Egregorは、2020年9月に初めて発見されたランサムウェアの亜種です。最近ではゲーム業界の巨人CrytekやUbisoftなどの世界中の企業を標的とするいくつかの巧妙な攻撃が確認されています。

恐喝型のMazeランサムウェアと同様に、Egregorによる攻撃では、標的のデータを盗み出してリモートサーバーに格納した後、ユーザーのマシン上のデータを暗号化します。Egregorは、ランサムウェアファミリーの中でもおそらく被害者との交渉の面で最も攻撃的なタイプです。

攻撃者は、被害者からの回答に72時間の猶予しか与えません。身代金が支払われない場合、データは攻撃者のWebサイト「Egregor News」で公開されます。

身代金の支払いは、被害者ごとに提供される専用のチャット機能を通じて交渉され、合意されます。身代金の支払いはビットコインで行われます。


Webサイト「Egregor News」で公開されたデータ

Egregorは、2020年3月に登場したSekhmetと呼ばれる別のランサムウェアの仲間であると考えられています。Sekhmetには、Egregorと共通する類似点が多くあり、Mazeとの類似点もいくつか見られます。

攻撃の配信方法や背後関係の点で、Egregorはまだかなり謎に包まれており、現時点では詳しい情報を得られていていませんが、憶測では、10月下旬に活動の停止を発表した「Mazeの後継」であるとも言われています。この仮定は、両者の間の近似性と、そしてもちろん交代のタイミングに基づいています。

主な調査結果

  • 新たな脅威: Egregorランサムウェアは短期間に大きな被害をもたらし、世界中のニュースヘッドラインを賑わせました。
  • 重大度が高い:サイバーリーズンのNocturnusチームでは、その攻撃の破壊力からEgregorの脅威レベルを「高」と評価しています。
  • ゆっくりと潜行:ランサムウェアを展開させる前に、攻撃者は組織内に潜入して横方向に移動させてから、本格的なハッキング作戦を実行しようとします。
  • コモディティマルウェアを介した感染経路:コモディティマルウェアが感染の起点と思われます。C2サーバーに送信した盗取データの予備的な偵察に基づいて、攻撃を対話型のハッキング操作へとエスカレートさせ、最終的に大量のランサムウェア感染を引き起こします。
  • 検出と防御:Cybereason Defense Platformは、Egregorランサムウェアを完全に検出して防御します。

EGREGORの攻撃の流れ


Egregorの感染チェーン

コモディティマルウェアの感染からランサムウェアへ

Egregorは比較的最近登場したマルウェアであるため、感染チェーンに関する情報も含め、このレポートではEgregorに関わるインシデントについてはそれほど多く提供されておらず、詳しい説明もありません。

これまでに得られた情報では、最初の感染は、悪意のあるマクロコードが埋め込まれたファイルを添付したフィッシングメールから始まることが示唆されています。

マクロコードによってQbot icedIDまたはUrsnifのいずれかのコモディティマルウェアがダウンロードされます。コモディティマルウェアを初期感染に利用し、最終的にランサムウェアを配信するというこの手法は、以前にもRyuk ランサムウェアやMazeでも観測されています。

攻撃の後段で、感染したマシンにCobaltStrikeビーコンがインストールされると、攻撃は対話型のハッキング活動に移行します。攻撃者はAdfindやSharphoundなどの偵察ツールを使って、ユーザーやグループ、コンピューターなどに関する情報を収集します。この情報は横展開の段階で利用され、Egregorがドメイン管理者になるためにActive Directoryを悪用して権限を昇格させるのにも利用されます。

この段階で、マルウェアが被害者のマシンにインストールされると、C2サーバーへの通信が開始され、最終的にはデータの流出やファイルの暗号化に使用されるスクリプト、DLL、その他のファイルなどの追加コンポーネントがダウンロードされます。

取り込まれるファイルには、以下のものがあります。

  • バッチファイル:BitsadminとRundllを実行し、Egregorペイロードをダウンロードして実行するために使用される。
  • Zipファイル:RCloneクライアント(名前変更されたsvchost)というバイナリファイルと、後でデータ抽出に使用されるRCloneの設定ファイル(webdav、ftp、dropbox)が含まれている。


RCloneの実行可能ファイルと設定ファイルのVTスクリーンショット

CobaltStrikeは、暗号化されたPowerShellコマンドを実行するサービスを作成し、amazjai-technologies[.]industryへの接続を作成するシェルコードを実行します。


シェルコードの復号化

攻撃に必要なファイルを取り込んだ後、攻撃者は「下準備を行い」、セキュリティ機能による検出と防御を回避するための最終的な手順を実行します。

Windows Defenderを無効にするためにグループポリシーオブジェクト(GPO)を作成し、いずれのウイルス対策製品も無効化しようとします。

EGREGORの実行

前述したように、Egregor攻撃者は、機密情報を収集した後にランサムウェアのペイロードを展開し、GPOを設定してセキュリティ機能による検出と防御を回避します。ランサムウェアを展開するには、前述のとおり、取り込んだバッチファイルを実行して、ランサムウェアのペイロードをリモートサーバーからダウンロードして実行するために使用します。


バッチファイルの内容

Egregorのペイロードを復号化できるのは、Rundll32プロセスへのコマンドライン引数で正しいキーが提供された場合にのみです。したがって、攻撃者がランサムウェアを実行するために使用したのと全く同じコマンドラインが提供されない限り、手動でもあるいはサンドボックスを使用しても、ファイルを分析することはできません。

ランサムウェアを実行してその中のコードのBlobを復号化するために、攻撃者は、ランサムウェアの実行とファイルの暗号化で解決する「-passegregor10」のキーをバッチファイルに提供します。


Cybereason Defense Platformで表されたバッチファイルの実行

暗号化されたファイル名には、新しい拡張子としてランダムな文字列が付加されます。たとえば、「My_files.zip」というファイル名が「My_files.zip.IAsnM」に、「My_files2.zip」が「My_files2.zip.WZlF」などに変更されます。また、攻撃者は、下図のように、暗号化されたファイルを格納するすべてのフォルダ内に、ランサムノートを記載した「recover-files.txt」を作成します。


暗号化されたファイル


ユーザー宛のメッセージ

SEKHMETとMAZEとの共通点

Egregorは、悪名高いMazeランサムウェアやSekhmetランサムウェアとコードが類似しています。コードの類似性以外にも、動作や特徴などで、ツリー型のランサムウェアには多くの共通点があります。

  Maze Sekhmet Egregor
最初の発見 2019年5月 2020年3月 2020年7月
ファイルのタイプ DLL/EXE DLL DLL
暗号化されたファイルの拡張子 ファイル名には、ランダムな文字で構成される拡張子がランダムに付加される ファイル名には、ランダムな文字で構成される拡張子がランダムに付加される ファイル名には、ランダムな文字で構成される拡張子がランダムに付加される
暗号化アルゴリズム ChaChaおよびRSA ChaChaおよびRSA ChaChaおよびRSA
身代金要求メッセージのファイル名 DECRYPT-FILES.txt RECOVER-FILES.txt RECOVER-FILES.txt
被害 暗号化と恐喝 暗号化と恐喝 暗号化と恐喝
サイバー犯罪の連絡 TorブラウザWebサイト TorブラウザWebサイト TorブラウザWebサイト
Webサイト Maze News Leaks, Leaks, Leaks Egregor News

3つのマルウェア間の共通点を探すもう1つの方法として、インフラストラクチャを確認する方法があります。IPアドレス185.238.0[.]233の各種バイナリ、Zipファイル、スクリプトがあります。

  • Mazeランサムウェアのバイナリ
  • Egregorランサムウェアのバイナリ
  • ZipファイルにはRCloneバイナリと設定ファイルが含まれている

IPアドレスは、Egregorペイロードをダウンロードするバッチファイルなど、さまざまなスクリプトによって参照されます。


185.238.0[…]233で見つかったさまざまなサンプルを示すチャート

また、3つのランサムノート間の類似点も注目に値します。それらは非常に似た構造をしており、「コピーペースト」されたような箇所もあります。


3つのランサムウェアのランサムノートの比較

この特定のサーバーで見つかったのはMazeとEgregorのバイナリだけではありません。こちらのレポートで分析したように、Prolockランサムウェアに関連する他のサンプルもサーバー内で見つかっています。

CYBEREASONの検出と防御

Cybereasonは、NGAVコンポーネントを使用するEgregor、Sekhmet、Mazeの実行を検出し、防御することができます。ランサムウェア対策機能を有効にした場合、プラットフォームの行動検出技術が、ファイル暗号化の試みを検出し、それのMalopを特定することができます。


悪意のある活動によって特定されたランサムウェアのMalop

Cybereasonのマルウェア対策機能を適切に設定することで(以下の推奨事項を参照)、ランサムウェアの実行を検出して防御し、標的にされたファイルの暗号化を防ぐことができます。


マルウェア対策アラート – b.dll(Egregorペイロード)の駆除


ユーザーへの通知、エンドポイントでのランサムウェアの実行をブロック

MITRE ATT&CKによる分類

初期アクセス
フィッシング

権限昇格
有効なアカウント

防衛回避
グループポリシーの改ざん
防衛の無効化 
防御の無効化: ツールの無効化または改ざん
なりすまし

C&C
Ingress Tool Transfer

探索
アカウントの探索
ドメイントラストの探索
権限グループの探索
権限グループ(ローカルグループ)の探索

ラテラルムーブメント
リモートサービス

持ち出し
Webサービスを介した持ち出し
Webサービスを介した持ち出し

影響
データの暗号化による影響

IoC(Indicators of Compromise:痕跡情報)

IOC タイプ 説明
f7bf7cea89c6205d78fa42d735d81c1e5c183041 SHA1 Egregor DLL
5a346fb957abeba389424dc57636edcacc58b5ba
901cee60fba225baf80c976b10dfa1684a73f5ee
a6259615ea10c30421e83d20f4a4b5f2c41b45b8
03cdec4a0a63a016d0767650cdaf1d4d24669795
4ea064f715c2a5f4ed68f57029befd8f406671dd
ac634854448eb8fcd3abf49c8f37cd21f4282dde
7bc6c2d714e88659b26b6b8ed6681b1f91eef6af
0579da0b8bfdfce7ca4a45baf9df7ec23989e28b
3a33de9a84bbc76161895178e3d13bcd28f7d8fe
f7bf7cea89c6205d78fa42d735d81c1e5c183041
986f69a43e0bf174f73139785ec8f969acf5aa55
f1603f1ddf52391b16ee9e73e68f5dd405ab06b0
5a346fb957abeba389424dc57636edcacc58b5ba
901cee60fba225baf80c976b10dfa1684a73f5ee
a6259615ea10c30421e83d20f4a4b5f2c41b45b8
4ea064f715c2a5f4ed68f57029befd8f406671dd
ac6d919b313bbb18624d26745121fca3e4ae0fd3 SHA1 Egregorバッチファイル
95aea6b24ed28c6ad13ec8d7a6f62652b039765e
a786f383dfb90191aa2ca86ade68ee3e7c088f82
631924a3567390a081dbd82072a6fc3a185c5073
1be22505a25f14fff1e116fafcaae9452be325b1
a2d5700def24c3ae4d41c679e83d93513259ae4a
45.153.242.129 IPs C2
185.238.0.233
49.12.104.241
34a466a0e55a930d8d7ecd1d6e6c9c750082a5fe SHA1 RCloneを含むZipファイル
2edaa3dd846b7b73f18fa638f3e1bc3a956affa4 SHA1 エンコードされたPowerShell

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」