2024年6月から10月にかけて、欧州の医療機関を標的とした攻撃において、NailaoLocker と名付けられたこれまで文書化されていなかったランサムウェアのペイロードが確認されました。
この攻撃は、Check Point Security Gatewayの脆弱性であるCVE-2024-24919を悪用して標的のネットワークにアクセスし、ShadowPadおよびPlugXマルウェアを展開します。
Orange Cyberdefense CERT は、この攻撃を中国のサイバースパイ戦術と関連付けていますが、特定のグループに帰属させる十分な証拠はありません。
NailaoLocker の詳細
Orangeの研究者によると、NailaoLockerは、この分野で最も著名なファミリーと比較して、比較的洗練されていないランサムウェア株です。
OrangeがNailaoLockerをかなり基本的なランサムウェアと見ている理由は、セキュリティプロセスや実行中のサービスを終了しないこと、アンチデバッグやサンドボックス回避メカニズムがないこと、ネットワーク共有をスキャンしないことです。
「C++で書かれたNailaoLockerは、比較的洗練されておらず、設計も不十分で、完全な暗号化を保証することを意図していないようだ」とOrangeは言及している。
このマルウェアは、正規の署名付き実行ファイル(usysdiag.exe)を含むDLLサイドローディング(sensapi.dll)を介してターゲットシステムに展開されます。
マルウェアのローダー(NailaoLoader)は、メモリアドレスのチェックを行うことで環境を確認し、メインのペイロード(usysdiag.exe.dat)を解読してメモリにロードします。
ソースOrange CERT
次に、NailaoLockerが起動し、AES-256-CTRスキームを使用してファイルの暗号化を開始し、暗号化されたファイルに「.locked」拡張子を付加します。
暗号化が完了すると、ランサムウェアは “unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_unlock_please.html” という非常に異常に長いファイル名のHTML身代金要求書をドロップします。
ソースはこちら:Orange CERT
この身代金要求書では、被害者に使い捨てのProtonMailアドレスに連絡するよう指示しており、いくつかのケースでは、johncollinsy@proton[.]meとなっています。
身代金要求のメモには、データが盗まれたことが書かれていない。
スパイ行為とランサムウェアの組み合わせ
Orange社は、身代金要求のメモの内容と、Kodex Softwares社(旧Evil Extractor社)というサイバー犯罪グループが販売しているランサムウェア・ツールの間に、重複する部分があることを発見したという。しかし、直接的なコードの重複はなく、関連性は曖昧である。
Orange社は、この攻撃について、注意をそらすための偽旗作戦、収益創出を兼ねた戦略的データ窃盗作戦、より可能性が高いのは、中国のサイバースパイ集団が副業として小遣い稼ぎをしている、などいくつかの仮説を発表している。
先週、シマンテックは、Emperor Dragonfly(別名Bronze Starlight)の工作員がアジアのソフトウェア企業に対してRA Worldランサムウェアを展開し、200万ドルの身代金を要求した疑いについて報告したばかりだ。
ランサムウェア攻撃による金銭的利益など、複数の目標を並行して追求することで知られる北朝鮮の活動家と比べると、中国の国家を後ろ盾とする活動家はこのようなアプローチを取ってこなかったため、戦術の転換が懸念される。
Comments