ランサムウェア「ONI（オニ）」を、標的型攻撃の痕跡を消すための隠れ蓑として悪用か

日本企業を標的にしている可能性があるとして、以前本コラムでも取り上げたランサムウェア「ONI（オニ）」について、米国のセキュリティ企業 Cybereasonは10月31日、その実態について詳しい考察を公式ブログにて公表しました。

この調査によると、「ONI」は少なくとも2017年7月から日本の企業を標的として活動をしていたとされています。さらに、「ONI」と同じ標的型攻撃で併用されたブートキットを利用した新種のランサムウェアが確認されています。Cybereasonではこのランサムウェアを「MBR-ONI」と呼んでいます。「ONI」と「MBR-ONI」との違いは、「ONI」はファイルを暗号化しますが、「MBR-ONI」はディスクパーティションを暗号化するため、システムへの影響がより大きくなります。

調査で確認された攻撃活動の概要は以下のとおりです。

メールに添付した細工されたOfficeドキュメントを開かせて、Ammyy Admin RAT（遠隔操作ツール）をダウンロードさせる。
Ammyy Admin RATを介してハッキングツール等を利用し、ネットワーク情報や証明書の収集や探索等を繰り返す。
ドメインコントローラなどの重要な機器へ侵入し、ネットワークの完全なコントロールを試みる。
最終段階として、痕跡の削除とファイルを暗号化するためにドメインコントローラのグループポリシーを組織的に配布し、Windowsのイベントログを削除するスクリプトと「ONI」バイナリファイルを実行する。ファイルサーバ等の重要な機器には「MBR-ONI」を実行させる。

この両ランサムウェアの使用について、Cybereasonでは、攻撃者の真の動機を隠すためのワイパー（システムの破壊目的）ではないかといった考えを示しています。

上記の活動内容から、「ONI」は社内ネットワークに入り込んでから暗号化を実施するまでの間にネットワークを完全に制御して、様々な活動を行っている可能性が見えてきました。例えば、侵入後に機密情報を盗んで他社に販売している可能性などもあると考えられます。暗号化はこれらの活動の証跡を消すための隠れ蓑とも捉えることができます。

更にCybereasonでは「ランサムウェアや痕跡消去やワイパーが関係する標的型攻撃が世界的に増加しており、それが日本でも確認された」としています。
こうしたことから、攻撃者のプロファイリングや、真のモチベーションの見極めが増々重要になってきています。

参考