Vice Society ランサムウェア:新しいデータ窃盗ツールに PowerShell を導入

Vice Society ransomware uses new PowerShell data theft tool in attacks

2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。

Vice Society の新しいデータ抽出ツールは完全に自動化されており、セキュリティ・ソフトウェアが検知しにくい living off the land バイナリとスクリプトを使用し、ランサムウェア攻撃の最終段階であるデータの暗号化の前に、活動をステルス化する。

PowerShell によるデータの抽出

この新しいデータ窃取ツールは、Palo Alto Networks Unit 42 における 2023年初頭のインシデント対応中に、被害者のネットワークのイベントログ (Event ID 4104:Script Block Logging) で発見された。

発見されたのは w1.ps1 という名前のスクリプトであり、PowerShell を用いてデータ漏えいを自動化するための、Work()/Show()/CreateJobLocal()/fill() などの関数で構成されている。

これらの4つの関数は、流出先となり得るディレクトリの特定/ディレクトリ群の処理などを行い、最終的には、Vice Society のサーバへの HTTP POST リクエストによるデータの流出に使用される。

Overview of the script's functions
スクリプトの機能概要 (Unit 42)

Unit 42 のレポートでは、「このスクリプトは引数を必要とせず、ネットワークからコピーするファイルの種類はスクリプト自身に任されている。さらに、サイズが 10KB 未満のファイルや、ファイル拡張子がないファイルを無視することが確認されている」と説明されている。

このスクリプトには、盗み出すファイルを決定するための自動化された機能があり、ファイルを絞り込むためのマスター除外リストと包含リストが存在する。

たとえば、このスクリプトは、バックアップおよび、プログラムのインストール・フォルダ、Windows OS フォルダといった、文字列を含む名前のフォルダからデータを盗むことはない。

ターゲットとしているのは、英語/チェコ語/ドイツ語/リトアニア語/ルクセンブルク語/ポルトガル語/ポーランド語などの 433 以上の文字列を含むフォルダで、特にドイツ語と英語に重点が置かれている。

以下は、対象となるフォルダの一例だ:


PowerShell スクリプトは、Get-ChildItem や Select-String といった、システム・ネイティブのコマンドレットを使用して、感染させたマシンからデータを検索/抽出し、そのフットプリントを最小限に抑えてステルス・プロファイルを維持する。

Vice Society の新しいデータ抽出ツールにおける、もう 1 つの興味深い点は、レート制限の実装である。それは、ホストで利用可能なリソースを過度にキャプチャしないように、5つのディレクトリ・グループに対して、最大で 10 の同時実行ジョブを設定している

この背後にある具体的な目標は不明だが、ベストコーディング・プラクティスに沿ったものであり、スクリプト・コーディングのプロフェッショナル・レベルを示していると、Unit 42 はコメントしている。

w1.ps1 functional diagram
w1.ps1 の機能図 (Unit 42)
Vice Society の進化

Vice Society の新しいデータ流出スクリプトは、多くのセキュリティ・ソフトウェアからの検出を回避するために living off the land ツールを使用し、フットプリントを小さくして活動をステルスに保つために、マルチ・プロセッシングとプロセス・キューイングを備えている。

Unit 42 は、このアプローチを用いられると、検出や追跡が困難であるとコメントしているが、レポートの末尾に、その点に関する研究者たちのアドバイスが記載されている。

2022年12月に、SentinelOne は、Vice Society が PolyVice という名のファイル・エンクリプターに切り替わったことについて警告を発している。ただし、その実態はと言うと、Chilly や SunnyDay ランサムウェアにマルウェアを販売している、契約開発者が供給したものと考えられる。

残念ながら、洗練されたツールの展開により、Vice Society は手ごわい脅威となっており、彼らの攻撃を検知し阻止する手段が限られて始めている。

さまざまな悪意のツールが、自動化を進めているようです。C2 サーバとの通信を最小限に押さえて、悪意のトラフィック検出を回避するという戦術です。類似のトピックとして、2023/03/10 の「Xenomorph は最凶のバンキング・トロイの木馬:侵入後の不正送金まで自動化している!」という記事がありました。最近の、情報スティーラー関連の記事は、以下のとおりです。よろしければ、ご参照ください。

2023/02/23:S1deload 情報スティーラーが登場
2023/02/21:Stealc 情報スティーラーは MaaS へと進化
2023/01/30:Titan Stealer という情報スティーラーを発見

%d bloggers like this: