ブログ(脅威調査)

UNC2447 SOMBRATとFIVEHANDSランサムウェア: 高度な金融脅威

| by Tyler McLellan, Justin Moore, Raymond Leong
Ransomware
Zero-day Vulnerability
unc

Mandiantは、積極的な金銭的動機を持つグループUNC2447を観測しました。このグループは、パッチが利用可能になる以前のSonicWall VPNのゼロデイ脆弱性を悪用し、他のベンダーからSOMBRATとして以前に報告している高度なマルウェアを展開していることを確認しました。Mandiantは、SOMBRATの使用をランサムウェアの展開に関連付けましたが、これはまだ公開されていません。

UNC2447は、最初にFIVEHANDSランサムウェアで標的を恐喝し、続いてメディアの関心による脅威を通じて積極的に圧力をかけ、ハッカー・フォーラムで標的のデータを販売することで、侵入行為を収益化します。UNC2447は、欧州と北米の組織を標的にしていることが観察されており、検知を回避し、侵入後のフォレンジックを最小限に抑えるために、常に高度な能力を発揮しています。

Mandiantは、UNC2447関連の攻撃者グループが以前にRAGNARLOCKERランサムウェアを展開していた証拠を確認しています。Mandiantは、HELLOKITTYおよびFIVEHANDS配備の技術的および時間的観察に基づいて、HELLOKITTYが2020年5月から2020年12月にかけて幅広いアフィリエイトプログラムで使用された可能性があると疑っており、2021年1月頃からはFIVEHANDSも使用されている可能性があると考えています。

背景

2020年11月、Mandiantは、2つのMandiant Managed DefenseクライアントにBEACONをインストールするために新しいWARPRISM PowerShellドロッパーを使用することが観察された未分類グループであるUNC2447を作成しました。Mandiant Managed Defenseは、これらの侵入を迅速に無効にしたため、ランサムウェア展開の試みは観察されることはありませんでした。

2021年1月と2月に、Mandiant Consultingは、DEATHRANSOMを書き換えてFIVEHANDSと名付け、SOMBRATとともに複数の標的に恐喝を行っていることを確認しました。このランサムウェアの侵入の際には、以前にUNC2447に分類されていたWARPRISMとBEACONと同じサンプルが観察されました。Mandiantは、WARPRISM、BEACON、SOMBRAT、FIVEHANDSの使用をフォレンジックで同じ攻撃者に関連付けることができました。

Mandiantは、2020年後半のHELLOKITTY活動がアフィリエイト・プログラム全体に関連している可能性があり、2021年1月からはFIVEHANDSランサムウェア展開に移行したと考えています。

  • 2021年4月、Mandiantは、HELLOKITTYファビコンを使用したFIVEHANDSのプライベートTORチャットを観察しました(図1) 。


図1:FIVEHANDS Hello Kittyアイコン

アフィリエイトベースのランサムウェアがMandiantによって観察されると、使用されたインフラストラクチャに基づいて未分類のクラスタが割り当てられます。UNC2447のケースでは、2020年11月から2021年2月までの5回の侵入で使用されたSOMBRATとCobalt Strike BEACONインフラストラクチャに基づいていました。一般に、MandiantはSOMBRATやWARPRISMのような新しいマルウェアやクラスタにも注意を払い、観測されたすべての活動に基づいて厳密に分類しています。未分類の脅威の詳細については、ブログ記事「DebUNCing Attribution: Mandiant による未分類の攻撃者の追跡方法」を参照してください。

SonicWall SMA100シリーズ装置の脆弱性

CVE-2021-20016は、パッチが適用されていないSonicWall Secure Mobile Access SMA100シリーズのリモートアクセス製品を悪用した重大なSQLインジェクションの脆弱性です。リモートで未認証の攻撃者は、この脆弱性を悪用するために特別に細工されたクエリを送信できます。悪用に成功すると、攻撃者はログイン資格情報(ユーザ名、パスワード)とセッション情報にアクセスできるようになり、パッチ適用されていない脆弱なSMA100シリーズ装置にログインするために使用できるようになります。この脆弱性はSMA100シリーズにのみ影響を及ぼし、2021年2月にSonicWall社によってパッチが適用されました。この脆弱性の詳細については、SonicWall PSIRT advisory SNWLID-2021-0001を参照してください。

WARPRISM

WARPRISMは、SUNCRYPT、BEACON、およびMIKATZを配信することがMandiantによって観察されているPowerShellドロッパーです。WARPRISMは、エンドポイントでの検知を回避するために使用され、そのペイロードを直接的にメモリにロードします。WARPRISMは複数のグループによって使用されている可能性があります。

FOXGRABBER

FOXGRABBERは、リモートシステムからFireFox資格情報ファイルを収集するために使用されるコマンドライン・ユーティリティです。これには、PDBパスC:\Users\kolobko\Source\Repos\grabff\obj\Debug\grabff.pdbが含まれます。FOXGRABBERはDARKSIDEランサムウェアの侵入でも確認されています。

BEACON Malleableプロファイル

侵入の初期段階では、UNC2447はCobalt Strike BEACON HTTPSSTAGERインプラントを持続的に使用してHTTPS上でコマンド&コントロール(C2)サーバーと通信します。また、'chches_APT10'と'Havex' Malleableプロファイルを使用することが観察されています。

UNC2447ツールボックス

侵入の偵察及び情報流出の段階では、UNC2447がADFIND、BLOODHOUND、MIKATZ、PCHUNTER、RCLONE、ROUTERSCAN、S3BROWSER、ZAP、7ZIPのツールを使用していることが観察されています。UNC2447は、Windowsセキュリティ設定、ファイアウォール・ルール、アンチウイルス保護を改ざんする可能性があります。

SOMBRATの概要

SOMBRATは2020年11月にBlackberry Cylance社から「The CostaRicto Campaign: Cyber-Espionage Outsourced」として初めて報告されました。Mandiantは、FIVEHANDSランサムウェアの侵入とともにSOMBRATを観察しています。

SOMBRATバックドアは、64ビットのWindows実行ファイルとしてパッケージ化されています。これは、DNS、TLSで暗号化されたTCP、場合によってはWebSocketなどの複数のプロトコルを介して、設定可能なコマンド&コントロール(C2) サーバーと通信します。バックドアは数十種類のコマンドをサポートしていますが、そのほとんどはオペレーターが暗号化されたストレージ・ファイルを操作し、インプラントを再設定できるようにします。このバックドアの主な目的は、C2サーバー経由で提供されるプラグインをダウンロードして実行することです。2020年11月に公開された変異型SOMBRATとは対照的に、Mandiantは、検知を回避するための追加の難読化と装甲化を観察しました。この変異型SOMBRATは、解析を躊躇させるために強化されています。コンパイラによって通常含まれるプログラム・メタデータは削除され、文字列はインライン化されXORベースのルーチンを介してエンコードされています。

SOMBRATランチャー

この変異型SOMBRATバックドアは、ランチャーとして機能する4つの追加リソースと一緒に展開されなければなりません。通常、これらのリソースはハードコードされたディレクトリ・パス`C:\ProgramData\Microsoft`にインストールされます。

  • path: `C:\programdata\Microsoft\WwanSvc.bat` - launcher for `WwanSvc.txt`
  • path: `C:\programdata\Microsoft\WwanSvc.txt` - decoder and launcher for `WwanSvc.c`
  • path: `C:\programdata\Microsoft\WwanSvc.c` - decoder and launcher for `WwanSvc.b`
  • path: `C:\programdata\Microsoft\WwanSvc.a` - XOR key
  • path: `C:\programdata\Microsoft\WwanSvc.b` - encoded SOMBRAT backdoor
  • path: `%TEMP%\<possibly unique random name>` - encrypted storage file
  • path: `%TEMP%\<possibly unique random name _<integer>` - encrypted storage file
  • path: `C:\ProgramData\<possibly unique random name ` - encrypted configuration file

ファイル名の他のバリエーション(ntuserやwapsvcなど)が観察されました。

SOMBRAT の技術的詳細

SOMBRATバックドアは最新のC++で書かれ、相互運用される「プラグイン」の集合体として実装されています。この変異型で配布されるプラグインには、`core`、`network`、`storage`、`taskman`、`debug`(Blackberryで説明されている`config`プラグインは存在しません) の5つがあります。コアプラグインは、共通のネットワーク層を介して送信されるメッセージを介してC2サーバーと通信します。各プラグインは独自のメッセージセットをサポートし、バックドア・プロトコルは動的にロードされるプラグインによって拡張できます。

`core`プラグインは、ネットワーク接続性、動的プラグインのロードおよびアンロードなどの状態追跡を調整します。`network`プラグインは、C2サーバーとの通信に使用されるネットワーク層を構成します。例えば、オペレーターがDNSとTCPプロトコルを切り替えられるようにします。`storage`プラグインは、プラグイン、リソース、および任意のデータを保存するために使用される暗号化ファイルに対して、読み取りや書き込みなどの論理操作を顕在化させます。`taskman`プラグインを使用すると、オペレーターは侵害されたシステムのプロセスを一覧表示したり強制終了したりすることができます。最後に、`debuglog`プラグインは、デバッグメッセージを記録する単一のコマンドをサポートしています。

コアプラグインは、オペレーターが任意のコマンドを直接実行したり、システムを再構成したりすることができないため、SOMBRATバックドアの主な機能は、C2サーバー経由で提供されるプラグインをロードすることです。これらのプラグインは、シェルコードまたは動的にロードされるDLLモジュールである場合があります。C2サーバーは、プラグインを直接ロードするようにバックドアに指示したり、暗号化されたストレージファイルにバックドアを存続させ、バックドアのアップグレード後にリロードすることができます。


図2:マルウェア作成者が「私以外は誰も完璧ではない」と記す

SOMBRATは、コマンドライン引数の記録に使用されるプロセスメモリにパッチを適用することで、フォレンジック分析を回避します。最初のコマンドラインは、実行プログラムのベースファイル名に置き換えられ、引数は削除されます。つまり、メモリ・フォレンジックを介してプロセスリストを検査する研究者には、`WwanSvc.c`などの一般的でないファイル名への参照ではなく、無害に見えるコマンドライン`powershell.exe`が表示されます。

SOMBRATネットワーク・コミュニケーション

SOMBRATバックドアは、DNSとプロキシ対応のTLS暗号化ストリーム・プロトコルの両方を使用して、C2サーバーと通信できます。デフォルトでは、バックドアはDNSプロトコルを使用しますが、これはC2サーバーで再設定できます。Mandiantは、DNS C2通信に使用されるドメインfeticost[.]comとcelomito[.]comを観察しました。

バックドアは、DNSプロトコルを介して通信する際に、FQDNを構築して解決し、DNS結果を解釈してC2メッセージを抽出します。権威DNSサーバーは、AレコードのIPアドレスフィールドと、DNS TEXTレコードのName Administratorフィールドにデータを埋め込みます。C2ドメインの固有のサブドメインに多くの要求を行うことで、バックドアは一度に数バイトずつゆっくりと情報を送信できます。

ランサムウェアの類似性

2020年10月から、MandiantはDEATHRANSOMのカスタマイズされたバージョンのサンプルを観察しました。この新しく修正されたバージョンでは、言語チェック機能が削除されていました(図3はDEATHRANSOMの言語チェック機能を示しています) 。



図3: Fortinet blogより引用した言語チェック

  • HELLOKITTYランサムウェア-ポーランドのビデオ・ゲーム開発者CD Projekt Redを標的にするために使用され、DEATHRANSOMから作成されたと報告されています。
    • HELLOKITTYは、マルウェア実行ファイルの起動時に使用される「HELLOKITTYMutex」という変異体から命名されました(図4を参照) 。


図4: Process Explorerに表示されるHELLOKITTYミューテックス

2021年1月、Mandiantは被害者に対して展開された新しいランサムウェアを観察し、それをFIVEHANDSと命名しました。

  • FIVEHANDSを分析すると、DEATHRANSOMとの高い類似性が明らかになり、いくつかの特徴と機能を共有し、コーディングにも類似性があります。FIVEHANDSには、HELLOKITTYと同様に言語チェックがありません。
  • DEATHRANSOMとFIVEHANDSはどちらも、除外されていないすべてのディレクトリにランサムノートを投下します。

FIVEHANDS,HELLOKITTY,DEATHRANSOMの技術比較

DEATHRANSOMはCで記述されていますが、他の2つのファミリーはC++で記述されています。DEATHRANSOMは明確な一連のdo/whileループを使用して、ネットワークリソース、論理ドライブ、およびディレクトリを完全に列挙します。また、QueueUserWorkItemを使用して、ファイル暗号化スレッドのスレッドプーリングを実装しています。

HELLOKITTYはC++で記述されていますが、同様のループ操作とQueueUserWorkItemを介したとスレッド・プーリングを使用して、DEATHRANSOMの機能の大部分を再実装しています。ネットワークリソース、論理ドライブを列挙する点やファイル暗号化を実行するためのコード構造は非常に似ています。さらに、HELLOKITTYとDEATHRANSOMは、終了前に暗号化スレッドの完了ステータスを確認するための類似機能を共有しています。

FIVEHANDSはC++で記述されており、高度な機能は類似していますが、ほとんどの機能を実装するための関数呼び出しとコード構造の記述方法は異なります。また、FIVEHANDSはQueueUserWorkItemを使用してスレッドを実行する代わりに、IoCompletionPortsを使用してその暗号化スレッドをより効率的に管理しています。FIVEHANDSは、C++標準テンプレート・ライブラリ (STL)の機能をHELLOKITTYよりも多用しています。

ボリューム・シャドウ・コピーの削除

DEATHRANSOM、HELLOKITTY、およびFIVEHANDSは、クエリ select*from Win32_ShadowCopyを実行してWMI経由でボリューム・シャドウ・コピーを削除するために同じコードを使用し、そのidによって返された各インスタンスを削除します。

暗号化操作

これら3つのマルウェア・ファミリーはそれぞれ、同様の暗号化スキームを使用します。非対称公開鍵は、ハードコーディングされているか、生成されています。暗号化されたファイルごとに一意の対称鍵が生成されます。

  • 各ファイルが暗号化されると、非対称鍵によって対称鍵が暗号化され、暗号化されたファイルに追加されます。さらに、一意の4バイトのマジック値が暗号化されたファイルの末尾に付加されます。マルウェアは、以前に暗号化されたファイルを再度暗号化しないように、これらのマジック・バイトを確認します。
  • DEATHRANSOMとHELLOKITTYは、非常に類似したコード構造とフローを使用してファイル暗号化処理を実施します。
  • FIVEHANDSは、異なるコード構造でファイル暗号化を実装し、異なる埋め込み暗号化ライブラリを使用します。
  • 対称鍵に加えて、HELLOKITTYおよびFIVEHANDSは、公開鍵を使用してファイルのメタデータを暗号化し、これを暗号化ファイルに追加します。
  • DEATHRANSOMはRSA鍵ペアを生成し、HELLOKITTYとFIVEHANDSは埋め込みRSAまたはNTRU公開鍵を使用します。

DEATHRANSOM暗号化

  • DEATHRANSOMは、RSA-2048の公開鍵と秘密鍵のペアを作成します。Curve25519で実装された楕円曲線Diffie-Hellman (ECDH)ルーチンを使用して、2つの入力値 (1) RtlGenRandom呼び出しによるランダムな32バイト値、および (2) ハードコードされた32バイト値(攻撃者の公開鍵) を使用して共有秘密鍵を計算します。また、Curve25519公開鍵も作成します。共有秘密鍵はSHA256ハッシュ化され、Salsa20がRSA公開鍵と秘密鍵を暗号化するための鍵として使用されます。
  • RSA公開鍵は、各ファイルの暗号化に使用される個々の対称鍵を暗号化するために使用されます。暗号化されたRSAキーと被害者のCurve25519公開鍵のBase64エンコード版がランサムノートに含まれ、被害者のファイルを復号するために必要な情報を攻撃者グループに提供します。
  • 対称鍵の場合、DEATHRANSOMはRtlGenRandomを呼び出してランダムな32バイト値を生成します。これは、各ファイルのAES暗号化に使用される32バイトの鍵です。ファイルが暗号化されると、AES鍵はRSA公開鍵で暗号化され、ファイルに追加されます。
  • DEATHRANSOMは最後に暗号化されたファイルの末尾がAB、CD、EF、ABの4つのマジック・バイトを追加し、これを使用して、すでに暗号化されたファイルが暗号化されていないことを確認します。
  • 比較に使用したDEATHRANSOMの解析済みサンプルでは、ファイル拡張子は変更されていません。
 

HELLOKITTYの暗号化

  • HELLOKITTYにはRSA-2048公開鍵が埋め込まれています。この公開鍵はSHA256ハッシュされ、ランサムノート内の被害者IDとして使用されます。このRSA公開鍵は、各ファイルの対称鍵の暗号化にも使用されます。
  • 対称鍵の場合、HELLOKITTYはCPUタイム・スタンプに基づいて32バイトのシード値を生成します。Salsa20鍵が生成され、2番目の32バイトのシード値が暗号化されます。暗号化された結果は、最初のシードとXOR演算され、各ファイルのAES暗号化に使用される32バイトの鍵になります。
  • 各ファイルが暗号化されると、元のファイル・サイズ、DE、C0AD、BAのマジック値、およびAES鍵がRSA公開鍵で暗号化され、ファイルに付加されます。HELLOKITTYおよびFIVEHANDSは、この追加のメタデータを暗号化ファイルに追加しますが、DEATHRANSOMは追加しません。
  • 最後に、4つのマジック・バイトDA、DC、CC、ABを暗号化ファイルの末尾に追加します。
  • バージョンによっては、HELLOKITTYがファイル拡張子を変更する場合としない場合があります。
  • HELLOKITTYの他のサンプルは、RSAの代わりに埋め込まれたNTRU公開鍵を使用しています。

FIVEHANDSの暗号化

  • FIVEHANDSは埋め込みNTRU公開鍵を使用します。このNTRU鍵はSHA512ハッシュ化され、最初の32バイトがランサムノート内の被害者IDとして使用されます。このNTRU公開鍵は、各ファイルの対称鍵の暗号化にも使用されます。
  • 対称鍵の場合、FIVEHANDSは埋め込み生成ルーチンを使用して、各ファイルの暗号化にAES鍵に使用されるランダムな16バイトを生成します。
  • 各ファイルが暗号化されると、元のファイルサイズ、DE、C0AD、BAのマジック値、およびAES鍵がNTRU公開鍵で暗号化され、ファイルに付加されます。
  • 4つのマジック・バイトDB、DC、CC、ABは、暗号化されたファイルの末尾に付加されます。
  • FIVEHANDSには、ロック解除して正常に暗号化できるように、Windows再起動マネージャを使用して現在使用中のファイルを閉じるためのDEATHRANSOMおよびHELLOKITTYにはない追加コードが含まれています。
  • 暗号化されたファイル拡張子は .crypt拡張子に変更されます。
  • FIVEHANDSの暗号化フローとシーケンスは、非同期I/O要求を組み込み、異なる組み込み暗号化ライブラリを使用するため、他の2つとは大きく異なります。

FIVEHANDS暗号化ドロッパー

DEATHRANSOMとFIVEHANDSの重大な相違の1つは、メモリ専用ドロッパーを使用することです。このドロッパーは、実行時に、-keyのコマンドライン・スイッチの後に、そのペイロードの復号を実行するために必要な鍵の値が続くことを想定しています。ペイロードは、”85471kayecaxaubv” のIVを使用してAES-128で保存および暗号化されます。復号されたFIVEHANDSペイロードは、復号後直ちに実行されます。現在までにMandiantで観測した暗号化ドロッパーは、類似性計量を行うimphashが ”8517cf209c905e801241690648f36a97”のものだけです。

CLI引数

FIVEHANDSはパスに対するCLI引数を受け取ることができます。これにより、ランサムウェアのファイル暗号化活動が指定されたディレクトリに制限されます。DEATHRANSOMおよびHELLOKITTYはCLI引数を受け入れません。

ロケールと変異体の確認

DEATHRANSOMは、言語IDとキーボード・レイアウト確認を実行します。これらがロシア語、カザフ語、ベラルーシ語、ウクライナ語、タタール語のいずれかに一致した場合、終了します。HELLOKITTYまたはFIVEHANDSのいずれも、言語IDまたはキーボード・チェックを実行しません。

HELLOKITTYは変異体確認を実行し、残りの2つはそれを実行しません。

ファイル除外

DEATHRANSOMとHELLOKITTYはどちらも同じディレクトリとファイルを除外します。

programdata, $recycle.bin, program files, windows, all users, appdata, read_me.txt, autoexec.bat, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, or thumbs.db.

FIVEHANDSの除外はより広範囲で、無視するファイルとディレクトリが追加されています。

その他の相違点

  • DEATHRANSOMは、ファイルをダウンロードするために外部HTTPS接続を行います。HELLOKITTYとFIVEHANDSはネットワーク接続を開始しません。
  • HELLOKITTYには、被害者の壁紙をランサム関連の画像に設定するためのコードが含まれています。その他のサンプルには、この機能はありません。
  • 異なるバージョンのDEATHRANSOMとHELLOKITTYは、ファイル拡張子を変更することが知られています。
  • 異なるバージョンのHELLOKITTYは、特定のプロセスが終了するかどうかをチェックすることが知られています。

機能

FIVEHANDS

HELLOKITTY

DEATHRANSOM

プログラム言語

C++

C++

C

対称暗号化

AES 128

AES 256

AES 256

非対称暗号化

埋め込みNTRUキー

埋め込みRSAまたはNTRUキー

Curve25519ECDHとRSAキーの作成

同じディレクトリとファイル名称の除外




CLI引数受け入れ




ネットワーク接続




ロケール確認




変異体確認




暗号化ファイルに付加されるバイト数

DB DC CC AB

DA DC CC AB

AB CD EF AB

表1:ランサムウェア機能の比較

結論

Mandiantは、2021年1月以降、SOMBRATとFIVEHANDSランサムウェアを同じグループで観察しました。HELLOKITTYとFIVEHANDSの類似点は注目に値しますが、ランサムウェアはアンダーグラウンドのアフィリエイトプログラムを通じて異なるグループによって使用されている可能性があります。Mandiantは、侵入時に使用されたインフラストラクチャなど複数の要因に基づいて、未分類のクラスタを割り当てるため、SOMBRATまたはFIVEHANDSランサムウェアによる侵入の全てがUNC2447によって実行されたとは限りません。WARPRISMおよびFOXGRABBERは、SUNCRYPTおよびDARKSIDEランサムウェアで使用されており、複雑さを増しています。また、それらは異なるランサムウェアのアフィリエイトプログラム間で共有されています。

インジケーター

SOMBRAT UNC2447
  • 87c78d62fd35bb25e34abb8f4caace4a
  • 6382d48fae675084d30ccb69b4664cbb (31dcd09eb9fa2050aadc0e6ca05957bf unxored)
SOMBRATランチャー
  • cf1b9284d239928cce1839ea8919a7af (wwansvc.a XOR key)
  • 4aa3eab3f657498f52757dc46b8d1f11 (wwansvc.c)
  • 1f6495ea7606a15daa79be93070159a8 (wwansvc.bat)
  • 31dcd09eb9fa2050aadc0e6ca05957bf (wwansvc.b)
  • edf567bd19d09b0bab4a8d068af15572 (wwansvc.b)
  • a5b26931a1519e9ceda04b4c997bb01f (wwansvc.txt)
  • f0751bef4804fadfe2b993bf25791c49 (4aa3eab3f657498f52757dc46b8d1f11 unxored)
  • 87c78d62fd35bb25e34abb8f4caace4a (edf567bd19d09b0bab4a8d068af15572 unxored)
SOMBRAT domains
  • Celomito[.]com (unc2447)
  • Feticost[.]com (unc2447)
  • Cosarm[.]com
  • Portalcos[.]com
FIVEHANDS
  • 39ea2394a6e6c39c5d7722dc996daf05
  • f568229e696c0e82abb35ec73d162d5e
FIVEHANDS暗号化ドロッパー
  • 6c849920155f48d4b4aafce0fc49eb5b
  • 22d35005e926fe29379cb07b810a6075
  • 57824214710bc0cdb22463571a72afd0
  • 87c0b190e3b4ab9214e10a2d1c182153
  • 1b0b9e4cddcbcb02affe9c8124855e58
  • 46ecc24ef6d20f3eaf71ff37610d57d1
  • 1a79b6d169aac719c9323bc3ee4a8361
  • a64d79eba40229ae9aaebbd73938b985
HELLOKITTY
  • 136bd70f7aa98f52861879d7dca03cf2
  • 06ce6cd8bde756265f95fcf4eecadbe9
  • af568e8a6060812f040f0cb0fd6f5a7b
  • d96adf82f061b1a6c80699364a1e3208
DEATHRANSOM
  • c50ab1df254c185506ab892dc5c8e24b
WARPRISM
  • c925822c6d5175c30ba96388b07e9e16 (unc2447)
  • c171bcd34151cbcd48edbce13796e0ed
  • d87fcd8d2bf450b0056a151e9a116f72
  • f739977004981fbe4a54bc68be18ea79
  • e18b27f75c95b4d50bfcbcd00a5bd6c5
  • df6e6b3e53cc713276a03cce8361ae0f
  • 1cd03c0d00f7bfa7ca73f7d73677d8f8
  • 8071f66d64395911a7aa0d2057b9b00d
  • c12a96e9c50db5f8b0b3b5f9f3f134f0
  • e39184eacba2b05aaa529547abf41d2b
  • 09a05a2212bd2c0fe0e2881401fbff17
  • 8226d7615532f32eca8c04ac0d41a9fd
  • a01a2ba3ae9f50a5aa8a5e3492891082
  • 29e53b32d5b4aae6d9a3b3c81648653c
  • a809068b052bc209d0ab13f6c5c8b4e7
BEACON UNC2447
  • 64.227.24[.]12 Havex Profile January 2021
  • 157.230.184[.]142  chches_ APT10 Profile November 2020-January 2021
  • 74c688a22822b2ab8f18eafad2271cac
  • 7d6e57cbc112ebd3d3c95d3c73451a38
FOXGRABBER
  • 4d3d3919dda002511e03310c49b7b47f

FireEye検知

FireEye Network Security

FireEye Email Security

FireEye Detection On Demand

FireEye Malware Analysis

FireEye Malware File Protect

 

FIVEHANDS

  • FE_Loader_Win32_Generic_162
  • FE_Ransomware_Win32_FIVEHANDS_1
  • Malware.Binary.exe
  • Ransomware.Win.Generic.MVX

SOMBRAT

  • FE_Backdoor_Win64_SOMBRAT_1
  • Backdoor.Win.SOMBRAT
  • Malware.Binary.exe
  • Backdoor.Win.SOMBRAT.MVX
  • FEC_Trojan_PS1_Generic_7
  • FEC_Trojan_PS1_Generic_8
  • FEC_Trojan_BAT_Generic_5

HELLOKITTY

  • Ransomware.Win.Generic.MVX
  • Malware.Binary.exe
  • Ransomware.Win.HELLOKITTY.MVX
  • FE_Ransomware_Win_HELLOKITTY_1
  • FE_Ransomware_Win32_HELLOKITTY_1

DEATHRANSOM

  • FE_Loader_Win32_Generic_92
  • Ransomware.Win.Generic.MVX
  • Malware.Binary.exe

BEACON

  • FE_Loader_Win32_BLUESPINE_1
  • Backdoor.BEACON
  • Malware.Binary.exe

WARPRISM

  • FE_Loader_PS1_WARPRISM_1
  • FEC_Loader_PS1_WARPRISM_1
  • Backdoor.BEACON
  • Trojan.Generic
  • Trojan.Win.SYSTEMBC
  • Backdoor.Meterpreter
  • Loader.PS1.WARPRISM.MVX
  • Malware.Binary.exe
  • Malware.Binary.ps1

FOXGRABBER

  • FE_Tool_MSIL_FOXGRABBER_1
  • FE_Trojan_MSIL_Generic_109

FireEye EndPoint Security

Real-Time (IOC)

  • SOMBRAT (BACKDOOR)
  • SUSPICIOUS POWERSHELL READ BASE64 DATA (METHODOLOGY)
  • FIVEHANDS RANSOMWARE (FAMILY)
  • DEATHRANSOM RANSOMWARE (FAMILY)
  • HELLOKITTY RANSOMWARE (FAMILY)
  • BEACON (FAMILY)

Malware Protection (AV/MG)

  • SOMBRAT 
    • Generic.mg. 87c78d62fd35bb25
    • Generic.mg.6382d48fae675084
    • Trojan.GenericKD.45750384
    • Trojan.GenericKD.36367848
    • Generic.PwShell.RefA.CB5E962A
  • FIVEHANDS
    • Generic.mg.39ea2394a6e6c39c
    • Generic.mg.f568229e696c0e82
    • Generic.mg.6c849920155f48d4
    • Generic.mg.22d35005e926fe29
    • Generic.mg.57824214710bc0cd
    • Generic.mg.87c0b190e3b4ab92
    • Generic.mg.1b0b9e4cddcbcb02
    • Generic.mg.46ecc24ef6d20f3e
    • Generic.mg.1a79b6d169aac719
    • Generic.mg.a64d79eba40229ae
    • Gen:Variant.Zusy.375932
    • Gen:Variant.Zusy.366866
    • Trojan.GenericKD.46059492
    • Trojan.GenericKD.46059131
    • Trojan.GenericKD.45996121
    • Trojan.GenericKD.45702783
  • WARPRISM 
    • Generic.mg.a01a2ba3ae9f50a5
    • Trojan.PowerShell.Agent.IJ
    • Trojan.Agent.EXDR
    • Trojan.PowerShell.Ransom.E
    • Trojan.Agent.EUKPTrojan.GenericKD.45856129
    • Heur.BZC.PZQ.Boxter.829.B5AEB7A6
    • Heur.BZC.PZQ.Boxter.829.B84D01A7
    • Heur.BZC.PZQ.Boxter.829.AE76D25C
    • Trojan.PowerShell.Ransom.F
    • Dropped:Heur.BZC.MNT.Boxter.826.0A2B3A87
    • Heur.BZC.PZQ.Boxter.829.A15701BD
  • DEATHRANSOM
    • Generic.mg.c50ab1df254c1855
    • Trojan.Ransomware.GenericKD.35760206
  • HELLOKITTY
    • Generic.mg.136bd70f7aa98f52
    • Generic.mg.06ce6cd8bde75626
    • Generic.mg.af568e8a6060812f
    • Generic.mg.d96adf82f061b1a6
    • Generic.Malware.PfVPk!12.299C21F3
    • Gen:Variant.Ransom.HelloKitty.1
    • Generic.Malware.PfVPk!12.606CCA24
    • Generic.Malware.PfVPk!12.1454636C
  • BEACON
    • Generic.mg.74c688a22822b2ab
    • Generic.mg.7d6e57cbc112ebd3
    • Trojan.Agent.DDSN

MITRE ATT&CK

戦術

説明

初期のアクセス
  • T1078有効アカウント

実行
  • T1047Windows Management Instrumentation
  • T1053.005予約タスク/ジョブ: 予約タスク
  • T1059.001コマンドとスクリプト・インタプリター: PowerShell
  • T1106APIによる実行

防御回避
  • T1045ソフトウェア・パッキング
  • T1055プロセス・インジェクション
  • T1140Deobfuscate/デコード・ファイルまたは情報

検知
  • T1012クエリ・レジストリ
  • T1046ネットワーク・サービスのスキャン
  • T1057プロセス検出
  • T1082システム情報の検出
  • T1124システム時間検出
  • T1135ネットワーク共有検出

収集
  • T1560.003収集データのアーカイブ: カスタム・メソッドによるアーカイブ

影響
  • T1485データの破壊
  • 影響を受け暗号化されたT1486データ
  • T1490インヒビット・システムの回復

コマンドと制御
  • T1071.001アプリケーション層プロトコル: Webプロトコル
  • T1090.002プロキシ: 外部プロキシ
  • T1572プロトコル・トンネリング
  • T1573.002暗号化チャネル: 非対称暗号化

エクストラクション
  • C2チャネルでのT1041エクストラクション

謝辞

Nick Richardの技術的なレビュー、Genevieve StarkとKimberly Goodyの分析的貢献、そしてこのブログ記事に使用されている分析に尽力してくれたJon Erickson、Jonathan Lepore、Stephen Eckelsに感謝します。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:April 29, 2021 「UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial Threat

前の投稿
次の投稿