Ransomware

新たなランサムウェア「Helldown」は、Zyxel社のファイアウォールの脆弱性を狙って企業ネットワークに侵入し、データの窃取やデバイスの暗号化を可能にすると考えられている。

フランスのサイバーセキュリティ企業Sekoiaは、Helldown攻撃の最近の観察に基づき、中程度の信頼性をもってこのことを報告している。

Helldownは、ランサムウェアの分野ではメジャーな存在ではありませんが、夏に登場して以来急速に成長しており、データ強要のポータルサイトに多数の被害者を掲載しています。

Victim announcements
被害者の発表
セコイア

Helldownの発見と概要

Helldownは、2024年8月9日にCyfirmaによって最初に文書化され、10月13日にCyberintによって再び文書化されました。

VMwareファイルを標的とするHelldownランサムウェアのLinux亜種の最初の報告は、10月31日に360NetLabのセキュリティ研究者Alex Turingによって行われました。

このLinux亜種は、イメージを暗号化するためにVMをリストアップして強制終了するコードを備えているが、その機能は部分的にしか起動されておらず、まだ開発中である可能性を示している。

Tweet

Sekoiaの報告によると、Windows版HelldownはリークされたLockBit 3ビルダーをベースにしており、DarkraceやDonexと動作が似ている。しかし、入手可能な証拠からは、決定的な関連性は見いだせませんでした。

Configuration files similarities
設定ファイルの類似性
ソースはこちら:セカオワ

2024年11月7日の時点で、この脅威グループは最近更新した恐喝ポータルに31人の被害者をリストアップしており、主に米国と欧州を拠点とする中小企業でした。本日現在、この数は28に減少しており、身代金を支払った者がいる可能性がある。

Sekoiaによると、Helldownは、より効率的な手口をとる他のグループほど盗むデータを選別しておらず、ウェブサイトで大容量のデータパックを公開しており、ある例では431GBに達したという。

リストアップされている被害者の1人は、ネットワーキングとサイバーセキュリティ・ソリューションのプロバイダーであるZyxel Europeだ。

このグループの暗号化ツールはそれほど高度なものではなさそうで、脅威行為者はこの機能をマルウェアに直接組み込むのではなく、タスクの終了にバッチファイルを利用している。

Terminating processes through a batch file
バッチファイルによるプロセスの終了
ソースは こちら:

ファイルを暗号化する際、脅威行為者は「FGqogsxF」などのランダムな被害者文字列を生成し、暗号化されたファイルの拡張子として使用します。身代金要求書には、「Readme.FGqogsxF.txt」のように、ファイル名にもこの被害者文字列が使用されます。

Helldown's ransom note
Helldownの身代金要求書
ソースは こちら:

Zyxelの悪用を示す証拠

セコイアは、ザイセル・ヨーロッパのリードから、Helldownのウェブサイトに記載されている少なくとも8人の被害者が、侵入時にザイセルのファイアウォールをIPSec VPNのアクセスポイントとして使用していたことを突き止めました。

次にセコイアは、11月7日付のTruesecのレポートに、Helldown攻撃における「OKSDW82A」という悪意のあるアカウントの使用と、MIPSベースのデバイス(おそらくZyxelファイアウォール)を標的とした攻撃の一部として使用された設定ファイル(「zzz1.conf」)について言及されていることに気づきました。

脅威行為者はこのアカウントを使って、SSL VPN経由で被害者のネットワークにセキュアな接続を確立し、ドメイン・コントローラーにアクセスし、横方向に移動し、エンドポイント防御をオフにした。

さらに調査を進めることで、SekoiaはZyxelのフォーラムで不審なユーザー・アカウント「OKSDW82A」と設定ファイル「zzz1.conf」の作成に関する報告を発見し、デバイスの管理者はファームウェア・バージョン5.38を使用していることを報告しました。

Connecting the dots in Helldown activity
Helldown アクティビティの点と点を結ぶ
Source:セコイア

このバージョンに基づき、Sekoiaの研究者は、HelldownがCVE-2024-42057を使用している可能性があると仮定している。これは、IPSec VPNにおけるコマンドインジェクションで、認証されていない攻撃者がUser-Based-PSKモードで細工された長いユーザー名を使ってOSコマンドを実行できるようにするものだ。

さらにセコイアは、Zyxel の文書化されていない別の脆弱性についても検討しており、その詳細についてはベンダーの PSIRT と共有している。

CVE-2024-42057は9月3日にファームウェア・バージョン5.39のリリースで修正されており、悪用の詳細はまだ公開されていないため、Helldownは非公開のn-dayエクスプロイトにアクセスしている疑いがある。

さらにSekoia氏は、10月17日から22日の間にロシアからVirusTotalにアップロードされたペイロードを発見したが、そのペイロードは不完全なものであった。

「Base64エンコードされた文字列が含まれており、これをデコードするとMIPSアーキテクチャ用のELFバイナリが現れる」とセコイアの研究者ジェレミー・サイオンは説明する。

「しかし、ペイロードは不完全なようだ。Sekoiaは、このファイルが先に述べたZyxelの侵害に関連している可能性が高いと中程度の確信を持って評価しています。

これらの攻撃についてZyxel社に問い合わせたが、現時点では回答は得られていない。