EGREGOR ランサムウェア

ransomware-5231739_1920

はじめに

Egregorと言うランサムウェアは、最初の出現が2020年、悪意のある添付がついたフィッシングメールで配布されました。
Egregorランサムウェアに関わる攻撃は頻繁で、米国、日本、英国など、多くの国の中規模から大規模な組織を標的にしていると記録されています。
Egregorランサムウェアのアクティブな亜種・変異型には復号プログラムはなく、平均身代金要求額は70万ドルで、ランサムウェアノートに提示されたTorチャットアドレス経由で支払うことが可能です。

手口

1. 初期アクセス

脅威アクターは、悪意のあるマクロスクリプトを含むMicrosoft Officeのワード文書ファイルを添付したフィッシングメールを使います。添付が開かれるとすぐに、マクロがPowerShellコードを実行し、このコードがQbot、IcedIDもしくはUrsnifのようなバンキング型トロイの木馬をダンロードします。こうしたバンキング型トロイの木馬は、脅威アクターがCobalt Strikeビーコンをインストールできるようにするもので、そうするとシステムとやり取りをして、他のペイロードをダウンロードし、クレデンシャルを収集し、セキュリティ対策を無効化し、情報を採取しますが、全ては水平移動と権限昇格のためです。
次にEgregorはC&Cと交信し、追加のペイロードをダウンロードします。ダウンロードされる2つのファイルの内、1つはバッチファイルでBitsadminとRundllを実行してEgregorのペイロードをダウンロードし、実行するために使うもの、もう1つはZipファイルで、「svchost」と名前が変更されるRCloneクライアントと、抽出に必要なRCloneコンフィグファイルが含まれています。Egregorのインストール中の検知と阻止とを回避するため、脅威アクターはグループポリシーオブジェクト(GPO)を作成し、Windows Defenderを無効化して、他にサードパーティのウィルス対策ソフトウエアがあれば削除します。

2. インストール

Egregorをインストールするため、Rundll32がDLLを「-passegregor10」という鍵を使って実行する前に、C&CサーバからEgregor DLLをダウンロードするのにBitsadminが使われます。この鍵が使えない場合、正しい鍵が提供されるまでこのDLLは暗号化されたままになります。したがって、DLLは手作業でもサンドボックスを使っても分析ができないわけです。ペイロードの実行中、Egregorは感染したシステムとユーザのデフォルトの言語IDをチェックし、独立国家共同体からのマシンを狙いたくはないので、その情報により攻撃を続けるかどうかを判断します。

3. 暗号化

Egregorはファイルを暗号化する前に、シャドウコピーを削除し、それからあらかじめ定義されたサービスやプロセスの名前のリストを元に、プロセスを中断し、サービスを止めます。暗号化プロセスは2048ビットのRSAキーペアが生成されて、プライベートキーは、ランダムに生成したキーとIVを使ってChaChaで暗号化されます。ChaChaキーはCryptEncrypt 関数とハードコードされたRSA公開鍵を使って暗号化されます。暗号化されたChaChaキーと暗号化されたセッションキーはディスクに保存されます。