GLOBELIMPOSTER ランサムウェア
はじめに
GlobeImposterランサムウェアは、悪意のあるZIPファイルを添付した「Blank Slate」フィッシングキャンペーンで配布されていたため、2017年に初めて登場しました。
GlobeImposterランサムウェアを含む攻撃は頻繁に発生しており、米国を中心とした多くの国やヨーロッパ、アジアの国々のあらゆる規模の組織を標的にしていることが記録されています。
GlobeImposterランサムウェアのアクティブな亜種のいずれにも復号化ツールはなく、要求される身代金の平均額は105,000ドルのビットコインで、ランサムウェアのノートに記載されている電子メールアドレスを介して支払う形となっています。
手口
1. 初期アクセス
感染経路は、「Blank Slate」と呼ばれるフィッシングメールで、メール内容は何も書かれておらず、悪意のあるZIPファイルが添付されています。その他の感染経路としては、GlobeImposterが無料のオンラインソフトウェアに組み込まれていたり、被害者が侵害されたウェブサイトにアクセスするたびにソフトウェアの脆弱性を介して構成されたウェブサイトにバックグラウンドでインストールされたりすることが確認されています。
2. インストール
被害者が悪意のあるZIPファイルを開くと、難読化されたJavascriptが実行され、ハードコードされたドメインのリストから事前に指定されたドメインからGlobeImposterのペイロードをダウンロードしようとします。GlobeImposterは、ターゲットのtempディレクトリに自分自身をインストールし、システムレジストリに自動実行アイテムとして設定します。GlobeImposterは、”%TEMP%”フォルダにqfjgmfgmkj.tmpという名前の.tmpファイルがあるかどうかをチェックします。.tmpファイルが見つからない場合、GlobeImposterはqfjgmfgmkj.tmp、hjkhkHUhhjp.bat、how_to_back_files.htmlという3つのファイルを作成します。.tmpファイルが見つかれば、GlobeImposterは攻撃を中止し、マルウェア自身を削除します。
3. 暗号化
GlobeImposterは、感染したのマシンのファイルをスキャンしてから、すべてのファイルに対して2048-RSA暗号化キーを生成し、C&Cサーバーからターゲットのマシンの固有IDを取得します。RSA キーの生成中、GlobeImposter は hjkhkHUhhjp.bat スクリプトを実行して攻撃の痕跡を消去し、RDP のデフォルト設定、RDP の履歴、シャドーコピー、セキュリティ ログを削除します。また、GlobeImposterは、”taskkill “や “net stop “を実行することで、事前に定義されたサービスやプロセス名のリストから、ウイルス対策ソフト、データベース、バックアップ、文書編集ソフトに関連するプロセスの強制終了やサービスの停止を試みます。次に、GlobeImposterは、ファイルの内容を暗号化し、元の内容を上書きします。GlobeImposterは、すべての暗号化されたファイルの各ファイル名に「…726」を追加し、暗号化されたコンテンツに固有のIDを付加します。最後に、GlobeImposterは.batスクリプトを再度実行し、攻撃の痕跡を消去してから、暗号化されたファイルを持つ各感染者のマシンに身代金請求書をダウンロードします。