BlackBastaは2022年4月に登場したランサムウェアです。Contiランサムウェアの閉鎖と入れ替わるかのように登場し、瞬く間に新たな脅威となったことからBlackBastaはContiのリブランドとの見方もありますが、最近のSentinel LabsのレポートによるとFIN7と関係している可能性が高いということです。
FIN7開発者がEDR回避ツールを開発か
Sentinel Labsによると、BlackBastaの初期アクセスは電子メールで配信された Qakbot、マクロベースの MS Office ドキュメント、ISO+LNK ドロッパー、MSDTC (Microsoft Distributed Transaction Coordinator)のリモートコード実行の脆弱性CVE-2022-30190を悪用した .docx ドキュメントによって始まるということです。
オペレーターがバックドアに接続すると、通常は最初の感染から数時間または数日後に、新しい explorer.exe プロセスが作成され、悪意のあるアクティビティを正当なプロセスの背後に隠すためにプロセスハロウイングが実行されるということです。プロセスハロウイングとは正規ファイルをマルウェアコードとそっくり入れ替えることでマルウェアを隠蔽する手法です。Black Basta オペレーターは Qakbot バックドアを介して被害者に接続すると、偵察が実行され、さまざまな情報収集任務が実行されます。偵察を終えるとZeroLogon (CVE-2020-1472)、NoPac (CVE-2021-42287)などのエクスプロイトを通じて権限昇格が試みられ、新しい管理者ユーザーを作成するということです。
ペイロードを降下する前にBlackBstaはWindowsDefenderを無効にするためのスクリプトを実行します。Sentinel LabsによるとBlackBastaは、EDRを回避するツールを含むカスタムツールをもち、展開しているということです。そして、このカスタムツールを開発したのはFIN7の開発者か、開発者だった者だと指摘し、BlackBastaランサムウェアとFIN7には関係がある可能性が高いと評価しています。
メンバー4人が逮捕されているが‥‥
FIN7とはどのようなグループなのでしょうか? MITERの解説によると、アメリカの小売り、レストラン、ホスピタリティ業界を標的として2013年から活動を続けている金銭目的の脅威グループで、2020年以降はREvilランサムウェアと独自のRaaSであるDarksideの使用を含む、ビッグゲームハンティング(BGH)のアプローチに運用を移行したということです。もともと企業の財務データやPoSシステムへの攻撃を手がけていたグループですが、2020年以降はランサムウェアによる攻撃へと手法を変化させ、REvil、DarkSide、BlackMatter、Alphvなどのランサムウェアとの関係が指摘されています。Carbanakにリンクされている可能性があるようですが、Carbanakのマルウェアを使用しているグループは複数あることから個別のグループとして追跡されているということです。
アメリカ当局はこれまでにFIN7メンバーのウクライナ人の男計4人を逮捕、起訴しており、その中には組織のリーダー格も含まれているようです。これまでに3人に5~7年の懲役刑が言い渡されています。最近では今年4月に32歳の男に懲役5年の判決が言い渡されました。米司法省のリリースによると、この男は2016年11月から2018年11月までFIN7に関与し、プライベート仮想サーバーでホストされているJIRAなどのプロジェクト管理ソフトを利用してFIN7のサイバー犯罪を管理、調整していたということです。この男は2019年11月にタイのバンコクで逮捕され、その後、アメリカに身柄が引き渡されています。
しかし、メンバー逮捕後もFIN7の活動は衰えておらず、カスペルスキーの2019年5月のブログ「悪名高いサイバー犯罪リグ『FIN7』が活動を継続」では「グループリーダーの逮捕は、グループの運営に影響を与えると考えられてきました。しかし、最近のデータによると、攻撃は継続しており、重大な問題は発生していないようです」などと記しています。FIN7はロシアのグループと言われており、おなじくロシアを拠点としているとみられるContiも含めてさらなる実態の解明が求められます。
■出典
https://securelist.com/fin7-5-the-infamous-cybercrime-rig-fin7-continues-its-activities/90703/