概要
Phorpiexボットネットを利用した大規模なフィッシングキャンペーンが確認されており、Windowsショートカットファイルを悪用して「GLOBAL GROUP」ランサムウェアが配布されています。この攻撃は、メールの添付ファイルから始まり、ソーシャルエンジニアリングと巧妙な実行を組み合わせることで、ユーザーの警戒心をすり抜けます。
攻撃の手口
攻撃は、「Document.doc.lnk」という名前の添付ファイルを含む電子メールから始まります。Windowsのデフォルト設定では既知の拡張子が非表示になるため、ユーザーには正規のWord文書のように見えます。攻撃者はさらに、shell32.dllのようなWindowsシステムファイルからアイコンを借用することで、視覚的な信頼性を高め、ユーザーがクリックするのをためらわないように仕向けます。
ショートカットファイルが開かれると、バックグラウンドでcmd.exeが静かに起動し、その後PowerShellが呼び出されてリモートサーバーから第二段階のペイロードがダウンロードされます。セキュリティ研究者は最近、「Your Document」という件名のメールを確認しており、これは2024年から2025年にかけて大規模なキャンペーンで頻繁に使用されたフレーズです。
この攻撃では、ソーシャルエンジニアリング、ステルス実行、そして「Living-off-the-Land (LotL)」テクニックを組み合わせることで、ファイルは静かに第二段階のペイロードを取得し、起動します。悪意のあるファイルは、正規のWindowsドライバーに見せかけるため「windrv.exe」と命名され、被害者のシステムに保存され、目に見える警告やインストールプロンプトなしに自動的に実行されます。
GLOBAL GROUPランサムウェアの脅威
GLOBAL GROUPランサムウェアは、ランサムウェア設計における憂慮すべき進化を示しています。従来のランサムウェアがコマンド&コントロールサーバーと通信するのとは異なり、このランサムウェアは「ミュート」モードで完全にオフラインで動作します。これにより、ネットワーク監視では通常疑わしい活動を検出できるような、エアギャップされた環境や隔離された環境でも機能することができます。
ランサムウェアは、感染したマシン上で暗号化キーをローカルで生成し、堅牢なChaCha20-Poly1305アルゴリズムを使用してファイルを暗号化し、「.Reco」拡張子を付加します。この暗号化方法には改ざん防止のための認証機能が含まれており、攻撃者の秘密鍵なしには復号が不可能となっています。以前の類似マルウェアファミリー向けの復号ツールは、GLOBAL GROUPには効果がありません。
GLOBAL GROUPは、検出を回避し、損害を最大化するために洗練された技術を採用しています。セキュリティ研究者がよく使用する仮想化環境や分析ツールをチェックし、サンドボックス検出を回避します。さらに、システム起動時にSYSTEM権限で実行される「CoolTask」という名前のタスクをタスクスケジューラで作成し、永続性を確立します。
このマルウェアは、暗号化のためにファイルをロック解除するためにデータベースプロセスを終了させ、フォレンジック調査を妨害するためにディスクから自己削除する前にpingコマンドをタイマーとして使用します。Windowsサービスとスケジュールされたタスクを通じて永続性を確立し、ラテラルムーブメント機能によりネットワーク全体に拡散することができます。
検出指標と対策
感染したシステムは、GLOBAL GROUPによる侵害を告げるデスクトップの壁紙の変更、「.Reco」拡張子を持つ暗号化されたファイル、そしてTorベースの支払いサイトへ誘導する「README.Reco.txt」という身代金メモなど、顕著な兆候を示します。技術的な指標としては、mutex「Global\Fxo16jmdgujs437」と、hexエディタで確認できる一意のファイルマーカー「xcrydtednotstill_amazingg_time!!」があります。また、Active Directoryのクエリやリモートマシン上でのサービス作成、さらには活動を隠蔽するためにイベントログをクリアすることもあります。
このキャンペーンは、ショートカットファイルが依然として効果的な攻撃ベクトルであること、そしてネットワークベースの検出だけでは限界があることを浮き彫りにしています。組織は、エンドポイントの振る舞い監視を優先し、電子メールの添付ファイルからのショートカットファイルの自動実行を無効にし、Windows Explorerでファイル拡張子が表示されるように設定すべきです。オフラインで動作するランサムウェアに対する最も信頼できる防御策は、定期的なオフラインバックアップを継続することです。