CACTUS ランサムウェア

Aug 31, 2023

2023年5月10日(水)

ローリー・アイアコノ

スティーブン・グリーン

デイブ・トルーマン

クロール サイバー脅威インテリジェンスのアナリストは、2023 年 3 月以降、大規模な営利団体を標的とした CACTUS という名前の新種のランサムウェアを特定しました。「CACTUS」という名前は、身代金メモ cAcTuS.readme.txt 内で提供されたファイル名と、自己身代金メモ自体の中で宣言された名前。 暗号化されたファイルには .cts1 が付加されますが、拡張子の末尾の数字は事件や被害者によって異なることが観察されているとクロール氏は指摘しています。 クロール氏は、Tox として知られるピアツーピア メッセージング サービスを介した機密データの流出と被害者の恐喝を観察しましたが、既知の被害者の漏洩サイトは分析時点では特定されませんでした。

クロールの経験では、CACTUS は重複する戦術、技術、手順 (TTP) のセットを導入しました。 これには、Chisel、Rclone、TotalExec、スケジュールされたタスクなどのツールの使用や、ランサムウェア バイナリを配布するセキュリティ ソフトウェアを無効にするカスタム スクリプトの使用が含まれます。 クロールは、脅威アクターが VPN アプライアンスを悪用して初期アクセスを取得していることを観察しました。 興味深いことに、CACTUS は、C:\ProgramData 内の ntuser.dat という名前のファイルを利用して、AES キーを渡し、バイナリを復号するための RSA 公開キーを渡し、スケジュールされたタスクによる永続的な実行に使用されることが観察されました。

このセキュリティ情報の公開時点で入手可能なインテリジェンスに基づくと、Kroll 侵入ライフサイクルのステージ 1 の初期エクスプロイトは、脆弱な VPN アプライアンスの悪用によって提供される可能性が最も高くなります。 この戦術は、クロールが調査したいくつかの CACTUS 事件に共通するものであることが評価され、観察されています。 観察されたすべてのケースで、脅威アクターのアクセスは、VPN サービス アカウントを使用して VPN サーバーから取得されました。 これに続いて、脅威アクターのコマンド アンド コントロール (C2) に対して SSH バックドアが確立され、スケジュールされたタスクを介した永続的なアクセスが維持されます。

図 1 – install.bat

MITRE ATT&CK - T1190: 公開アプリケーションの悪用MITRE ATT&CK - T1021.004: SSHMITRE ATT&CK - T1053.005: スケジュールされたタスク

ネットワーク内に侵入すると、脅威アクターは SoftPerfect Network Scanner (netscan) を介して最初の内部偵察を実行します。 PowerShell コマンドを実行して、エンドポイントを列挙し、Windows セキュリティ 4624 イベントを表示してユーザー アカウントを識別し、リモート エンドポイントに ping を送信します。 これらのコマンドの出力は、ホスト マシン上のテキスト ファイルに保存されます。 出力ファイルは、後でランサムウェア バイナリの実行に使用されます。

図 2 – PowerShell の列挙

Kroll はまた、PSnmap.ps1 という名前の、PowerShell と同等の NMAP として機能するオープンソース スクリプトの修正バージョンを特定しました。 これは、ネットワーク内の他のエンドポイントを識別するためにも実行されます。

MITRE ATT&CK - T1049: システム ネットワーク接続の検出MITRE ATT&CK - T1087.002: ドメイン アカウントMITRE ATT&CK - T1018: リモート システムの検出MITRE ATT&CK - T1087: アカウントの検出

環境内での永続性を維持するために、脅威アクターは多数のリモート アクセス方法を作成しようとします。 クロール氏は、Splashtop、AnyDesk、SuperOps RMM などの正規のリモート アクセス ツールの使用と、Cobalt Strike および SOCKS5 プロキシ ツールである Chisel の使用を特定しました。 Chisel は、ファイアウォールを通過するトラフィックのトンネリングを支援して、脅威アクターの C2 に隠された通信を提供し、追加のスクリプトやツールをエンドポイントにプルするために使用される可能性があります。

脅威アクターは、適切なアクセス レベルを確立すると (エスカレーションを参照)、msiexec を利用して一般的なウイルス対策ソフトウェアをソフトウェア GUID 経由でアンインストールするバッチ スクリプトを実行します。少なくとも 1 つのインシデントでは、Bitdefender がアンインストールされます。図 3 に示すように、アンインストーラーを実行します。

図 3 – ウイルス対策を無効にするバッチ スクリプトのセクション

MITRE ATT&CK - T1219: リモート アクセス ソフトウェアMITRE ATT&CK - T1090: ProxyMITRE ATT&CK - T1562.001: ツールの無効化または変更

実行や横方向への移動に十分な認証情報を取得するために、攻撃者は通常、ユーザーの Web ブラウザから認証情報をダンプし、ディスク内でパスワードを含むファイルを手動で検索しようとします。 さらに、後の権限昇格のために LSASS 資格情報のダンプを試みる場合もあります。 その後、さらにバッチ スクリプトを利用して、特権アカウントをリモート エンドポイントに追加します。 このアクティビティについては、レポートの後半で説明します。

図 4 – f1.bat によるローカル管理者アカウントの追加

MITRE ATT&CK - T1136: アカウントの作成MITRE ATT&CK - T1555.003: Web ブラウザからの認証情報MITRE ATT&CK - T1003: OS 認証情報のダンプ

横方向の移動は、有効なアカウントまたは作成されたアカウントおよびリモート デスクトップ プロトコル (RDP) によって実行されることが観察されています。 ただし、Super Ops などのリモート管理ツールは横方向の移動にも使用されています。

MITRE ATT&CK - T1021.001: リモート デスクトップ プロトコル MITRE ATT&CK - T1072: ソフトウェア展開ツール

多くのランサムウェア グループと同様に、CACTUS 攻撃者も、恐喝の圧力を高めるために機密データを抜き出そうとします。 クロール氏は、ファイルをクラウド ストレージに自動的に抽出するために Rclone などの一般的な抽出ツールが使用されているのを観察しました。

MITRE ATT&CK - T1567.002: クラウド ストレージへの流出

データが流出すると、脅威アクターはデバイスを暗号化する準備を開始します。 TotalExec.ps1 として知られる BLACKBASTA によってよく利用されるスクリプトを利用します。このスクリプトは PsExec を使用して暗号化プログラムの展開を自動化します。この場合、図 4 に示す f1.bat スクリプトと図 5 に示す f2.bat スクリプトが使用されます。前述したように、バッチ最初にスクリプト f1.bat をデプロイして新しい管理者ユーザー アカウントを作成し、次にデバイスを再起動する前にマシン レベルでの自動実行として f2.bat という名前の 2 番目のスクリプトを追加します。 図 6 に示す f2.bat は、ランサムウェア暗号化バイナリを 7zip で抽出するために使用されるバッチ スクリプトを示しています。その後、zip ファイルを削除し、バイナリの実行を有効にするフラグを設定してバイナリを実行します。 これは、前に作成した ips.txt ファイル内のデバイスのリストに対して PsExec によってリモートで実行されます。

図 5 – TotalExec.ps1 の実行

図 6 – ランサムウェア暗号化バイナリの f2.bat 実行

バイナリ自体は興味深いもので、通常、ネゴシエーションに使用される個々の被害者 ID と同じ名前が付けられ、正規表現 [a-z1-9]{4}-[a-z1-9]{4} で構造化されます。 -[a-z1-9]{4}-[a-z1-9]{4}\.exe 例: 「a12b-e4fg-c12g-zkc2.exe」。「.exe」の前の名前が被害者ID。

UPX パックされた実行可能ファイルには、コマンド ライン スイッチによって制御される 3 つの主要な実行モードがあります。 実行プロセスの完全なフローを図 16 に示します。

このモードは、コマンド ラインで「-s」フラグが渡されることによってトリガーされ、その目的は、それ自体を永続性として設定し、次のモード中に再度それ自体を呼び出すことです。

このモードでは、独自の実行可能ファイルを C:\ProgramData\{Victim_ID}.exe にコピーします (例: C:\ProgramData\abc1-d2ef-gh3i-4jkl.exe)。

次に、ランサムウェアは、ジャンク データをラップした 16 進数でエンコードされた設定ファイルを C:\ProgramData\ntuser.dat に書き込みます。このファイルには、元の exe へのパス、「–i」コマンド ライン引数で渡された Base64 文字列と残りの文字列が含まれます。コマンドライン引数。 16 進文字列は、2 文字の各バイト表現の位置合わせを 1 文字ずつ押し出すことによってさらに難読化されます。

図 7 – C:\ProgramData\ntuser.dat の最初の 100 バイト

図 8 - 標準の 16 進デコードを使用した C:\ProgramData\ntuser.dat のデータ

図 9 - 16 進デコードと調整されたアライメントを備えた C:\ProgramData\ntuser.dat のデータ

図 10 - C:\ProgramData\ntuser.dat から抽出されたジャンク テキストの中に隠されたランサムウェア構成

CACTUS は ntuser.dat ファイルを作成すると、コマンド C:\ProgramData\{Victim_ID}.exe -r を実行するスケジュールされたタスクの作成と実行に進みます。

CACTUS のセットアップ プロセスが終了します。

「-r」オプションを使用してスケジュールされたタスクから呼び出されると、ランサムウェアは ntuser.dat ファイルを読み取り、3 つのフィールドを抽出します。

次に、CACTUS プロセスは、最初のフィールドで参照されている実行可能ファイルを削除します。 次に、2 番目のフィールドをパラメータとして「-i」オプションに渡して、それ自体の別のインスタンスを生成し、残りの引数を含む 3 番目のフィールドをコマンド ラインに追加します。

読み取り構成モードの Cactus インスタンスが終了します。

-s または -r パラメータを指定せずにランサムウェアが生成されると、ファイル システムの暗号化が試行されます。 マルウェアはハードコードの 16 進文字列をデコードします。 この 16 進文字列は、解凍されたバイナリ内で簡単に見つけることができます。

図 11 – 16 進文字列

16 進文字列をデコードしたら、「-i」パラメータとハードコードされた初期化ベクトルを備えた AES アルゴリズムを使用して、結果のデータの復号化を開始します。 結果として得られるプレーン テキストは、公開 RSA キー オブジェクトにロードされます。

図 12 – RSA 公開鍵の AES 復号化

次に、マルウェアはファイル システム内でファイルを検索し、複数のスレッドを開始してそれらを暗号化します。 多数のファイルを効率的に暗号化するために、静的にリンクされた関数からの OpenSSL のエンベロープ実装が使用されます。 まず、ファイルを暗号化するためにランダムな AES キーが生成され、次に AES キー自体が RSA 公開キーによって暗号化されます。 これにより、AES 暗号化ファイルと RSA 暗号化 AES キーを含む「エンベロープ」が作成されます。 したがって、ファイルを復号するには、AES キーを抽出するための秘密 RSA キーが必要です。

図 13 – ファイル暗号化プロセス

図 14 – AES、RSA、OpenSSL によるファイル暗号化

マルウェアは完了するまでファイルの暗号化を続けます。

実行されたファイルには、拡張子「cts\d」が追加され、最後の文字は交換可能な数字になります。 その後、被害者が TOX チャットで交渉する方法の詳細を記載した「cAcTuS.readme.txt」という名前の身代金メモが作成されます。 ほとんどのランサムウェア グループは偽サイトをリストしていますが、現時点ではこれは特定されておらず、その他のデータ開示領域もありません。

図 15 – CACTUS 身代金メモ

この箇条書きの執筆時点では、クロール氏はまだ、身代金が支払われなかった場合に被害者データを共有する目的で CACTUS が作成した「恥ずべきサイト」や被害者特定関連のブログを特定していませんでした。 身代金に関しては、平均開始価格を提示するのに十分なデータが現時点ではありません。 また、身代金が支払われなかった場合に何が起こるか、また、復号化ツールを提供した脅威アクターがどの程度成功するかはまだわかりません。

MITRE ATT&CK - T1027.002: ソフトウェアのパッキングMITRE ATT&CK - T1486: Impact のために暗号化されたデータMITRE ATT&CK - T1027: 難読化されたファイルまたは情報MITRE ATT&CK - T1570: ラテラル ツール転送

図 16 – ランサムウェア バイナリの実行

Kroll は、CACTUS に関連付けられた ntuser.dat ファイルをデコードするための単純な Python スクリプトを提供しました。

TA0001

T1190

公開アプリケーションを悪用する

TA0002

T1059

コマンドおよびスクリプト インタプリタ

T1053.005

スケジュールされたタスク

T1072

ソフトウェア導入ツール

TA0003

T1053.005

スケジュールされたタスク

T1136

アカウントを作成する

TA0004

T1053.005

スケジュールされたタスク

TA0005

T1562.001

ツールを無効化または変更する

T1027.002

ソフトウェアの梱包

T1027

難読化されたファイルまたは情報

TA006

T1555.003

Web ブラウザからの認証情報

T1003

OS資格情報のダンプ

TA0007

T1049

システムネットワーク接続の検出

T1087.002

ドメインアカウント

T1087

アカウントの検出

T1018

リモートシステムディスカバリ

TA0008

T1021.001

リモートデスクトッププロトコル

T1072

ソフトウェア導入ツール

T1570

横方向のツール移動

TA0009

T1119

自動収集

TA0010

T1567.002

クラウドストレージへの流出

TA0011

T1219

リモートアクセスソフトウェア

T1090

プロキシ

TA0040

T1486

影響を与えるためにデータを暗号化

クロールは、このアラートに関連する推奨事項を特定しました。

PowerShell の実行を監視するPowerShell がログに記録されていることを確認し、エンコードされたスクリプト実行の検出を作成します

ユーザー、管理者、およびサービス アカウントを監査するアカウントに正しいアクセス権と権限があることを確認してください。 最小特権の原則を実装します。

多要素認証の実装多要素認証により、機密領域へのアクセスが制限され、横方向の移動が防止されます。

バックアップ戦略を確認する複数のバックアップが作成され、少なくとも 1 つのバックアップがネットワークから隔離されていることを確認します。

Kroll の脅威インテリジェンス チームは、CACTUS の検出ルールを作成して展開しました。 ご質問がある場合は、テクニカル アカウント マネージャーにお問い合わせいただくか、サポート チケットを送信してください。

CACTUS (またはその他のランサムウェア亜種) の検出機能について不明な点がある場合は、今すぐ Kroll の専門家にご連絡ください。

このインシデントでは次のファイルとハッシュが特定されました。

このインシデント中に、次の外部 IP アドレスが観察されました。

インシデント対応、デジタルフォレンジック、侵害通知、マネージド検出サービス、ペネトレーションテスト、サイバー評価およびアドバイス。

サイバー攻撃を阻止します。 Kroll Responder の管理された検出と対応は、経験豊富な IR 専門家と最前線の脅威インテリジェンスによって強化され、比類のない対応を実現します。

セキュリティインシデントのライフサイクル全体に対処するために、経験豊富な対応者を派遣します。

クロールは、典型的なインシデント対応の保持機能以上のものを提供します。エリートのデジタル フォレンジックとインシデント対応機能、およびプロアクティブなサービスと通知サービスに対する最大限の柔軟性を備えた真のサイバー リスク保持機能を確保します。

Kroll のランサムウェア対策評価は、14 の重要なセキュリティ分野と攻撃ベクトルを調査することで、組織がランサムウェア攻撃を回避できるように支援します。

クロールの専門知識により、データが侵害されたかどうか、またその範囲が特定されます。 実用的な情報が明らかになり、将来のインシデントに対処するための準備が整います。

クロールのコンピューターフォレンジックの専門家は、データソースの数や場所に関係なく、デジタル証拠が見落とされないことを保証し、調査や訴訟のあらゆる段階で支援します。

ビジネス電子メール侵害 (BEC) 攻撃では、迅速かつ断固とした対応が、財務、風評、訴訟のリスクを制限する上で大きな違いを生みます。 さまざまなプラットフォームと独自のフォレンジック ツールで BEC 詐欺を調査してきた数十年の経験を持つ Kroll は、究極の BEC 対応パートナーです。

サイバー インシデントの修復および回復サービスは、クロールのコンプリート レスポンス機能の一部であり、システムの回復を迅速化し、ビジネスの中断を最小限に抑えます。

現実世界の脅威に対するサイバー防御を検証します。 クロールの世界クラスのペネトレーション テスト サービスは、最前線の脅威インテリジェンス、毎年完了する数千時間に及ぶサイバー セキュリティ評価、認定されたサイバー エキスパートのチームを統合し、当社の洗練されたスケーラブルなアプローチの基盤となります。