新たなスパムキャンペーンでGandCrab 2.1ランサムウェアが急増

この数日、FortiGuard Labsでは最新のGandCrab v2.1ランサムウェアを配信するEメールスパムキャンペーンの急増を観測しました。今回の記事では、この悪意のあるキャンペーンの概要を解説し、ユーザーの皆さんが特定する際に役立つ詳細をいくつか紹介します。


スパムキャンペーン

下の画像はフォーティネットのKTIS (Kadena Threat Intelligence System)のスクリーンショットです。ペイロードとして配信されるGandCrab v2.1のサンプルに行き着いた、単一のスパムキャンペーンの全体像を視覚化したものです。

Fig.1 KTIS visualization of the spam

図1. 視覚化したスパム

この図から枝を切り離してみると、次の画像のように、キャンペーンをより詳細に見ることができます。複数のメールにJavascriptが添付されており、これを実行すると悪意のあるURL、http[:]//185.189.58.222/uh.exeからGandcrab v2.1 の亜種がダウンロードされることがわかります。

また、この記事を書いた時には、すでに3つのユニークな(異なる) Gandcrab v2.1のハッシュがURLからホストされていたことも示しています。つまり、新たに作成されたサンプルが、おそらく異なるコンフィギュレーションで、あるいは特定のファイルシグネチャを回避しようとして、同時にプッシュされているということです。このIPアドレスの裏にある組織はGandcrabだけに限らず、バックドアからのアクセスや制御を可能にするワームPhorpiexや、感染したシステムへのリモートアクセスを攻撃者に提供することができるトロイの木馬IRCbot、コインマイナーなどの他のマルウェアもホストしています。

Fig.2 A single chain of the GandCrab 2.1 spam campaign

図2. GandCrab 2.1スパムキャンペーンのチェーンの1つ

先ほども述べたように、このEメールスパムのサンプルにはアーカイブ内に隠されたJavaScriptが添付されており、ファイル名の形式はDOC<NUMBERS>.zipとなっています。中身は次の図で示すように、すべてほとんど同じです。観測したサンプルの件名は、以下のようになっていました。

  • Document #<数字>
  • Invoice #<数字>
  • Order #<数字>
  • Payment #<数字>
  • Payment Invoice #<数字>
  • Ticket #<数字>
  • Your Document #<数字>
  • Your Order #<数字>
  • Your Ticket #<数字>

Fig.3 Email spam sample delivering GandCrab v2.1

図3. GandCrab v2.1を配信するEメールスパムのサンプル


地理的分布

下のグラフはこの1週間で収集したスパムメールから集めたメール受信者のドメインの点から、スパム分布を示したものです。このように、米国でホストされているメールサーバーが現在、このキャンペーンの主な受信者となっています。

Fig.4 Geographical distribution of email recipient domains

図4. Eメール受信者のドメインの地理的分布

一方、次のグラフはこの1か月のGandCrabの実際の感染を、より一般的な視点で示したものです。時期(4月14日~4月17日)だけに着目すると、このキャンペーンを発見した時にはすでに、感染が増加していたことがわかります。

Fig.5 GandCrab infection timeline in the past month

図5. 過去1か月のGandCrabの感染を示すタイムライン

次のグラフが示すように、GandCrabの感染の成功という点では、インドがトップになっています。

Fig.6 GandCrab infection geographical graph

図6. 地域別GandCrabの感染


ファイルの回復

Fig.7 Files encrypted with .CRAB extension

図7. .CRAB拡張子で暗号化されたファイル

ランサムノートには、ファイル復号ツールを購入するためにTORブラウザを使ってユーザーが訪問しなければならないonion サイトへのリンクが含まれています。TORブラウザとは、匿名でインターネットの閲覧やダウンロードを行うために設計されたブラウザです。このページに詳しい指示や最初の身代金の金額(一定の時間が過ぎると倍になる)などの、通常のランサムウェアの情報が表示されます。しかし、身代金の支払いはしないようにしましょう。支払っても脅威アクターからのアクションがあるとは限りません。

Fig.8 GandCrab v2.1 ransom note

図8. GandCrab v2.1のランサムノート

Fig.9 Payment page shows doubled decryption price after the countdown expires

図9. 支払いページのカウントダウンが終了すると、復号の料金が倍に


結論

GandCrabランサムウェアも、どのタイプのランサムウェアも、感染したシステムに取り返しのつかないダメージを与える可能性があります。こうした攻撃からの防御を行う最善の方法は、サイバーハイジーンを良好に保ち、安全策を講じることです。今回の場合のように、勝手に送られてくるメール、特に実行ファイルが添付されたものは常に警戒することが重要だということを覚えておきましょう。また、手を尽くしても駄目だった時のために、侵害を受けたシステムを回復できるよう、必ず分離したネットワーク環境にバックアップを保存するようにしましょう。

FortiGuard Labs は、GandCrabのアクティビティだけでなく、こうしたスパムキャンペーンによって配信されるその他のマルウェアの監視を引き続き行っていきます。

-= FortiGuard Lion Team =-


ソリューション

フォーティネットユーザーは、以下のソリューションで保護されています。

  • FortiGuard AntiSpam ServiceでEメールをブロック
  • FortiGuard Antivirusで攻撃チェーンのファイルを検知
  • FortiGuard Web Filtering Serviceで悪意のあるダウンロードURLやC2をブロック
  • FortiSandboxが攻撃チェーンにある実行ポイントを「ハイリスク」と評価

FortiMailとセキュリティファブリック

FortiMailフォーティネットのセキュリティファブリックの中心的要素であり、Eメールを攻撃ベクトルとして使用する、これまでにない新たな脅威に対する主要な保護ポイントとなっています。FortiMailは多層の脅威阻止機能と統合で、今回のような脅威やEメールを介した脅威のインターセプトと中和を可能にします。

セキュリティファブリックでFortiSandbox と統合すると、FortiMailがEメールのキューイングを行う一方、サンドボックス化した仮想マシンで脅威が開かれ、実行されます。FortiSandboxがJSファイルの挙動や、その後の悪意のあるURLやC2へのコールアウトに基づいて今回の脅威を検知し、そのコンテンツを「ハイリスク」と評価したため、FortiMailは初回出現時から脅威を中和できました。

FortiMailはFortiGuard アンチスパムや、クラウドベースの機械学習を用いるVirus Outbreak Serviceを活用し、新たな脅威の発生を特定、阻止します。これにより、数秒のうちに各キャンペーンの開始を検知し、今回の脅威を阻止しました。

こうした脅威の中和には、以下を含む様々なコンテンツベースの手法が利用されています。

  • Eメールからexeやjavascriptなどのアクティブコンテンツを除去
  • マクロやjavascript、埋め込みコンテンツ、DDEなどを除去し、Office文書やPDF文書を中和

セキュリティファブリックの主な特長は、統合されているツール間で脅威インテリジェンスを共有していることです。脅威が特定されると、マルウェアや悪意のあるURLパッケージは、FortiSandbox、FortiMail、FortiGate、FortiClientなどのファブリックのツール間で共有されるため、脅威が他のベクトルの利用を試みた場合にも、瞬時に検知します。


IOC

Eメール

193fa4b3c3d613aad618c700eb728740a76583314eac47c26101f870acacce8d
4ebc543ae92434b44b4969176a84f365ae71e22f434b78b60185eb2f97388b19
711802a21faffde6176e24e453279f805899a8a8e8acb1aa17cbbe939728cf77
<一部のみ掲載>

JSダウンローダー

9898b8e0a8b1a6ba96b07bc01ecef716cf9c5280f5190467e5da449854e64b22 - BAT/Agent.ALP!tr
d3120d04ed68b46249f9d27d0174840dc99b75eae338b46ed3d64fc7e386f1c - BAT/Agent.ALP!tr
bf7e29484aebfa7be8877639ea16383d5c4025cbf359d5c2566c98f5e1fccea1 - BAT/Agent.ALP!tr
<一部のみ掲載>

GandCrab v2.1

846ad2d7e1e133ae4bc2decbc22ae686a44cccaffbee15b4d9b23143f6aa8d3f - W32/Kryptik.GFTZ!tr
a3e2a45504a3bcf9f96acabb601410e2250165c3d19f2580c50a15bf910f3d9f - W32/Kryptik.GFTT!tr
339d22b5e02c79cdaa355bb11b063645332d0a2fd43ae78af6577818c4078284 - W32/Kryptik.GFRY!tr

ダウンロードURL

hxxp://185.189.58.222/uh.exe

C2

ransomware.bit
zonealarm.bit