Microsoftは米国時間10月27日、USB接続のメモリー/ドライブを介して感染する比較的新しい「Raspberry Robin」ワームに関する警告を発出した。同社は過去30日間で、1000近い組織の3000台近くのデバイスに対して、このワームに起因するペイロード関連の警告を通知しているという。
提供:M-A-U / Getty Images
Raspberry Robinマルウェアは過去に、「FakeUpdates」マルウェアを用いてインストールされている事例が確認されている。FakeUpdatesは、ロシアのサイバー犯罪グループであるEvilCorpと関連があるという。またRaspberry Robinは、「LockBit」ランサムウェアのほか、「IcedID」や「Bumblebee」「Truebot」といったマルウェアをデプロイするために用いられてもいる。そして今回、「Clop」ランサムウェアをデプロイする目的でも用いられていることがMicrosoftによって確認された。
同社は、Raspberry Robinを利用したClopのデプロイを、「DEV-0950」として追跡しているグループの仕業だと推測している。また同グループのアクティビティーは、FireEyeが「FIN11」として追跡している高度なハッキンググループのものと部分的に一致している。FIN11は2021年に、被害者のデータをClopランサムウェアのリークサイトで公開している。
Microsoft Threat Intelligence Center(MSTIC)は同社ブログに、「DEV-0950はこれまで、フィッシング攻撃によって被害者の多くを生み出してきている。今回、Raspberry Robinの使用目的を変えるという彼らの注目すべき動きによって、既に感染している被害者の元にペイロードを送り込み、より迅速にランサムウェアの段階へと攻撃キャンペーンを移行することが可能になる」と記している。
セキュリティ企業のRed Canaryは、2021年9月にRaspberry Robinを発見した。同社によるとこのワームは、フォルダーに偽装したLNKショートカットファイルが保存されたUSBメモリー/ドライブを介して「Windows」システムにインストールされるケースが多いという。そしてこのワームは、標的となったユーザーがUSBメモリー/ドライブを接続することでPCやサーバーに感染するようになっている。Windowsではリムーバブルメディアの自動実行(autorun)機能がデフォルトで無効化されているものの、多くの企業がレガシーなグループポリシーを通じてこの機能を有効化しているとMicrosoftは指摘している。
MSTICが確認したところによると、Raspberry Robinは自動実行機能を悪用する方法と、ユーザーをだましてLNKファイルをクリックさせる方法を併用しているという。
MSTICは「Raspberry Robinが仕掛けられたUSBメモリー/ドライブの中には、LNKファイルと実行可能ファイルしか保存されていないものがある一方、過去にはある種の設定が施されたautorun.infファイルが保存されているものもあった」と記している。
この変化は、ショートカットファイルの名前がrecovery.lnkといった一般的なものから、USBメモリー/ドライブのブランド名に変更されたことに関係があると言える。Microsoftは、LNKファイルの名前がブランド名になっていると、ユーザー自身の手によって同ファイルが実行されやすくなるためだと推測している。またこのLNKファイルは、悪意あるペイロードをインストールするために、悪人の手に落ちたQNAPのストレージアプライアンスに対する呼び出しを実行するようにもなっているという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。