ESET社の研究者は、Embargoランサムウェアを展開する新しいRustベースのツールを発見しました。Embargoは、2024年6月にESET社によって初めて確認された比較的新しいランサムウェアグループです。新しいツールキットはローダーとEDRキラー（EDRを強制的に終了するツール）で構成されており、ESET社はローダーとEDRキラーをそれぞれMDeployerとMS4Killerと命名しました。特に注意しなければならないのは、MS4Killerが被害者の環境に合わせてコンパイルされており、被害者が利用するセキュリティソリューションを標的としていることです。Embargoグループはランサムウェアの開発にRust言語を使用しており、両方のツールがRustで記述されています。

本ブログの要点：

• Embargoは新しいRustベースのツールを開発してテストしています
• いくつかの異なるバージョンが展開されていること、バグが存在していること、そして残されたアーチファクトから、これらのツールは現在も開発中であると考えられます
• このサイバー攻撃者はセーフモードを悪用し、セキュリティソリューションを無効にします
• Embargoは被害者に合わせてツールをカスタマイズしています

概要

2024年7月、ESET社は複数の米国企業を標的としたランサムウェアインシデントを確認しました。このインシデントでは新しいツールが使用されていました。被害を受けた各企業への侵入で観察されたMDeployerとMS4Killerのバージョンはそれぞれわずかに異なっており、このツールが現在も開発されていることを示唆しています。一度の侵入で2つの異なるバージョンのMDeployerも検出されています。恐らく最初の侵入が失敗した後に、ツールを変更したと考えられます。

このブログでは、MDeployerとMS4Killerの分析、およびEmbargoランサムウェアが実行される前のアクティビティを中心に説明します。MDeployerは、MS4KillerやEmbargoランサムウェアを展開するために使用される悪意のあるローダーです。MS4KillerはEDRキラーであり、脆弱なドライバを悪用し、被害者のマシンで実行されているセキュリティ製品を無効にします。

Embargo

Embargoは、ESET社のテレメトリでは2024年6月に初めて観測されました。実環境で最初に確認されたのは2024年5月でした。Embargoが注目を集めたのは、知名度の高い企業への侵入に成功したことのほかに、ランサムウェアペイロードの記述に利用されているプログラミング言語が特殊であったためです。Embargoは、クロスプラットフォーム対応のプログラミング言語であるRustを選択しており、WindowsとLinuxの両方を標的とする、汎用性の高いランサムウェアを開発しています。BlackCatとHiveに続き、EmbargoグループもRustでランサムウェアペイロードを開発しています。

開発と運用の手法から、Embargoグループには豊富な資金力があると考えられます。被害を受けた組織とやり取りするために独自のインフラを構築していますが（図1）、Toxを介してやり取りすることも可能です。このグループは、二重恐喝によって標的企業に身代金を支払うように迫り、窃取したデータをリークサイトで公開しています。グループのメンバーとされる人物へのインタビューの中で、グループの代表者は、アフィリエイトに対する基本的な支払いスキームについても言及していたことから、このグループがRaaS（サービスとしてのランサムウェア）を提供していると考えられます。最近、法執行機関によるBlackCatやLockBitのような悪名高いグループメンバーの逮捕やテイクダウンがあったことから、RaaS環境では再編成が起こっています。RaaS環境が世界的に変化したことで、高度な技術がある新しいサイバー攻撃者が出現することになりました。Embargoグループが有する高度なスキル、典型的なリークサイトの存在、そしてグループ自らの主張から、ESET社はEmbargoが実際にRaaSプロバイダーとして運営していると考えています。

図1. EmbargoのリークサイトにあるAboutページ

ESET社が2024年7月のインシデントで観測したEmbargoランサムウェアのペイロードでは、以下の共通の属性がありました。

• Embargoランサムウェアは、暗号化した各ディレクトリにHOW_TO_RECOVER_FILES.txtという身代金メモ（図2）をドロップする
• 暗号化されたファイルには、.b58eebや.3d828aなどの16進数のランダムな6文字の拡張子が付けられる
• ペイロードはミューテックスIntoTheFloodAgainSameOldTripを作成する

Cybleの研究者による過去の分析では、ペイロードはミューテックスLoadUpOnGunsBringYourFriendsを作成していました。注目すべきは、どちらのミューテックスの名前も、人気のあるロック曲の歌詞から引用されていることです。ESET社の分析は、Cybleの記事にある分析と一致しています。

図2. Embargoの身代金メモ

MDeployer

MDeployerは、Embargoが侵害したネットワーク内のマシンに展開する悪意のあるメインローダーであり、ランサムウェアの実行やファイルの暗号化などの最終的な攻撃を実行するために使用されます。

PEヘッダーのIMAGE_EXPORT_DIRECTORYセクションにあるnameフィールドから、EmbargoがこのツールをDeployerと呼んでいることがわかります。そのためESET社は、このツールをMDeployer（EMbargo Deployer）と命名しました。

このローダーの主な目的は、暗号化された2つのファイルa.cacheとb.cacheを復号し、MS4KillerとEmbargoランサムウェアの2つのペイロードを実行することです。これらのファイルはこの攻撃の前の段階でドロップされていますが、その方法の詳細は明らかになっていません。

• 最初にb.cacheファイルからMS4Killerペイロードを復号し、復号したファイルをpraxisbackup.exeにドロップして、実行します。
• 次に、ランサムウェアのペイロードに対して同じ処理を行って実行します。このペイロードは、a.cacheから復号され、pay.exeとして保存されています。
• ランサムウェアがシステムの暗号化を完了すると、MDeployerはMS4Killerプロセスを終了して、復号したペイロードとMS4Killerがドロップしたドライバファイルを削除し、最後にシステムを再起動します。

MS4Killerは永続的に実行されるように設計されており、MDeployerはAPI関数WaitForSingleObjectを呼び出し、戻り値WAIT_TIMEOUTを確認して、実行されていることを検証します。MS4Killerが期待通りに実行されていない場合、MDeployerはsysmon exited earlyというメッセージを記録し、2番目のペイロードを実行せずに終了します。このメッセージの記録についてはこのブログの後半で説明します。

ESET社が確認したすべてのMDeployerバージョンで、両方のペイロードはハードコードされている同じRC4キー（wlQYLoPCil3niI7x8CvR9EtNtL/aeaHrZ23LP3fAsJogVTIzdnZ5Pi09ZVeHFkiB）を使用して復号されていました。

MDeployerが実行されるときに、複数のファイルとやり取りします。理解しやすいように、図3にファイル間の関係を示します。

図3. MDeployerの実行図

表1に、ファイルの目的を示します。

表1. MDeployerが操作するファイル

セーフモードの悪用

ESET社が調査したインシデントでは、MDeployerがDLLとしてデプロイされた例外が1つだけありましたが、それ以外では、MDeployerはEXEファイルとしてコンパイルされていました。このDLLの亜種には、セキュリティソリューションを無効にする機能が追加されています。

DLLの実行フローの概要については、図4を参照してください。

図4. MDeployerのDLLの実行フロー

EXEとDLLの最初の違いは、DLLが最初に実行されるときに起こります。DLLのバージョンでは、stop.exeというファイルが存在していることを実際にチェックします。このファイルが存在している場合、MDeployerが過去にすでに実行されており、ランサムウェアペイロードのデプロイに成功しているか、エラーが発生して終了したことを意味します。そのため、このファイルが見つかった場合、ローダーはクリーンアップを実行して終了します。EXEバージョンは、stop.exeファイルを作成しますが、その存在はチェックしません。

MDeployerのDLLバージョンは、次に、DLLが管理者権限で実行されたかどうかをチェックします。管理者権限で実行されていない場合、EXEバージョンとまったく同じ処理が行われます。実際、このEXEバージョンは、この単一の実行ブランチのソースコードを使用してコンパイルされている可能性が高いと考えられます。

しかし、管理者権限で実行された場合、ローダーは被害者のシステムをセーフモードで再起動し、特定のセキュリティソリューションを無効化します。

セーフモードとは、Windows OSの診断モードで、必要最小限の機能だけをロードしてシステムを実行します。このため、セーフモードでは多くのサイバーセキュリティ機能や保護機能が有効になりません。サイバー攻撃者はセーフモードを悪用して検出を回避しようとしています。2022年にForbesが報告しているように、この手法は高いスキルを持つランサムウェアグループによってこれまでも悪用されています。

セキュリティツールの無効化は2つのステップで実行されます。

ステップ1

最初のステップの目的は、システムをセーフモードで再起動することです。このローダーは、Windowsのコマンドラインツールbcdedit、 sc、 regを組み合わせて、以下の処理を行って再起動します。

• セーフモードをデフォルトの起動モードに設定します
• セーフモードでWindows Defenderを無効します
• irnagentdというサービスを作成し、システムがセーフモードで再起動された後にこのローダーを実行します
• システムを再起動します

このローダーが実行するコマンドの詳細なリストについては、「MDeployerが使用するコマンド」のセクションを参照してください。

ステップ2

セーフモードでシステムを再起動すると、ローダーはインストールディレクトリの名前を変更して特定のセキュリティツールを無効にし、Embargoランサムウェアのペイロードを実行します。

復号されたランサムウェアファイルpay.exeを削除し、二重の暗号化を防ぐためにコントロールフローファイルstop.exeを作成し、常駐するためのサービスirnagentdを削除して、システムを通常モードに戻して再起動します。

セキュリティを無効にするBATスクリプト

あるインシデントでは、DLLローダーの追加機能がBATスクリプトとして実装されていました。このスクリプトはある1つのセキュリティソリューションを無効化することを目的としています。このスクリプトは、常駐するためのサービスirnagentdを利用してセーフモードで再起動し、インストールされているセキュリティソフトウェアのインストールディレクトリの名前を変更するという同じ手法を使用しています。さらに、コントロールフローに同じstop.exeファイルを使用し、エラーメッセージをfail.exe（MDeployerの場合はfail.txt）に記録しています。

この処理も、Embargoが各被害者の環境に合わせてツールを変更していることを裏付けています。

ログ

MDeployerでエラーが発生した場合、エラーメッセージをfail.txtファイルに記録し、stop.exeファイルを作成します。

この攻撃者は4つの段階でログメッセージを区別しており、それぞれ異なる接頭辞を使ってエラーを記録します。

• [dec] - ペイロードの復号
• [exec] - ランサムウェアの実行
• [execk] - MS4Killerの実行
• [kler] - MS4Killerの実行（この接頭辞はMS4Killerが予期せず終了した場合に使用されます）
  DLLバージョンでは、ログメッセージの接頭辞が追加されています。これはEXEバージョンにはありません。
• [sc]、[sc delete] - irnagentdサービスの作成または削除
• [reg]、 [reg-del] - Windowsのレジストリの変更
• [setsb] - bcdedit.exeコマンドラインツールを使用して、次の再起動時にセーフモードを設定

クリーンアップ

MDeployerには、さまざまな状況で起動されるいくつかの異なるクリーンアップルーチンがあります。このルーチンは、ローダーがランサムウェアペイロードを正常に実行した後、またローダーの実行中に何らかのエラーが発生した場合に起動されます。

クリーンアップ中にローダーはMS4Killerプロセスを終了し、復号されたペイロードとMS4Killerによってドロップされた脆弱なドライバを削除し、コントロールフローファイルstop.exeを作成します。

stop.exeが存在しているためにクリーンアップルーチンが実行された場合、MDeployerは自身のPEファイルも削除します。

最後に、shutdown -r -f -t 00コマンドを呼び出してシステムを再起動します。

実行

観測されたすべてのケースで、権限を昇格したシステムユーザーBITCHAdministratorによって作成されたスケジュールタスクPerf_sys（図5）によってローダーはシステムに常駐していました。

図5. ローダーを実行したBITCH\Administratorによって作成されたスケジュールタスクPerf_sys

ESET社は、あるケースでMDeployerを実行するPowerShellスクリプトも収集しました。このスクリプトは、WinRM-fsで使用されているスクリプトと酷似していたことから、Embargoが保護されていないマシンからローダーを配信するために、このスクリプトまたは同様のツールを使用している可能性があります。

現在も開発は続いている

これまで見てきたローダーの検体には、いくつかの矛盾や「乱雑なコントロールフロー」が見られており、このグループのツールはまだ開発中であり、「完全な準備」が整っていないことを示唆しています。

MDeployerがMS4Killerによってドロップされた脆弱なドライバを削除していることは、2つのツールが一緒に開発されていることを示しています。MS4KillerとMDeployerの両方のDLLバージョンは、セキュリティソリューションの無効化を試みます。

ローダーがペイロードファイルを削除し、その直後にペイロードファイルの1つを実行しようとするのは珍しいことではありません。図6に示しているように、MDeployerはクリーンアップ関数を呼び出し、そのときにpay.exeは削除されますが、その後、まったく同じファイルを実行しようとしています。

図6. IDA ProのMDeployer（強調表示されたセクションは、削除後に実行しようとしたことを示している）

実際、ESET社が確認したローダーのDLLバージョンにはいくつかのバグがあり、完全に動作していませんでした。一度のインシデントでいくつかのバージョンのローダーが使用されているのは、これらのバグが存在しているためだと考えられます。このサイバー攻撃者は、攻撃を実行しているときにこれらの問題を特定しており、攻撃中に対応している可能性があります。

MS4Killer

MS4Killerは、防御機能を回避する典型的なツールであり、BYOVD（独自の脆弱なドライバの持ち込み）の手法によってセキュリティ製品のプロセスを終了します。ローダーと同様にRustで記述されています。MS4Killerは、GitHubで公開されているs4killerの概念実証（POC）の多くを取り入れており、汎用性を高めるためにRust記述していると考えられます。この既存のPOCと類似していることから、ESET社はこのツールをMS4Killer（EMbargo s4killerの略）と命名しました。

機能の拡張

s4killerは実行中のプロセスを選択し、カーネルから終了するように設計されています。グローバル変数（コンパイルされたコードの.rdataセクション）に保存されている脆弱なドライバをインストールして悪用し、この処理を実行します。終了するプロセスのPIDは、プログラムの引数としてs4killerに渡されます。プロセスの終了は、minifilter APIからFilterConnectCommunicationPortとFilterSendMessageを介して実行されます。

Embargoは、以下の機能を追加してこのPOCを拡張しています。

• MS4Killerは無限ループで実行され、実行中のプロセスを常にスキャンします
• 強制的に終了するプロセス名のリストはバイナリにハードコードされています
• 埋め込まれたドライバブロブはRC4で暗号化されます
• バイナリ文字列、つまりログメッセージ、プロセス名、ドライバの復号に使用されるRC4キーは、単純なXORを使用して暗号化されています
• プロセスを終了するときに、MS4Killerは子プロセスとして自身を生成し、引数として強制的に終了するプロセスのPIDを渡します
• プロセスのスキャンと強制終了は、RayonというRustのデータ並列化ライブラリを利用して、複数のスレッドに分割されます

BYOVD

脆弱なドライバの持ち込みは、広く知られた手法であり、サイバー攻撃者が署名された脆弱なカーネルドライバを悪用してカーネルレベルでコードを実行するために使用されています。ランサムウェアのアフィリエイトは、攻撃対象のインフラを保護しているセキュリティソリューションを改変するために、侵害チェーンの中にBYOVDツールを組み込むことが多くあります。セキュリティツールを無効にすれば、アフィリエイトはランサムウェアペイロードが検出される心配なく実行できます。

MS4Killerはあるケースで、ITM System Co.LTDの失効している証明書によって署名された古い脆弱なミニフィルタドライバを悪用しています（probmon.sys、バージョン3.0.0.4）（図7を参照）。このドライバはRC4で暗号化されたブロブとしてMS4Killerのバイナリに埋め込まれています。ESET社は、ITWのこのドライバが悪用されていることをMicrosoftに報告しています。

図7. 悪用されたドライバprobmon.sysの属性

文字列の復号

MS4Killerは、バイナリに埋め込まれた文字列を暗号化して隠蔽します。具体的には、ログメッセージの文字列、埋め込まれたドライバを復号するために使われるRC4キー、終了するプロセス名のリストをXOR演算で暗号化します。図8に、WindowsのOpenProcessToken APIが呼び出され、ログメッセージが復号される例を示します。この関数が失敗した場合、ユーザー定義関数（図8ではxor_strに名前を変更）がXORされた文字列を復号し、その結果、[-] OpenProcessTokenを参照渡しによって最初の引数に格納します。復号された文字列にエラー情報が付加され、標準出力に書き出されます。

図8. OpenProcessToken API呼び出しによるログメッセージの復号

probmon.sysのロード

前述したように、正規の脆弱なドライバは、MS4KillerバイナリにRC4で暗号化されたブロブ（キーFGFOUDa87c21Vg+cxrr71boU6EG+QC1mwViTciNaTUBuW4gQbcKboN9THK4K35sLを使用）として埋め込まれており、XORで暗号化されています。ESET社は、MS4Killerが脆弱なドライバをドロップする以下の2つの異なるファイルパスを確認しています。

• C:\Windows\System32\drivers\Sysprox.sys（図9）
• C:\Windows\Sysmon64.sys

図9. 脆弱なドライバprobmon.sysの復号と削除

ドライバをロードする方法は、s4killerと一致しています。

• デバイスドライバのロードとアンロードに必要なSeLoadDriverPrivilegeを有効にします
• CreateServiceWを介してサービスを作成します
• フィルタのロードに必要な追加のレジストリキーをHKLM\SYSTEM\ControlSet001\services\<service_name>で作成します
• FilterLoadを介してミニフィルタドライバをシステムにロードします

MS4KillerはこれまでにSysprox、 Proxmon、Sysmon64の3つの異なるサービス名を使用しています。

プロセスリストの隠蔽

MS4Killerは、XOR暗号化されたセキュリティソフトウェアのプロセス名を埋め込んだリストに対して実行中のプロセスを常に照合します。ドライバがロードされるとすぐに、MS4Killerはプロセス名のリスト（図10）を復号します。

図10. MS4Killerの検体に暗号化され埋め込まれていたセキュリティソフトウェアのプロセス名の例

これらは、複数のセキュリティ製品のプロセス名になっています（付録：MS4Killerが終了するプロセスリストの例も参照）。図10のコードスニペットを見ると、ekrn.exeなどプロセス名が重複し、文字列の一部が同じ場所に復号されており（変数hHandle、Luid、lpMemを参照）、ダミーのプロセス名（firefox.exe）が1つあることがわかります。さらに、復号された文字列変数が相互参照され、論理比較が行われプロセス名のサブセットのみが利用されるようになります。図11のコードスニペットのケースでは、ESET製品のプロセス名ERAAgent.exeとekrn.exeだけが実行中のプロセスと比較されます。MS4Killerの複数の検体を精査したところ、埋め込まれたプロセスリストには常に複数のセキュリティ製品のプロセス名が含まれているにもかかわらず、侵入された各組織では、特定のセキュリティソリューションのプロセスのみが監視されていました。

図11. 終了するプロセスを決定するロジック

ESET社は、MS4Killerの検体が実際に攻撃する直前にコンパイルされ、被害者のマシンを保護しているセキュリティソリューションのみを対象としていたことを示す証拠を確認しています。

結論

このブログでは、Rustで記述され、新しいランサムウェアグループEmbargoによって現在も攻撃に使用されている新しいツールを分析した結果を解説しました。ESET社がこれらのツールをMDeployerとMS4Killerと命名しています。Embargoは新しいランサムウェアグループであり、この犯罪界隈でのし上がろうとする野心が見られます。このブログでは、EmbargoグループがRaaS（サービスとしてのランサムウェア）を提供していると考えられる理由についても説明しました。

Embargoツールキットの主な目的は、被害者のインフラで利用されているセキュリティソリューションを無効にして、ランサムウェアペイロードの展開を成功させることです。Embargoは、攻撃のさまざまな段階で同じ機能を複製するために多くの努力を払っており、BATスクリプト、MDeployer、MS4Killerのすべてに、セキュリティソリューションを無効にする機能が含まれています。また、攻撃者が侵入しているときに、特定のセキュリティソリューションを無効にするために、臨機応変にツールを調整する能力も確認されています。

MDeployerもMS4KillerもRustで記述されています。ランサムウェアペイロードも同様にRustで記述されており、このグループの開発者がRust言語を使用していることがわかります。一度のインシデントで、2つの異なるバージョンのMDeployerが展開されていることも確認されています。展開されたローダーには、ツールが正常に機能しなくなる論理的なバグも含まれていました。侵入しているときにツールを調整する手法や、コンパイルのタイムスタンプが侵入した日時の直前であることから、ツールを展開しているこの攻撃者には、侵入時にすばやくソースコードを変更し、ツールを再コンパイルする能力があると考えられます。

IOC（セキュリティ侵害の痕跡）

ファイル

証明書

その他のMDeployerファイルのパス

• C:\Windows\Debug\b.cache
• C:\Windows\Debug\a.cache
• C:\Windows\Debug\fail.txt
• C:\Windows\Debug\stop.exe

MDeployerが使用するコマンド

• reg delete HKLM\SYSTEM\CurrentControlSet\Control\Safeboot\Network\WinDefend /f
• C:\Windows\System32\cmd.exe /c takeown /R /A /F "C:\ProgramData\[redacted]" /D Y
• C:\Windows\System32\cmd.exe /c takeown /R /A /F "C:\Program Files\[redacted]" /D Y
• sc create irnagentd binpath="C:\Windows\System32\cmd.exe /c start /B rundll32.exe C:\Windows\Debug\dtest.dll,Open" start=auto
• sc delete irnagentd
• reg add HKLM\SYSTEM\CurrentControlSet\Control\Safeboot\Network\irnagentd /t REG_SZ /d Service /f
• C:\Windows\System32\cmd.exe /c bcdedit /set {default} safeboot Minimal
• C:\Windows\System32\cmd.exe /c bcdedit /deletevalue {default} safeboot
• reg delete HKLM\SYSTEM\CurrentControlSet\Control\Safeboot\Network\WinDefend /f
• C:\Windows\System32\cmd.exe /c ping localhost -n 5 > nul & del
  C:\Windows\Debug\dtest.dll
• shutdown -r -f -t 00
• C:\Windows\praxisbackup.exe
• C:\Windows\Debug\pay.exe

MITRE ATT&CKの技術

この表は、MITRE ATT&CKフレームワークのバージョン15を使用して作成されています。

付録：MS4KILLERが終了するプロセスリストの例（アルファベット順）