正体不明の脅威アクターによる新たな攻撃キャンペーンが、MortalKombatランサムウェアとLaplas Clipperという2つのマルウェアファミリーを用いて米国を標的としています。これらのマルウェアキャンペーンの実行方法と、ビジネスを安全に保つ方法について詳しく説明します。
ジャンプ先:
- これらのサイバーセキュリティ攻撃がどのように実行されるか
- MortalKombat ランサムウェアとは何ですか?
- Laplas Clipper マルウェアとは何ですか?
- この安全保障上の脅威の主な標的は米国である
- MortalKombatとLaplasマルウェアからビジネスを守る方法
これらのサイバーセキュリティ攻撃がどのように実行されるか
Cisco Talosが解説するこの攻撃キャンペーンは、正規の暗号通貨決済ゲートウェイであるCoinPaymentsを装ったフィッシングメール(図A)から始まります。内容は非常に簡潔で、タイムアウトの問題によりキャンセルされたビットコインでの決済について説明しています。添付ファイルは悪意のあるBATローダースクリプトを含むZIPアーカイブファイルであり、ビットコインで取引を行うユーザーだけが開くと考えるのが妥当でしょう。
図A
ローダーが実行されると、攻撃者のインフラストラクチャに属するサーバーから別の ZIP ファイルをダウンロードします。そのコンテンツには、MortalKombat ランサムウェアまたは Laplas Clipper マルウェアが含まれている可能性があります (図 B )。
図B
MortalKombat ランサムウェアとは何ですか?
Cisco Talos の研究員 Chetan Raghuprasad 氏によると、MortalKombat ランサムウェアが初めて確認されたのは 2023 年 1 月です。この 32 ビット Windows 実行ファイルは、実行されると、ローカル ユーザー プロファイルの一時フォルダに自身をコピーしてから、被害者の壁紙として読み込まれる画像ファイルをドロップします (図 C )。
図C
このランサムウェアは、暗号化対象となるファイル拡張子の膨大なリストを保持しています。リストに一致するファイルがあれば、そのファイルが暗号化されます。また、ランサムウェアは実行マシンに接続されている論理ドライブをチェックし、すべてのフォルダで同じファイル拡張子を再帰的に検索し、見つかったファイルをさらに暗号化していきます。
暗号化されたすべてのファイルには新しいファイル拡張子が付けられ、ファイルが暗号化されているすべてのフォルダーに同じ身代金要求メモファイルが作成されます。
ごみ箱フォルダ内のファイルも、同じファイル拡張子でファイル名が変更されます。
Cisco Talosの研究者は、MortalKombatランサムウェアと、2010年に出現し、ランサムウェアの亜種の作成に広く利用されてきたXoristと呼ばれるはるかに古いランサムウェアとの類似点を発見しました。特定のAlcmeterレジストリキー文字列とClassName文字列X0r157は、Xoristランサムウェアのマーカーであり、MortalKombatランサムウェアのコード内で発見されました。Talosによる詳細なコード分析の結果、MortalKombatランサムウェアはXoristと同じファミリーに属しているという確度の高い結論に至りました。
Laplas Clipper マルウェアとは何ですか?
Cisco Talos が発見した Laplas Clipper マルウェアのバージョンは Go プログラミング言語で開発されましたが、以前のバージョンでは VB.NET を含む他の言語が使用されていました。
このマルウェアは暗号化された文字列を埋め込み、実行初期段階で復号化されます。マルウェアはシステム上に自身を複製し、永続的に活動を開始した後、ユーザーのクリップボードを監視して暗号通貨ウォレットのアドレスを探します。クリップボードに暗号通貨ウォレットが検出されると、C2サーバーから送信された攻撃者が管理するウォレットに置き換えられます。
このマルウェアは、Dash、Bitcoin、Bitcoin Cash、Zcash、Litecoin、Ethereum、Binance coin、Dogecoin、Monero、Ripple、Tezos、Ronin、Tron、Cardano、Cosmos などの暗号通貨を認識します。
Cyble Research & Intelligence Labs によると、このマルウェアはサイバー犯罪者の闇マーケットプレイス (図 D ) で宣伝され、月額 59 ドルでサービスとして販売されている。
図D
感染の結果、疑いを持たない被害者は問題なく暗号通貨の支払いを行えると考えますが、実際には詐欺に遭っており、取引金額は攻撃者が管理するウォレットに送金されます。
この安全保障上の脅威の主な標的は米国である
Cisco Talos によると、この攻撃キャンペーンの主な標的は米国であり、次いで英国、トルコ、フィリピンとなっています (図 E )。
図E
フィッシングメールのターゲットに関する情報は提供されていないものの、ターゲットメールはおそらく暗号通貨を扱うユーザーからのものであると考えるのが妥当でしょう。
MortalKombatとLaplasマルウェアからビジネスを守る方法
初期感染は脆弱性ではなくソーシャルエンジニアリングを悪用します。特にメールを介したソーシャルエンジニアリングによる感染を防ぐため、全従業員に定期的なセキュリティトレーニングとヒントを提供し、意識を高めることをお勧めします。
さらに、一般的な脆弱性による侵害を防ぎ、企業インフラストラクチャのあらゆるレベルでセキュリティ ソリューションを展開するために、すべてのオペレーティング システムとソフトウェアを常に最新の状態に保ち、パッチを適用する必要があります。
Laplas Clipper の場合、ある暗号通貨ウォレットを別のウォレットに置き換えることでクリップボードの内容を変更するため、ウォレットのコピー/貼り付け操作の結果が最初のものとまったく同じであることを常に確認することを強くお勧めします。
もう 1 つのセキュリティのヒントは、定期的にデータのバックアップを作成し、そのバックアップをオフラインのままにしておくことです。こうすることで、ランサムウェアがインフラストラクチャを攻撃した場合でも、正常なデータに戻すことができます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
次に読む: セキュリティ意識向上とトレーニングポリシー (TechRepublic Premium)
