Magniberランサムウェアが進化。中国語圏とマレー語圏にも進出。

f:id:nanashi0x:20180717224905p:plain

Graphics by: www.Vecteezy.com

 

Magniberランサムウェアが、以前は韓国のPCをターゲットにしていたにも関わらず、現在は他のアジア諸国にターゲットを広げたようだ。

対象が広がった事に関して、Malwarebytesの研究者は「Magniberのコードが洗練された」とコメントしており、Magniberランサムウェアによる被害が今後更に広がっていく事が予想される。

そこで、この記事では、Magniberを配布するエクスプロイト”Magnitude”に関して簡単に説明しつつ、対象を韓国から他のアジア諸国へと広げた経緯に関して説明していきたい。 

Magniberの歴史 

Magnitudeの動向に関して、以下にタイムラインとしてまとめる。

Magnitudeのタイムライン

  • 2013年: ダークネットで世界的に大流行
  • 2014年: ダークネットの市場から姿を消した。(個人間で使われていた。)
  • 2016年6月頃: ターゲットをアジア諸国に変更し、LockyやCerber等のランサムウェアを配布。
  • 2017年9月23日: 再度市場から姿を消す。
  • 2017年10月15日: 再び市場に現れ、Magniberの配布を開始した。

Magniberの主なターゲットは韓国とされており、主な感染経路はマルヴァタイジング(悪意のある広告)であった。

攻撃方法についてだが、一般的なサイバー攻撃キャンペーンのやり口を踏襲しており、ターゲットの地理情報とクライアントのIPアドレスを使ってフィルター分けし、セキュリティ研究者の目に止まらないように攻撃を行っている。

2017年末の段階では、脆弱性(CVE-2016-0189)をエクスプロイトしていた。

CVE-2016-0189は、2016年5月にパッチされたIE脆弱性で、メモリーコラプションを引き起こす可能性がある脆弱性である。

過去に、Magnitudeエクスプロイトキットが配布してきたLockyランサムウェアなどはターゲットの住む場所に関係がなかったのだが、メインターゲットは韓国のみとされていた。

 

対象が「韓国」のみならず「アジア諸国」へ

2018年7月になってからMagniberの作成者は、マルウェアの感染を「韓国」から「アジア諸国」へ感染するように大幅に修正を加えた。

もともとMagnierは、特定の国コードが返された場合にのみインストールされる設定になっていた。

具体的に言えば、2017年時点では韓国の国コードが返された場合にインストールされる設定だったものが、2018年7月になって新たに以下の言語圏もターゲットに加えたのだ。

  1. 中国語圏(主に、マカオ、中国、シンガポール
  2. マレー語圏(主に、マレーシア、ブルネイ

対象範囲を拡大する変更がMagniberに加えられたのが発見されたのは、2018年7月5日の事であったようだ。

以下に、セキュリティ研究者グループのTwitterアカウント、MalwareHunterTeamのツイートを翻訳も合わせて引用する。

(Tweetの翻訳)

しばらく韓国をターゲットにしていたが、Magniberランサムウェアはグローバルな脅威だ。

ここ数日台湾と香港に居住する被害者が確認されており、他の国からも感染被害を確認。

興味深いな…🤔

 

さらに洗練されたMagniber

Magniberに変更が加えられたのを受けて、Malwarebytesは解析を実施。公表したテクニカルレポートには、以下のような事実が記載されている。

  • ソースコードは非常に洗練され、様々な難読化手法を利用している。
  • 暗号化する際に暗号鍵をC2サーバーから取得せず、暗号プロセスの中にインターネットから独立している攻撃者のパブリックRSAキーが付属している。
  • 付属しているRSAキーは、ファイルを暗号化するために使用されるユニークなAES鍵を保護する目的で使われる。 

MalwarebytesのテクニカルレポートにペイロードIOCに関する情報がまとめられているので、興味があれば読んでみるといいだろう。