概要
あらゆる形態のランサムウェアにより、大規模なネットワークの中断のみならず、ユーザーへの攻撃がさまざまなところで発生しており、メディアを騒がせています。 ランサムウェアの亜種が非線形の成長を見せていること、またMarsJokeと呼ばれる新種が登場していることが最近確認されました。
Proofpointのリサーチャーが8月下旬に未確認マルウェアのレポジトリを検索していたところ、初めてMarsJokeランサムウェアを確認しました[1]。 また、2016年9月22日以降、MarsJokeを散布する最初の大規模なメールキャンペーンが検知されました。 現在進行しているこのキャンペーンは主に米国の連邦および地方政府機関と教育機関を標的としたもののようです。
連邦および地方政府機関を標的にすること、また、散布の方法が、弊社が8月に説明したCriptFile2キャンペーンと酷似しています[2]。 Gary Warnerのブログでもこのキャンペーンおよび類似のものを報告しており、よく知られたボットネット、Kelihosがこのスパム散布の陰にあることを示唆しています[4][5][6]。
Eメールキャンペーン
Proofpointは9月22日に、MarsJokeランサムウェアの大規模なメールキャンペーンを検知しました。 メールには「file_6.exe」と名付けられた実行ファイルへのURLが含まれ、最近登録されたドメインを持つあらゆるサイトがこのキャンペーンを支援する目的でファイルのホストとなっているようです。 これは、広く散布されたLockyランサムウェアなどの一連のマルウェアとともに弊社が最近確認した、より頻繁な添付ドキュメントのキャンペーンから発展したものです。 このキャンペーンのメッセージには説得力のあるメール本文とあらゆる件名が使用され、ブランド名を盗んで大手国営航空会社名を挙げることにより、罠が正当なものであることを装っています。 件名には次のようなものがあります:
- トラッキング番号のチェック
- パッケージを確認
- トラッキング番号を確認
- トラッキング番号を確認
- 追跡情報
- パッケージを追跡
図1: 悪意のあるランサムウェアのURLを送るため、説得力のある罠と不正なブランドを使用したメール
このキャンペーンはまず連邦および地方政府機関、次にキンダーガーテンから12年生まで(K-12)の教育機関を標的としています。 少数のメッセージが医療、テレコミュニケーション、保険、その他いくつかの分野を通して入ってきています。
図2: バーティカル(分野)によるターゲティング(インデックス付きメッセージ量別)
分析
コード内に含まれるストリングに基づき、このランサムウェアには「HelloWorldItsJoseFromMars」という名前を弊社でつけました。 外観としては、ユーザーとonionポータルに表示されるヘルパーアプリケーションなど、CTB-Locker[3]のスタイルを模倣しています。
被害者に対して感染したこと、ファイルが暗号化されていることのアラートを送るため、このランサムウェアは、他の多くのランサムウェアと同様、被害者のファイルシステム全体に散布される「!!!For Decrypt !!!.bat」、「!!! Readme For Decrypt !!!.txt」、「ReadMeFilesDecrypt!!!.txt」などのファイルを作成します。
図3: ランサムウェア readme ファイル
暗号化されたファイルは元の拡張子を維持します。 暗号化プロセスの間は、「.a19」、「.ap19」のファイル拡張子を持つ一時ファイルが使用されますが、プロセスが終了すると削除されます。
図4: 暗号化の際、一時ファイルを使用
readmeファイルは、感染の被害者にlockerウィンドウの説明に従うよう指示しますが、同時にTorブラウザーのインストール後onionポータルへ進む選択しもあり、そこで同じ説明を受けることができます。
図5: MarsJoke テキストファイルのランサムノートのコンテンツ
被害者のデスクトップはバックグラウンドが変えられ、ダイアログがポップアップしてランサムメッセージが表示されます。 ダイアログでは、英語(テスト中デフォルトとなる)、ロシア語、イタリア語、スペイン語、ウクライナ語を含む数か国語が使用されます。 被害者には、ファイルが消去されるまでに0.7 BTCの身代金(現在319.98米ドル) を支払う猶予として96時間が与えられます。
図5: 被害者のデスクトップバックグラウンドが変化
ネットワークコミュニケーション プロトコルは、新しい感染を報告するためのコマンドとコントロール(C&C)サーバーのチェックイン、続いて署名、マルウェアのバージョン等の様々なフィールドをレポートする、URLとbase64で符号化されたより詳細なチェックインから成ります。
図6: マルウェア 最初のC&Cチェックイン
図7: マルウェア フォローアップC&Cチェックイン
最後に、ランサムウェアがユーザーにonionがホストするウェブパネルを表示し、そこからやり取りをして身代金支払い方法の指示をします。
図8: Onionがホストするウェブパネル。身代金支払い方法の指示も行う。
結論
サイバー犯罪者にとっては、ランサムウェアは年間10億ドル規模の産業となっています。 ここで取り上げたMarsJokeキャンペーンの場合、K-12の教育機関や連邦および地方政府が手なずけやすい標的と見なされることがよくあります。感染の防止や軽減のための安定したバックアップと強固な防御リソースを置くインフラと資金に欠けているためです。 MarsJokeはしかし、「単なる別のランサムウェア」には見えません。 このキャンペーンに関連したメッセージ量やターゲティングは、より高度な監視を行います。攻撃者が新しい亜種を収益化しようと企み、古いバージョンが被害者となる可能性のあるユーザーを集中的に攻撃するためです。
攻撃されたことを示す痕跡(IOC)
|
IOC |
IOCのタイプ |
詳細 |
|
[hxxp://traking[.]accountant/download/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[hxxp://traking[.]download/download/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[hxxp://traking[.]host/download/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[hxxp://traking[.]loan/download/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[hxxp://traking[.]pw/dw/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[hxxp://traking[.]space/download/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[hxxp://traking[.]webcam/dwnload/file_6[.]exe] |
URL |
ホストされたMarsJoke |
|
[buxnfuoim27a3yvh[.]onion[.]link] |
URL |
ランサムウェア C&C |
|
7e60a0d9e9f6a8ad984439da7b3d7f2e2647b0a14581e642e926d5450fe5c4c6 |
SHA256 |
MarsJoke |
参考
[1] https://www.proofpoint.com/us/daily-ruleset-update-summary-20160826
[2] https://www.proofpoint.com/us/threat-insight/post/cryptfile2-ransomware-returns-in-high-volume-url-campaigns
[3] http://malware.dontneedcoffee.com/2014/07/ctb-locker.html
[4] http://garwarner.blogspot.com/2016/08/american-airlines-spam-from-kelihos.html
[5] http://garwarner.blogspot.com/2016/08/kelihos-botnet-sending-panda-zeus-to.html
[6] http://garwarner.blogspot.com/2016/08/amazon-gift-card-from-kelihos.html
こうしたトラフィックに攻撃するであろうET署名を選択:
2821818 || ETPRO TROJAN Ransomware.MarsJoke Checkin
2022332 || ET POLICY DNS Query to .onion proxy Domain (onion.link)
2021997 || ET POLICY External IP Lookup api.ipify.org