日本をターゲットにしたGlobeImposterの亜種(”ONI”の正体)

By Koichiro Otobe and Shinsuke Honjo

最近日本国内で“ONI”と呼ばれるランサムウェアに感染したという被害報告がいくつか確認されています。このランサムウェアは感染をするとファイルを暗号化し.oniという拡張子をファイル名に付与して、復号するためには金銭を支払うように要求してきます。日本語でのインストラクションファイルを残していくことから、おもに日本のユーザーを標的にしたランサムウェアであると考えられます。

“ONI”ランサムウェアの正体

弊社のリサーチチームの調査の結果、この”ONI”ランサムウェアはGlobeImposterと呼ばれるランサムウェアファミリーの亜種とみられることが分かっています。調査した検体については少なくとも2017年6月には存在が確認されています。GlobeImposterは元々Globeと呼ばれるマルウェアを起源としており、感染して暗号化を行い、ファイル名に.cyptや.pscryptといった拡張子を付けてHTMLファイルベースの脅迫文を表示します。初期に確認されたGlobeImposterのサンプルは、コード上の問題が発見され復号ソフトが一部のベンダより提供されていますが、その後もさまざまな亜種が登場しておりすべてに対応できるかは確認されていません。今回の.oniという拡張子を使うランサムウェアもこのGlobeImposterのコードを元にした亜種の1つと考えられます。

感染動作

今回確認されたGlobeImposterの亜種に感染すると以下の動作を行うことが確認されています。

1. 以下のtmpファイルが存在しているか確認し、存在していた場合には動作を停止
%Temp%\qfjgmfgmkj.tmp
tmpファイルが存在していない場合にはファイルを作成します。この動作は重複インストールを避けるためのものと考えられます。

2. システム上の各ディレクトリにおいて、ファイルをRSA-2048/AES-256で暗号化し、暗号化されたファイル名には”.oni”の拡張子を付与
但し、以下のフォルダは暗号化対象から除外されます。
• windows
• Microsoft
• Microsoft Help
• Windows App Certification Kit
• Windows Defender
• ESET
• COMODO
• Windows NT
• Windows Kits
• Windows Mail
• Windows Media Player
• Windows Multimedia Platform
• Windows Phone Kits
• Windows Phone Silverlight Kits
• Windows Photo Viewer
• Windows Portable Devices

3. 同じフォルダに!!README!!.htmlというHTMLファイルを作成

この中には日本語で暗号化したという脅迫文と復号のためのインストラクションが記載されています

感染経路

いまのところこのマルウェアの感染経路ははっきりしていません。しかしながら該当のマルウェアペイロード自体には自己拡散するワーム機能が確認されていないことから、Webまたはメールのような経路から他のエクスプロイトやマルウェアなどを介して感染したものと考えられます。しかしながら、GlobeImposterについては、WannaCryEthernalRocksPetya-Likeなどでも悪用されたことで有名になったShadow Brokersのエクスプロイトツールが、公開された直後に使われた高度なシステム侵入の一環で使用されたケースもあるので、そのようなAPT攻撃グループとの関連性も疑われます。もし被害が出た場合には、単なるランサムウェア被害としての対応だけではなく、他のシステムへの侵入や感染の痕跡がないかも含めて調査されることをお勧めします。弊社としては今回の日本をターゲットにしたGlobeImposterの亜種に注目しており、今後も引き続き調査を進めていきます。

CylancePROTECTによる予測防御

AIを活用してデータモデルによる予測防御を行うアンチウィルス製品CylancePROTECT®をご利用のお客様はこの攻撃からすでに保護されています。弊社ではこれまで確認されたGlobeImposterのマルウェア検体を入手して検知・ブロックできることを確認しています。
CylancePROTECTをご利用でない場合は、当社のAIを活用したソリューションが未知の脅威や新たな脅威をどのように予測し防御するかについてお問い合わせください

侵入の痕跡(IoC情報)

SHA-256ハッシュ:
9BBA34947B9B2F9D52AEB45B342637CE93D6683BBF8E352DA53DAE053DA37AE6(ランサムウェア)

Tags: