Elpaco Ransomware: A New Threat Actor Leverages CVE-2020-1472 for Global Attacks
2024/11/27 SecurityOnline — 洗練されたランサムウェアの亜種 Elpaco が、Mimic ランサムウェア・ファミリーの進化形とし登場したことを、Kaspersky Labs が発表した。この高度なマルウェアは、多数のカスタマイズ機能を備えており、既知の脆弱性と正規のソフトウェア・ツールを悪用しながら密かに操作を実行し、世界中の被害者をターゲットにしている。
多くのケースにおいて Elpaco ランサムウェアは、ブルートフォース攻撃により侵害した、リモート・デスクトップ・プロトコル (RDP) 接続を介して標的システムに侵入していく。
この侵入に成功した攻撃者は、脆弱性 CVE-2020-1472 (Zerologon) を悪用して、権限を昇格させる。それにより、被害者のサーバを完全な制御を達成した攻撃者は、ランサムウェア展開の準備を整える。
Kaspersky の研究者たちは、「Elpaco の際立った機能として挙げられるものには、正規のファイル検索エンジンである、Everything ライブラリとの統合による、悪意のアクティビティの合理化がある。このアーティファクトは、Mimic ランサムウェアと同じ方法で、このライブラリを悪用している。つまり、悪意のペイロードと組み合わせるかたちで、正当な Everything DLL を悪用している」と指摘している。
Elpaco の武器には以下が含まれる:
- カスタマイズ可能な GUI:この機能を用いるオペレーターは、身代金要求メモの変更/暗号化するファイルとディレクトリの選択/特定の形式の除外などの、ランサムウェアの動作を効率よく設定できる。
- 高度な暗号化アルゴリズム:このマルウェアは、ファイルの暗号化に ChaCha20 ストリーム暗号を使用し、そのキーには RSA-4096 を使用する。この徹底した保護が実施されるため、秘密キーなしでの復号化は、ほぼ不可能である。
- ステルスと検知回避の戦術:暗号化を実施した後に自分自身を削除し、fsutil コマンドなどのツールを用いて痕跡を安全に消去し、フォレンジックによる検出を最小限に抑える。
なお、パスワードで保護されたアーカイブとして配布される Elpaco には、以下のような各種のコンポーネントが取り込まれている:
- Defender Control Tool (DC.exe):Windows Defender を無効化するために使用される。
- svhostss.exe:アナリストを混乱させるために、正当なプロセスを模倣する、メインの実行形式ファイル。
- session.tmp:処理が中断された場合においても、暗号化の再開を可能にするセッション・キー。
- gui40.exe:ランサムウェア・パラメータの管理とカスタマイズのための、オペレーター用の GUI。
このランサムウェアは、マルチスレッド・アプローチを介してファイルを暗号化し、速度と効率を高めている。操作を実行する際には、MIMIC_LOG.txt などの詳細なログが保持され、攻撃者による個々のアクションの確認を可能にしている。
Elpaco による活動は、米国/ロシア/ドイツ/韓国などへの攻撃と関連付けられており、その影響の範囲は、カナダ/ルーマニア/英国などの国々まで及んでいる。残された証拠の分析によると、Elpaco を含む Mimic の亜種は、2023年8月から使用されていると推測される。
Kaspersky の研究者たちは、「Elpaco の適応性と脅威に注目する必要がある。このアーティファクトは、属性をカスタマイズするための興味深い UI を提供し、コンフィグ・ファイルへのパラメータ・エクスポートに対応している。この機能により、Elpaco の汎用性は極めて高いものとなっている。それは、脅威アクターにとって、魅力的なものである」と述べている。
RDP をブルートフォースで侵害する Elpaco ランサムウェアが、Netlogon Remote Protocol (MS-NRPC) の脆弱性 CVE-2020-1472 (Zerologon) を悪用し、権限を昇格させるという活動が検出されているようです。もちろん、それによりランサムウェアを展開するための準備が整えられるわけです。よろしければ、2024/06/05 の「Zerologon の脆弱性 CVE-2020-1472:RansomHub ランサムウェアが狙っている」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.