threat-research

DeathRansomパート 2:背後にいる人物

はじめに

FortiGuard Labsは最近、DeathRansomという攻撃が進行中であることを確認しました。この新しい亜種に関する最初のブログでは、収集したサンプルの技術的な分析を試みましたが、パート 2ではこのDeathRansom攻撃と他の攻撃との関連性を明らかにし、その背後にいる可能性がある人物を探ります。


怪しい匂いとVidarスティーラーとの関連性

言語の隠蔽

まず、前回のブログで紹介したサンプル、13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1から調査を始めましょう。このサンプルにはデバッグパスがありますが、使われている言語を特定できませんでした。さらに、9つのリソースがあり、リソースセクションにLANG_SLOVAK識別子定数(0x041B)があります。これは、スロバキア語がデフォルトでインストールされているマシンでサンプルがコンパイルされた可能性があることを意味します。

図1:サンプル内のデバッグパス

図1:サンプル内のデバッグパス

図2.サンプルの.rsrcセクションの一部

図2.サンプルの.rsrcセクションの一部

これらの文字をさまざまな方法で分割し、その結果を各種自動翻訳サービスにフィードすることで、PDBパスをスロバキア語から翻訳しよう試みましたが、いずれの方法でも正しく翻訳できませんでした。「duzuk」という語は、Google翻訳ではスロバキア語ではなく、バスク語として認識されました(英語の「you have」の意味)。

このサンプルは.esドメインゾーン(スペイン)のドメインからダウンロードされたため、バスク語と認識されたのは興味深いことです。このドメインはハッキングされたもののようであるため、ドメイン名の公表は差し控えます。

サンプルのWacatac_2019-11-20_00-10.exeという名前も、同様に興味深いものでした。「Wacatac」という語は、いくつかの異なる意味のある方法でバスク語から翻訳できるため、さらに詳しく調べることにしました。

このファイル名はとてもわかりやすい「名前-日時」の構造であるため、既知のすべてのファイルからこのパターンを探してみたところ、9つのファイルが見つかりました。図3はその詳細を示しています。

図3.我々の調査表の一部

図3.我々の調査表の一部

この調査の結果は、またしても少々落胆させられるもので、リソースの言語IDがネパール語からスロバキア語へ、次にニュートラル語へ、さらにはスロバキア語へと、目まぐるしく変わりました。さらに、このデバッグパスは人間のプログラマーが使用するパスではなく、マシンで生成された意味不明のもののようです。

したがって、バスク語の痕跡は単なる偶然と結論付けざるを得ませんでした。ただし、スロバキア語とネパール語の痕跡はこれとは異なり、おそらく調査を欺くために意図的に挿入されたものだと考えられます。


Bitbucketのプロファイル

このような残念な調査結果にもかかわらず、これらの新しいサンプルからは重要な手掛かりも得ることができました。図3に示すサンプルの1つは、ハッキングされた.esサイトではなく、以下のURLからダウンロードされたものです。

hxxp://bitbucket[.]org/scat01/1/downloads/Wacatac_2019-11-16_14-06.exe

このリンクにはアクセスできず、scat01プロファイルへのアクセスも不可能でした。

図4:scat01プロファイルへのアクセス試行時に表示されるBitbucketのメッセージ

図4:scat01プロファイルへのアクセス試行時に表示されるBitbucketのメッセージ

それにもかかわらず、このBitbucketディレクトリへのアクセスを試行した他の不正サンプルを探してみたところ、2019年5月の興味深い接続ログが見つかりました。このサンプルは、Vidarスティーラーマルウェアファミリーと関連性があるものでした。

図5.Vidarサンプルの接続ログの一部

図5.Vidarサンプルの接続ログの一部

この命名パターンは、明らかにWacatacサンプルと似ています。

Wacatac_2019-11-20_00-10.exe
scat01_2019-05-20_06-13.exe

次に、URLマスクを使用して接続ログを検索することにしました:

bitbucket[.]org/scat01/*

VirusTotalで見つかった接続ログの1つを図6に示します(サンプル:dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4)。

図6.新しい不正サンプルの接続先URL

図6.新しい不正サンプルの接続先URL

それでは次に、これらの接続を分析してみましょう。緑の枠で囲んだ接続は、さまざまなブラウザからパスワードを抽出する目的で使用する標準Vidarライブラリであるため、Vidarスティーラーを調べたことのある人であれば誰でも知っているはずです。

赤の枠で囲んだ接続は、別のWacatac名の実行可能ファイルにアクセスしようとしています。残念ながら、Vidarサンプルサンドボックス分析中にはこのリンクにアクセスできなかったため、Wacatac_2019-11-16_17-03.exeサンプルは我々の手元にありません。

しかしながら、最初のブログで説明したとおり、DeathRansomは「Wacatac」という名前を使って暗号鍵をレジストリに保存します。したがって、アクセスできないWacatac_2019-11-16_17-03.exeサンプルがDeathRansomの別の亜種であると信じるに足る確かな理由が見つかりました。

つまり、「マルウェアホスティング」が同じで命名パターンも同じであること、そしてVidarサンプルがDeathRansomサンプルをダウンロードしようとしたという事実から判断すると、Vidar攻撃とDeathRansom攻撃がscat01というBitbucketプロファイル名の人物によって実行されたと結論付けることができ、いくつかのマルウェアサンプルにもこの名前が使われています。

そこで、さらに詳しい調査を続けてこのscat01に関する情報を探すことにしました。


scat01の追跡調査

最初に、scat01という文字列が含まれる新しいマルウェアを探しました。調査結果を簡単にまとめると、次のようになります。

  • 見つかったサンプルの1つは、C2サーバー「scat01[.]tk」に接続する「Azorult」スティーラーマルウェアだった
  • Benkow「パネルトラッカー」サービスで、「scat01」という名前の「1ms0rryStealer」のC2パネルも見つけることができた

    図7.スティーラーのコントロールパネルのアーカイブレコード

    図7.スティーラーのコントロールパネルのアーカイブレコード

  • ここで最も重要なのは、以下のサンプルです。
    hxxp://gameshack[.]ru/scat01.exe
    e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06

    このサンプルは難読化されていないEvrialスティーラーであり、その構成を調査すると以下の「Owner」フィールドを確認できます。

    図8.マルウェアのOwnerフィールド

    図8.マルウェアのOwnerフィールド

最後のサンプルは、Webサイトgameshack[.]ruのルートフォルダからダウンロードされたものであり、これは攻撃者が何らかの方法でこのWebサーバーを制御していることを意味します。そこで、このWebサーバーから何か他に見つからないか調査することにしました。


Gameshack[.]ruポータル

Gameshack[.]ruのルートフォルダから直接ダウンロードされたものの中に多くの不正サンプルが見つかったため、入手できたすべてのサンプルを分析し、調査に役立つ情報を抽出することにしました。

図9.「gameshack[.]ru」からダウンロードされた不正サンプル(VirusTotalによる)

図9.「gameshack[.]ru」からダウンロードされた不正サンプル(VirusTotalによる)

gameshack[.]ruWebサイトで「ホスティング」されていたマルウェアサンプルはダウンローダーでした。これは、ペイロードをダウンロードして実行することが目的だったことを意味します。主なペイロードは以下の2種類です。

  • Evrialスティーラー
  • マイナー + クリッパー + スティーラー(Supremeマイナー)

Evrialスティーラーのサンプルは難読化されておらず、同じ「Owner」フィールド(scat01)が含まれていました。

Supremeマイナーのサンプルは「NULL SHIELD」によって難読化されていて(Confuser亜種)、電子メールvitasa01[@]yandex.ruが埋め込まれていました。

図11は、マイナー「Supreme.exe」の文字列の一部を示しています(サンプル:1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251)。このマイナーの本体には、Evrialスティーラーも含まれていました。

図10.マルウェアのマイナー部分の文字列

図10.マルウェアのマイナー部分の文字列

ご覧のように、このサンプルは同じiploggerサービスを使用して、感染ホストをDeathRansomサンプルとしてカウントしています(詳細は、最近のブログ記事を参照)。

ここに含まれるEvrialスティーラーのOwnerも、同様に「scat01」です。

図11.マルウェアのEvrialスティーラーの部分の文字列

図11.マルウェアのEvrialスティーラーの部分の文字列

この図に示すように、Webサイト「gameshack[.]ru」は攻撃者によって制御されており、scat01の属性文字列が含まれる不正サンプルを配布しています。

ここまでの調査で特定された、攻撃者に関する情報の概要を以下に示します。これには、この攻撃者が関与しているマルウェアファミリーも含まれます。

  • DeathRansom
  • Vidarスティーラー
  • Azorultスティーラー
  • Evrialスティーラー
  • 1ms0rryStealer
  • Supremeマイナー

この人物に関する情報

  • scat01 ニックネーム
  • vitasa01[@]yandex.ru 電子メール
  • gameshack[.]ru に対する制御

これらの攻撃者が、ロシアの電子メールサービスとロシアのドメインゾーンである.ruを使用していることは明らかです。また、DeathRansomがシステム言語のチェックを実行して旧ソ連の国のロケールが検知された場合は、ファイルを暗号化しないという事実も覚えておく必要があります。

さらに、このグループが使用しているスティーラーを分析したところ、ロシアの地下フォーラムで購入できることがわかりました。そこで、その地下フォーラムで検索を続けることにしました。


ロシアの地下フォーラム

ロシアの地下フォーラムで「scat01」と「vidar」を検索すると、同じニックネームの人物がVidarスティーラーのレビューをロシア語で投稿していることがわかりました。

図12.scat01が投稿したVidarスティーラーのフィードバック

図12.scat01が投稿したVidarスティーラーのフィードバック

scat01が別のフォーラムに投稿したフィードバックも見つかりました。今回は、Evrialスティーラーに関するものです。この人物は、すべての情報がこのマルウェアの販売者のサーバーに送られるため、誰かが自分のEvrialスティーラーのログにアクセスすることを危惧しています。

図13.Evrialスティーラーの販売者に関するscat01の苦情

図13.Evrialスティーラーの販売者に関するscat01の苦情

別のロシアの地下フォーラムでは、別のレビューの投稿も見つかりました。このレビューは、Supremeマイナーに関するものでした。

図14.Supremeマイナーのフィードバック

図14.Supremeマイナーのフィードバック

さらに、同じ名前のユーザーが別のロシアの地下フォーラムでも活動していることがわかりました(これ以降、この地下フォーラムを「ロシアの地下フォーラム#4)」と呼びます)。現在このユーザーは、異なる名前で複数のアカウントを作成することを禁止されています。ここで使われているプロフィール画像に注目してください。

図15.ロシアの地下フォーラム#4のScat01のプロフィール

図15.ロシアの地下フォーラム#4のScat01のプロフィール

この人物のプロフィールが複数の地下フォーラムで見つかったため、さらに検索を続け、情報を比較することにしました。Yandex.Marketにおける製品レビューも見つかりましたが、@yandex.ruドメインで電子メールサービスを提供しているのもこの会社だというのは、興味深い事実です。

図16.購入者のレビュー

図16.購入者のレビュー

このレビューには文章がありません(スコアのみ)が、場所を確認することはでき、Aksay(アクサイ)から投稿されたことがわかりました。Aksayは、ロシアのRostov-on-Don(ロストフ・ナ・ドヌ)近郊の小さい町です(このヒントはまた後で登場します)。

図17.Googleマップ上のAksay

図17.Googleマップ上のAksay

ここにおけるもう1つの重要な手がかりは、レビュアーアカウントのユーザー名であるvitasa01です。この事実は、以前の不正サンプルに見つかった電子メール「vitasa01[@]yandex.ru」にこのレビュアーがアクセスできる可能性が高いことを示しています。

図18.URL文字列のYandexユーザー名

図18.URL文字列のYandexユーザー名

また、このプロファイルで使用されている画像に注目すると、図15と同じ画像であることがわかります。つまり、以下の3点が一致しています。

  • プロフィール画像
  • 現在のユーザー名
  • Yandexユーザー名

我々はこの段階で、このYandexプロファイルが「ロシアの地下フォーラム#4」で見つかったscat01プロファイルや、gameshack[.]ruを配布元とするマルウェアに関連していると確信しました。しかしながら、この作成者の本当の身元を特定するにはどうしたらよいでしょうか?そこで我々は、gameshack[.]ruに関する情報を探すことにしました。


Gameshack[.]ruポータル

Webサイトgameshack[.]ru を宣伝する興味深いYouTubeチャンネルが見つかりました。gameshack[.]ruへのリンクには、「our game portal」という名前が付けられています。

図19.不正Webサイトを宣伝するYouTubeチャンネル

図19.不正Webサイトを宣伝するYouTubeチャンネル

ここでは「SoftEgorka」というユーザー名が使われていますが、「Egorka」は「Egor」という名前のロシア人のニックネームです。アバター画像の参照先もgameshack[.]ruでした。

もう1つの興味深い情報は、Skypeのリンクです。図20に示すように、Skypeユーザー名SoftEgorkaを参照していることがわかります。

図20.YouTubeプロフィールのSkypeのリンク

図20.YouTubeプロフィールのSkypeのリンク

「SoftEgorka」というSkypeユーザーを検索したところ、同じくロシアの地下フォーラム#4に以下のユーザープロファイルが見つかり、ここではユーザー名「Super info」が使われていました。

図21.ロシアの地下フォーラム#4の「Super info」のプロフィール

図21.ロシアの地下フォーラム#4の「Super info」のプロフィール

このSkypeアドレスは上記のYouTubeチャンネルに対応しており、このユーザーは、Italy(イタリア)在住であると説明しています。さらに、この人物のメッセージをさらに検索してみたところ、これが真実である可能性があることを示す別の証拠が見つかりました。

図22.この人物は自らがイタリア出身だと主張

図22.この人物は自らがイタリア出身だと主張

Super Info」の投稿をさらに詳しく調べてみると、ゲームアカウントの販売(Steam、WoT、Origin)に関する記述が見つかりました。ここでは、前述のスティーラーがゲームやゲーム配信の複数のプラットフォームからパスワードを不正取得するものである点に注目する必要があります。これは、進行中のスティーラー攻撃へのSuper infoの関与の可能性を示す、間接的な証拠です。

図23.WebMoney IDと既知のSkypeリンクが含まれるメッセージ

図23.WebMoney IDと既知のSkypeリンクが含まれるメッセージ

Contacts(連絡先)セクションには、「Skype: SoftEgorka」とWebMoney ID: 372443071304が記載されていますが、これと同じWMIDが、同じユーザーによる別の投稿にも記載されていました。また、Steamアカウントの販売とも関連性がありますが、今回はnedugov99という別のSkypeプロファイルが記載されています。

図24.同じWMID、且つSkypeアカウントがnedugov99であるユーザーのメッセージ

図24.同じWMID、且つSkypeアカウントがnedugov99であるユーザーのメッセージ

次に、この新しいSkype IDで検索してみたところ、ゲームアカウントの販売に関する古い広告が見つかりました。

図25.ゲームアカウント販売の古い広告

図25.ゲームアカウント販売の古い広告

ここには、次のような重要な情報が表示されています。

ユーザー名:undefined_Nedugov
Skype ID:nedugov99
電話番号:+7951****311
Vkontakte SNS id: id154704666

携帯電話の番号を調査したところ、「Rostov-on-Don」地域のものであることがわかりました。

次に、VK id154704666のプロファイルを調べてみました。

図26.Egor NedugovのVkontakte SNSプロファイル

図26.Egor NedugovのVkontakte SNSプロファイル

「Egor」という名前は地下フォーラムでのニックネームの1つである「SoftEgorka」に、「Nedugov」という姓はSkypeアカウント「nedugov99」に結び付けることができます。プロフィールによると、この人物はRostov-on-Don在住ですが、前述のとおりscat01によるYandexのレビューは、Rostov-on-Don近郊の小さい町であるAksayから投稿されていました。

さらに興味深いことに、彼は「Gameshack[.]ru公式グループ」をフォローしており(あるいは、管理者なのかもしれません)、図20〜21に示したYouTubeプロフィールには、このグループへのリンクが記載されていました。

図27.「Egor Nedugov」は不正WebサイトVKグループをフォローしている

図27.「Egor Nedugov」は不正WebサイトVKグループをフォローしている

ここでは、「Rostov-on-Donですか?この人物は図21~22でイタリア在住になっていたのでは?」と不思議に思う方がいらっしゃるかもしれません。その答えを見つけるには、EgorのInstagramページにアクセスする必要があります。

図28.Egor NedugovのInstagramアカウント

図28.Egor NedugovのInstagramアカウント

InstagramとFacebookの彼のアカウントを見ると、確かに彼はイタリアに住んでいたことがあるようです。

ここでもう1つ、別の可能性を考える必要があります。調査をここまで進めた段階で我々が考えたのは、「scat01SoftEgorkaが別の人物である可能性はないか?前者がマルウェアをコンパイルし、後者がGameshack[.]ruポータルで「ホスティング」しているのではないか?」ということです。gameshack[.]ru経由である点と、接続した場所に共通点があることは確かですが、両者が友人で同じ地域に住んでいる可能性はないのでしょうか?

我々は、図29に示すcsgo-stats[.]netのプロファイルに、もう1つの手掛かりを見つけました。ユーザー名「scat01」のユーザーは「Egor」(ロシア語:Егор)と名乗っていますが、 「Egor」がロシアでは珍しい名前である点に注目する必要があります。

図29.scat01のcsgo-stats[.]netのプロファイル

図29.scat01のcsgo-stats[.]netのプロファイル

また、同じ人物のプロファイルが他にもたくさん見つかりました。地下フォーラムの情報によると、この人物は、アカウントの不正取得、カードの不正使用、マルウェアの配布、さらにはフォーラムの仲間に対するフィッシングや詐欺にも関与しています。地下フォーラムでこの人物のほぼすべてのアカウントが最終的に禁止されたのはそのためです。


終わりに

FortiGuard Labsは、進行中のDeathRansomとVidarマルウェアの攻撃に大きな関連性があるという確証を得ました。両者には、命名パターンと使用しているインフラストラクチャという共通点があります。また、VidarサンプルがDeathRansomマルウェアをダウンロードしようとした証拠も見つかりました。

scat01」というニックネームの人物は、最近のDeathRansom攻撃だけでなく、他の攻撃にも関与していると我々は考えています。また、配布されたマルウェアにはロシアとの強い結び付きがあることを示す証拠も見つかりました。

ロシアの地下フォーラムに残された証拠に基づき、これらの不正攻撃の背後にいると思われる人物を特定することができたのです。


ソリューション

この記事に記載されているいずれのサンプルも、FortiGuardアンチウイルスエンジンによって検知されます。

05b762354678004f8654e6da38122e6308adf3998ee956566b8f5d313dc0e029 - W32/Kryptik.GYME!tr
0cf124b2afc3010b72abdc2ad8d4114ff1423cce74776634db4ef6aaa08af915 - W32/Kryptik.GYQI!tr
13d263fb19d866bb929f45677a9dcbb683df5e1fa2e1b856fde905629366c5e1 - W32/Kryptik.ANT!tr
2b9c53b965c3621f1fa20e0ee9854115747047d136529b41872a10a511603df8 - W32/GenKryptik.DYFO!tr
4bc383a4daff74122b149238302c5892735282fa52cac25c9185347b07a8c94c - W32/GenKryptik.DYBP!tr
6247f283d916b1cf0c284f4c31ef659096536fe05b8b9d668edab1e1b9068762 - W32/GenKryptik.DXWB!tr
66ee3840a9722d3912b73e477d1a11fd0e5468769ba17e5e71873fd519e76def - W32/Kryptik.GYMH!tr
dc9ff5148e26023cf7b6fb69cd97d6a68f78bb111dbf39039f41ed05e16708e4 - W32/GenKryptik.DXWQ!tr
f78a743813ab1d4eee378990f3472628ed61532e899503cc9371423307de3d8b - W32/GenKryptik.DXWH!tr
fedb4c3b0e080fb86796189ccc77f99b04adb105d322bddd3abfca2d5c5d43c8 - W32/Kryptik.GYQI!tr
a45a75582c4ad564b9726664318f0cccb1000005d573e594b49e95869ef25284 - W32/Generic!tr.pws
e767706429351c9e639cfecaeb4cdca526889e4001fb0c25a832aec18e6d5e06 - MSIL/Agent.QJH!tr
1e1fcb1bcc88576318c37409441fd754577b008f4678414b60a25710e10d4251 - MSIL/CoinMiner.AHY!tr

FortiGuard Webフィルタリングサービスは、以下のURLを不正としてブロックします。

iplogger[.]org/1Zqq77
bitbucket[.]org/scat01/
scat01.mcdir[.]ru
gameshack[.]ru
scat01[.]tk


IOC

SHA256:
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URL:

iplogger[.]org/1Zqq77
bitbucket[.]org/scat01/
scat01.mcdir[.]ru
gameshack[.]ru
scat01[.]tk

FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labsは、脅威インテリジェンスブリーフ(英文)を毎週お届けしています。ぜひご購読ください。

セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについては、こちらをご参照ください。