LockBit Black の大規模キャンペーン:Phorpiex ボットネットから大量のフィッシング・メール

Botnet sent millions of emails in LockBit Black ransomware campaign

2024/05/13 BleepingComputer — 2024年4月以降において、大規模な LockBit Black ランサムウェア・キャンペーンを実施するために、Phorpiex ボットネットを介して数百万通のフィッシング・メールが送信されているという。5月10日 (金) に、ニュージャージー州の Cybersecurity and Communications Integration Cell (NJCCIC) が警告したように、この攻撃者が使用しているのは、起動すると受信者のシステムを暗号化する LockBit Black ペイロードを展開するための、実行ファイルを取り込んだ ZIP 添付ファイルである。


これらの攻撃で使用されている LockBit Black 暗号化プログラムは、2022年9月に不満を持つ開発者が Twitter でリークした、LockBit 3.0 ビルダーを用いて構築されている可能性が高い。しかし、今回のキャンペーンは、LockBit ランサムウェアによる正規の活動とは無関係だと考えられている。

一連のフィッシング・メールは、”your document” や “photo of you ???” といった件名で、”Jenny Brown” や “Jenny Green” という偽名を用いて、カザフスタン/ウズベキスタン/イラン/ロシア/中国をなどの 1,500以上のユニークな IP アドレスから送信されている。

受信者が悪意の ZIP アーカイブの添付ファイルを開き、そこに含まれるバイナリを実行することで、攻撃の連鎖が始まる。

この実行ファイルは、続いて Phorphiex ボットネットのインフラから、LockBit Black ランサムウェアのサンプルをダウンロードし、被害者のシステム上で実行する。それが起動されると、機密データの窃取/サービスの停止/ファイルの暗号化などが試行される。

Phishing email sample
Phishing email sample (BleepingComputer)

5月13日 (月) に、サイバー・セキュリティ企業 Proofpoint が公表したのは、4月24日以降において、このようなスプレー・アンド・スプレー攻撃を調査した結果として判明したのは、この脅威アクターが世界中の多様な業種の企業を標的にしていることだ。

この手法は目新しいものではなく、また、他のサイバー攻撃のような巧妙さは認められないが、悪意のペイロードを配信するための大量の電子メールと、第一段階のペイロードとして使用されるランサムウェアは際立っている。

Proofpointのセキュリティ研究者たちは、「2024年4月24日に始まり、約1週間にわたって、毎日のように Phorpiex ボットネットは働き続けた。 それは、LockBit Black ランサムウェアを配信するための、何百万もの大量メッセージによるキャンペーンであったことが判明した。Phorphiex 経由で、LockBit Black ランサムウェア (別名 LockBit 3.0) のサンプルが、これほどの規模で大量に配信されているのを観測したのは、今回が初めてだ」と述べている。

LockBit Black ransom note
LockBit Black ransom note (BleepingComputer)

Phorpiex ボットネット (別名 Trik) は、10年以上にわたって活動を続けている。その歴史は、USB ストレージや Skype/Windows Live Messenger のチャットで拡散するワームから、電子メールのスパム配信を利用する、IRC 制御のトロイの木馬へと進化でもある。

数年にわたる活動と開発を繰り返して徐々に巨大化し、100万台以上の感染デバイスを制御するようになったが、このボットネットの運営者は Phorpiex インフラを停止した後に、ハッキング・フォーラムでマルウェアのソースコードを販売しようとした。

さらに Phorpiex ボットネットは、何百万通もの sextortion メール (1時間あたり3万通を超えるスパムメール) の配信にも使用されており、最近では、クリップボード・ハイジャッカー・モジュールを使用して、Windows のクリップボードにコピーされた暗号通貨ウォレットのアドレスを、攻撃者が制御するものへと置き換えている。

暗号クリッピングのサポートを追加してから1年も経たないうちに、Phorpiex のオペレーターは 969件のトランザクションをハイジャックし、3.64 Bitcoin ($172,300)/55.87 Ether ($216,000)/ERC20 token ($55,000) を盗み出した。

このようなランサムウェアをプッシュする、フィッシング攻撃から身を守るために、NJCCIC が推奨するのは、ランサムウェア・リスク軽減戦略の実施および、エンドポイント・セキュリティ・ソリューション/電子メール・フィルタリング・ソリューションを用いた悪意のメッセージのブロックである。

Phorpiex というボットネットから、大量のフィッシング・メールが配信され、そこから Lockbit ランサムウェア攻撃へとつながるとのことです。Phorpiex について、このブログ内を調べてみたら、2023/08/23 の「ランサムウェア攻撃の統計値:各セキュリティ企業のレポートを比較してみた」に、その名前が記されていました。よろしければ、Botnet で検索も、ご利用ください。