Lazarusの実験的ランサムウェア攻撃

APTグループのLazarusは、典型的なAPT攻撃を展開する一方で、金銭的な動機による攻撃への関与でも知られています。当社のエキスパートは最近、これまでに調査されたことのないVHDマルウェアを検知しました。Lazarusが実験的に使用しているものと見られます。

機能面で言うと、このマルウェアはかなり標準的なランサムウェアです。標的のコンピューターに接続するドライブを伝って感染を広げ、ファイルを暗号化し、System Volume Informationフォルダーをすべて削除します（このため、Windowsのシステム復元が妨害されます）。それだけでなく、重要なファイル（Microsoft Exchange、SQL Serverなど）をロックしてしまう可能性のあるプロセスを一時停止させます。

しかし、興味深いのはこのランサムウェアが標的のコンピューターに入り込む方法です。というのも、このマルウェア配信メカニズムは、APT攻撃との共通点が多いのです。当社エキスパートはVHDランサムウェアの事例を調査し、それぞれにおける攻撃者の行動を解析しました。

標的ネットワーク内での横展開

最初のインシデントの中でエキスパートの目を引いたのは、標的ネットワーク内でのマルウェア拡散を担うコードでした。この中には、標的のコンピューターのIPアドレスリスト、そして管理者権限を持つアカウントのログイン情報が含まれており、SMBサービスに対する総当たり攻撃に利用されていました。SMBプロトコルを使用して別のコンピューターのネットワークフォルダーに首尾良く接続できると、VHDランサムウェアは自分自身をコピーして実行し、そのコンピューターも暗号化します。

こうしたふるまいは、不特定多数への感染を狙うランサムウェアではあまり見られない動きであり、むしろAPTの活動を思い起こさせます。

感染経路

もう一例のインシデントの調査において、当社のGlobal Emergency Response Teamは、感染経路全体をたどることができました。レポートによると、感染は以下のように進行していました。

1. VPNゲートウェイの脆弱性を悪用して標的のシステムにアクセスする
2. セキュリティ侵害したコンピューター上で管理者権限を入手する
3. バックドアをインストールする
4. Active Directoryサーバーを掌握する
5. このタスクを実行するために作られたローダーを使用して、ネットワーク上の全コンピューターにVHDランサムウェアを感染させる

使用されたツールをさらに調査する中で、このバックドアが、マルチプラットフォームなMATAフレームワーク（「Dacls」の名でも呼ばれる）の一部であることが判明しました。ここから、Lazarusとの関連がうかがわれます。

これらツールの技術的詳細およびIoCについては、Securelistの記事（英語）をご覧ください。

企業での対策

VHDランサムウェアを操る人々は、企業のコンピューターを暗号化型ランサムウェアに感染させることにかけては、明らかに一段上です。このマルウェアは、ハッカーフォーラムで一般に入手可能とはなっておらず、むしろ標的型攻撃向けに開発されています。標的のインフラへの侵入とネットワーク内部での増殖に使われるテクニックは、高度なAPT攻撃を思い出させます。

金銭的サイバー犯罪のツールとAPT攻撃ツールの境界が徐々に曖昧になっているということは、規模の小さめな企業であっても、高度なセキュリティ技術の運用を検討する必要があることを意味します。当社では、エンドポイント保護（Endpoint Protection Platform：EPP）とエンドポイントでの検知および対応（Endpoint Detection and Response：EDR）の機能を備えた総合的ソリューションをご提案します。このソリューションに関する詳細は、こちらのページをご参照ください。