[更新日:6/28]

6月27日、世界規模のサイバー攻撃が勃発しました。特に攻撃が集中したのはウクライナで、同国の中央銀行や政府機関、民間企業に被害が出ています。

この攻撃では、マスター・ブート・レコード(MBR)を暗号化するランサムウェアPetyaの亜種と見られるマルウェアが拡散しています。攻撃の発信源はまだ特定されていませんが、ウクライナの会計ソフトウェア・メーカーM.E.Docがセキュリティ侵害を受け、そのソフトウェア更新機能を悪用したマルウェア配布が行われていると多くの研究者が指摘しています。M.E.Docのサービスは、今回の攻撃で特に大きな被害に見舞われたウクライナ国内で広く利用されています。5月には、XDataと呼ばれる別のランサムウェアの拡散にも同社が関係しているのではないかと指摘されていました。

これまでのところ、M.E.Docは疑惑を否定しており、「攻撃によってネットワーク内でマルウェア感染が発生し、システムが暗号化されたのは事実だが、ソフトウェア更新機能は影響を受けていない」とFacebook上で述べています。チェック・ポイントでは、同社に直接問い合わせを行っていますが、本稿執筆時点でコンタクトは取れていません。

今回のマルウェアは、ネットワーク内に侵入した後、水平展開してネットワーク全体に感染を広げます。この特徴から、マルウェアはおそらくワーム機能を備えていると考えられます。SMBの脆弱性悪用、アクティブなセッションの乗っ取り、認証情報の窃取、ファイル共有などの手段を用いて、マシン間でファイルを転送しているのでしょう。

チェック・ポイントでは、今回のマルウェアについて次の2点を確認しています。1つは、CVE-2017-0147の脆弱性を悪用するエクスプロイトEternalBlue(WannaCryが使用したのと同じエクスプロイト)を利用して、ネットワーク内での感染拡大を試みる点。もう1つは、マルウェアのバイナリにリソースとして埋め込まれた別の実行可能ファイルを使用し、認証情報を窃取する点です。後者の実行可能ファイルは、DLLとして%TEMP%ディレクトリにドロップされ、rundllによって実行されます。このDLLは、ハッシュやパスワードなどのセキュリティ関連情報をマシンのメモリから窃取するオープンソースのユーティリティMimikatzと同様の機能を備えています。

窃取された認証情報は、PetyaのDLLをターゲット・ホストにファイル転送する際に使用されます。このペイロードは、SMBプロトコルのTRANS2 SESSION_SETUPリクエスト・パケットで、4096kのチャンクとして送信されます(リクエストごとに1チャンク)。ペイロードは、「24db007a」を鍵にしてXORエンコードされています。ターゲット・ホストに転送されたファイルは、Windowsの正規ツール群Sysinternalsに含まれるPsExecを使用してリモート実行されます(PsExecも、元のマルウェア・バイナリに埋め込まれています)。

図1: Petyaが転送するペイロード・チャンクの例
図1: Petyaが転送するペイロード・チャンクの例

マルウェアには、BitCoinのウォレットが1つハードコードされています。つまり、このサンプルに感染したすべてのユーザは、身代金の支払先として同じウォレットを指定されます。6月28日14時(中央ヨーロッパ標準時)時点で、このウォレットの入金額は3.874 BitCoin(1万ドル以下)にとどまっています。

チェック・ポイントでは現在、この攻撃の綿密な追跡調査を行っており、Petyaのネットワーク内での感染拡大方法や、認証情報を窃取するマルウェアLoki-Botの関与について分析を進めています。Threat Preventionソリューションの保護機能は随時追加される予定ですので、製品をご利用のお客様は、最新のオンライン・パッケージへの更新をお願いいたします。

次のソリューションは、PetyaとLoki Botに対応しています。

ランサムウェア攻撃を防御するための詳細情報
Check Point SandBlast Agentのフォレンジック機能による分析結果については、こちらをご覧ください。

SandBlast Agent Forensics Analysis: Overview