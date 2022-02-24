セキュリティー

ウクライナへのサイバー攻撃に使用される新しい破壊的マルウェア

公開日 2022年02月24日
暗い照明のオフィスで働く若い同僚たち

執筆者

Christopher Del

X-Force IRIS Malware Reverse Engineer

John Dwyer

Head of Research

IBM Security X-Force

この投稿はIBM Security X-ForceのAnne JobmannClaire ZaboevaRichard Emersonの協力を得て執筆されました。

2022年2月25日更新

2022年2月24日、Symantec Enterpriseは、PartyTicketと呼ばれるランサムウェアがHermeticWiperマルウェアとともにデプロイされたと報告しました。IBM Security X-Forceは、partyTicketランサムウェアのサンプルを入手し、本ブログのPartyTicketのセクションにおいて、技術的な分析、侵害の兆候、と検出を提供しました。

2022年2月23日、オープンソースのインテリジェンス・ソースは、ウクライナの組織に属するシステム上で実行される、ターゲットからデータを永久に破壊するように設計された破壊的なマルウェア・ファミリーであるワイパー・マルウェアの検知に関する報告を開始しました。IBMセキュリティX-Forceは、HermeticWiperという名前のワイパー のサンプル を入手しました。無害なパーティション・マネージャー・要因（empntdrv.sysのコピー）を使用します。ワイプ機能を実行して、利用可能なすべての物理ドライブのマスター・ブート・レコード（MBR）、パーティション、およびファイル・システム（FATまたはNTFS）を破損します。

これは、X-Forceが分析した、ウクライナの組織を標的とした最初のワイパー・マルウェアではありません。2022年1月、X-ForceはWhisperGateマルウェアを分析し、WhisperGateとHermeticWiperの間にコードの重複は見つかりませんでした。

このブログ記事では、HermeticWiperマルウェアに関するIBM Security X-Forceの洞察、サンプルの技術的分析、および組織がこのマルウェアから身を守るのに役立つ侵害の兆候（IoC）について詳しく説明します。

なぜこれが重要なのか

2022年1月、X-ForceはWhisperGateマルウェアを分析しました。HermeticWIperは、過去2カ月間に新たに確認された破壊的マルウェアファミリーで、ウクライナの組織を標的にしています。また、東ヨーロッパの他の国または地域を標的にしていると報告されています。WhisperGateとHermeticWiperの間でコードの重複は確認されませんでした。

これらの新しい破壊的なマルウェアファミリーがデプロイされ発見されるペースは前例のないものであり、組織がシグネチャーベースの防御を超えて拡張する積極的で情報に基づいた防御ストラテジーを持つ必要性をさらに浮き彫りにしています。

この地域の紛争が進化し続け、WhisperGateとHermeticWiperの両方の破壊的な機能を考慮して、IBM Security X-Forceは、対象地域内のクリティカルなインフラストラクチャー組織に防御を強化することを推奨します。こうした組織は、データの破壊や暗号化、あるいはオペレーションに重大な影響を与える可能性のある潜在的な攻撃への備えに重点を置く必要があります。

X-Forceの意見では、サイバー攻撃はハイブリッド作戦を支援するために、民間企業の標的に対して活用され続ける可能性が高いと考えています。さらにX-Forceは、進行中の紛争の範囲と並行して、サイバー攻撃が引き続きエスカレートおよび拡大し続ける可能性があると考えています。ウクライナとその同盟関係に関連する民間の業種・業務に焦点を当てた機能が増えていることは、地域の商取引に対する高度な脅威を生み出し、サイバーセキュリティー環境を変える可能性があることに注意してください。

分析詳細

このセクションには、送信されたサンプルに対して実行された分析の成果が含まれます。一般的な分析には、行動分析と静的分析の両方が含まれます。

動作分析は、実行中にシステム上で観察されたマルウェアの動作を記述します。行動分析には通常、ドロップされたファイル、永続性、プロセスの実行に関する詳細、およびC2通信などのシステム上で実行されるアクションが含まれます。特定の条件下でのみ実行される可能性があるため、行動分析によってすべての注目すべきマルウェアの動作を把握することはできません。

静的分析は、マルウェアの技術的分析をさらに深く掘り下げます。静的分析には通常、機能、サンプル内の難読化またはパッキング、マルウェアが使用する暗号化、構成情報、またはその他の注目すべき技術的な詳細に関する詳細が含まれます。

行動分析

実行すると、HermeticWiperはプロセス・トークンの権限を即座に調整し、SeBackupPrivilegeを有効にします。これにより、マルウェアは、アクセス制御リスト（ACL）に何が指定されているかに関係なく、あらゆるファイルの読み取りアクセス制御が可能になります。

アドレスと16進数バイトの表示を行う16進エディタのスクリーンショット。

次に、システムのOSバージョンをチェックして、使用する無害なパーティション管理ドライバー（EaseUS Partition Manager：epmntdrv.sys）のバージョン・コピーを確認します。ドライバーは最初はMicrosoft圧縮（SZDD圧縮）で、RCDATAという名前の参考情報に埋め込まれています。

「RCDATA」という名前の拡張フォルダが表示されたリソースツリービューのスクリーンショット

Windows XPの場合：

  • x86 - DRV_XP_X86 を使用します。
  • x64 - DRV_XPX64 を使用します。

Windows 7以上用：

  • x86 - DRV_X86 を使用します。
  • x64 - DRV_X64 を使用します。

使用するバージョンを確認した後、SZDD 圧縮された無害パーティション管理ドライバーが次のディレクトリにドロップされます。

%WINDIR%\system32\driver\<random_2chars>dr
Example: C:\Windows\system32\Drivers\vfdr

次に、それを解凍し、ファイル拡張子として「 .sys 」を追加します。

Example: C:\Windows\system32\Drivers\vfdr.sys

次に、プロセス・トークンの権限を再度調整して、SeLoadDriverPrivilegeを有効にします。このトークンにより、HermeticWiperのプロセスではデバイス・ドライバーをロードおよびアンロードできるようになります。

有効になっている「SeLoadDriverPrivilege」が強調表示されているプロセス・プロパティー・ウィンドウのスクリーンショット。

次に、以下のレジストリー・キーを変更することで、クラッシュ・ダンプを無効にします。

HKLM\SYSTEM\CurrentControlSet\Control\CrushControl CrushDumpEnabled = 0

クラッシュ・ダンプは、システムが予期せず停止する理由に関する情報を含むメモリー・ダンプであることに注意してください。このオプションを無効にすると、システムはダンプを作成できないようになり、トラックを正常にカバーできます。

また、有効な場合はボリュームシャドウサービス (vss) を無効にし、すべての HKEY_USERS レジストリで ShowCompColorShowInfoTip を無効にします。

HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0

ShowCompColorオプションを選択すると、圧縮および暗号化されたNTFSファイルを色で表示し、ShowInfoTip にはフォルダーとデスクトップ項目のポップアップ説明が表示されます。

HermeticWiperは、OpenSCManagerW()OpenServiceW()CreateServiceW()StartServiceW()などのWindows APIを使用して、作成された要因をサービスとして追加し、ロードします。

例：

コードスクリーンショット

これにより、レジストリにサービスエントリが作成されます。

HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr

無害な要因サービスが開始され、システムに読み込まれると、%WINDIR%\system32\driversから作成されたドライバーを削除し、レジストリから作成されたサービスを削除して、再びトラックをカバーします。

HermeticWiperは、0～100をループさせることで、最大100個の物理ドライブの範囲を列挙します。これは、システムにロードされた無害なパーティション・マネージャーを使用して、システムにあるすべての物理ドライブのすべてのマスター・ブート・レコード（MBR）を破損させます。

それだけではなく、FATとNTFSの両方のファイルシステムをサポートしている場合でも、利用可能なすべてのパーティションが破損します。NTFSの場合、ファイルに関するすべての情報を保持するマスター・ファイル・テーブル（MFT）も破損し、データが復元不能になることを保証します。

すべてのディスクが破損すると、システムはクラッシュしますが、万が一の場合に備えて、HermeticWiperはシステムのシャットダウンをトリガーしてターゲット・システムを強制的に再起動するフェイルセーフ・スリープ・スレッドも作成しました。

スタティック分析

ワイパーのサンプルを分析した結果、「Hermetica Digital Ltd」という組織に発行されたデジタル証明書で署名され、2021年4月15日に作成されたことが判明しました。デジタル証明書は、ファイル、サーバー、ユーザーなどのアイテムの信頼性を証明するファイルまたは暗号署名です。

HermeticWiperには、次のデジタル証明書が含まれています。

 

HermeticWiperに含まれるデジタル証明書のスクリーンショット

妥協の指標（IOC）

Hermeticwiper

FILE SYSTEM:
%WINDIR%\system32\driver\<random_2chars>dr

REGISTRY:

HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
 CrashDumpEnabled = 0
 HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
 ShowCompColor = 0
 ShowInfoTip = 0
 HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr

SERVICE:

service name: <random_2chars>dr

Hermatic マルウェアのサンプル

検知

IBMセキュリティX-Forceは、HermeticWiperの追加インスタンスを検知するために、次のYaraシグネチャーを開発しました。

import "pe"
 rule XFTI_HermeticWiper : HermeticWiper
 {
 meta:
 author = "IBM X-Force Threat Intelligence Malware Team"
 description = "Detects the wiper targeting Ukraine."
 threat_type = "Malware"
 rule_category = "Malware Family"
 usage = "Hunting and Identification"
 ticket = "IRIS-12790"
 hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
 yara_version = "4.0.2"
 date_created = "24 Feb 22"
 date_updated = ""
 reference = ""
 xfti_reference = ""
 strings:
 $s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
 $s2 = "C:\\Windows\\SYSVOL" wide fullword
 $s3 = "DRV_X64" wide fullword
 $s4 = "DRV_X86" wide fullword
 $s5 = "DRV_XP_X64" wide fullword
 $s6 = "DRV_XP_X86" wide fullword
 condition:
 uint16(0) == 0x5A4D and 4 of them and
 pe.imports("lz32.dll", "LZOpenFileW") and
 pe.imports("kernel32.dll", "FindResourceW") and
 pe.imports("advapi32.dll", "CryptAcquireContextW")
 }

PartyTicket分析

PartyTicketと名付けられたランサムウェア・サンプルは、ウクライナの組織を標的とするHermeticWiperマルウェアと一緒に配布されたと考えられているGolangコンパイル型ランサムウェアです。

PartyTicketランサムウェアは権限の昇格は含まず、現在のユーザーのコンテキスト内で実行されます。つまり、権限のないアカウントで実行された場合、より高い権限を必要とするフォルダーやファイルは暗号化されません。

PartyTicketは、.[vote2024forjb@protonmail.com].encryptedJBを暗号化するすべてのファイルの拡張子として追加します。RSAとAESの両方を使用して、標的のファイルを暗号化します。

ランサムウェアの最初の静的分析により、コード内に参照されている「Biden」と「Whitehouse」が明らかになります。

ファイル内で参照されている「Biden」と「Whitehouse」のコードのスニペット

PartyTicketランサムウェアは実行時に、A:からZ:までの利用可能なすべてのドライブを確認し、「Windows」と「Program Files」を含むすべてのディレクトリを横断することにより、暗号化するファイルのリストを作成します。

ランサムウェアはディレクトリー構造を通過しながら、次の拡張子を含むファイルのターゲット・リストを列挙します。

.acl、.avi、.bat、.bmp、.cab、.cfg、.chm、.cmd、.com、crt、
.css、.dat、.dip、.dll、.doc、.dot、.exe、.gif、.htm、.ico、
.iso、.jpg、mp3,.msi、odt、.one、.ova、.pdf、.png、ppt、
.pub、.rar、.rtf、.sfx、.sql、.txt、.url、.vdi、.vsd、wma、
.wmv、.wtv、.xls、.xml、xps、.zip、.docx、.epub、.html、.jpeg、
.pptx、.xlsx、.pgsql、.contact、Inc

暗号化ターゲット・ファイルには.exeが含まれていることに注意してください。これは、ランサムウェアがその後自らを暗号化することを示しています。

ターゲット・リストが作成されると、ランサムウェアは、ターゲット・リスト内のすべてのファイルの普遍的な一意の識別子（UUID）名を持つ自身のコピーを作成します。そのコピーは、元のPartyTicketプロセスの子として、30秒のタイムアウトで実行され、それぞれがターゲット・ファイル・リスト内のファイルを暗号化する責任を負います。

PartyTicketの子プロセスの実行ライフサイクルの例：

C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe>b6771851-a968-11eb-9f9f-000c29fc4fde.exe
b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt>
timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe

PartyTicket Indicators of Compromise (IOC)

ファイルシステム:

%DESKTOP%\read_me.html
 <encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB

PartyTicketの検知

IBM Security X-Forceは、PartyTicketランサムウェアのインスタンスを特定するために、次のYaraシグネチャーを開発しました。

rule XFTI_PartyTicket : PartyTicket
 {
 meta:
 author = "IBM Security X-Force "
 description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
 threat_type = "Malware"
 rule_category = "Malware Family"
 usage = "Hunting and Identification"
 hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
 yara_version = "4.0.2"
 date_created = "25 Feb 22"
 strings:
 $main_func1 = "pr1me"
 $main_func2 = "dtFie"
 $main_func3 = "getBoo"
 $main_func4 = "selfElect"
 $main_func5 = "highWay60"
 $main_func6 = "voteFore403"
 $main_func7 = "subscribeNewPartyMember"
 $proj_path = "/403forBiden/"
 $file_ext = ".encryptedJB"
 condition:
 uint16(0) == 0x5A4D and 7 of them
 }

対応

現時点で、X-Forceは、このレポートに記載されているファイル・システム、レジストリ、およびWindowsサービス・インジケーターの検知を実装することと、提供されているYaraルールを利用してファイルをスキャンすることを組織に推奨しています。さらに、グローバル企業は、地域の機関に拠点を置くかサービスを提供するそれぞれのネットワーク、サプライチェーン、サード・パーティー、パートナーシップについて、健全な洞察を確立するよう努める必要があります。また、実行可能な指標の受領と交換を確実にするために、組織が関連する情報共有エンティティー間のコミュニケーションラインを確立することをお勧めします。

X-Forceは、侵害の指標に関連する対応対策に加えて、次の事前対応型の対策を検討することを組織に推奨しています。

  • すべてのB2B VPNでリスクの高いプロトコルをブロックする
  • すべてのエグレス・ポイントでネットフロー・モニタリングを実装する
  • B2B VPN、特に高リスクのVPNを切断するための緊急時対応計画を用意しておく
  • 不明な要因ファイルの読み込みを防ぐ

マルウェアやその防御技術について、より深い議論や質問がある場合は、こちらからブリーフィングを予約することができます。詳細情報が発表されたら、IBM Security X-Force ExchangeおよびIBM PSIRT ブログで最新情報を入手してください。

サイバーセキュリティーの問題やインシデントが発生した場合は、X-Forceにご相談ください。

米国ホットライン 1-888-241-9812

グローバルホットライン (+001) 312-212-8034
