドローディングを用いるランサムウェア/マルウェアが数多く発見されているようです。本体である実行型のファイルは正規のものであるため、エンドポイントでの検出が難しいようです。
2023/03/20:CatB ランサムウェア:DLL 検索順序ハイジャック
2023/03/16:SILKLOADER という検出回避に優れたマルウェア
2023/03/13:Dark Pink は中国の APT グループ
2023/03/09:Sunlogin/AweSun の脆弱性を悪用する PlugX
2023/03/07:SYS01stealer という情報スティーラーを発見
2023/03/01:Iron Tiger ハッキング・グループは中国の APT27
IoT OT Security News 
You must be logged in to post a comment.