RomCom – 偽装するランサムウェア

RomCom RATは、ウクライナの軍事施設を標的に最初に発見され、その後、日本を含む複数の国でも確認されました。当初はスピアフィッシング攻撃として始まりましたが、著名な信頼性の高い製品のドメインやダウンロードを偽装する手法へと進化しています。

Table of Contents

RomComとは

その名前「ロマンチック・コメディ」とは裏腹に、この「RomCom」はありきたりなラブコメディーの代わりに、信頼性の高いソフトウェアに偽装し、ネットワークへの不正なアクセスを試みます。

RomCom RATがインストールされると、情報の収集やスクリーンショットの取得を行い、それらをオフサイトのサーバーに送信します。

サイバー犯罪の動機か否かに関係なく、RomComは人々の信頼を巧みに利用しています。信頼できるブランドからのメールに見せかけた偽のメールを用いて、ユーザーにリンクをクリックさせます。さらに、RomCom RATは隠れたペイロードを仕込みながらも、合法的なソフトウェアを提供するため、ユーザーが怪しむことなくダウンロードしてしまいます。ファイルサイズが10GBを超えることもあり、自動的なセキュリティ検知を回避します。

現在、この攻撃に関与したと主張するグループや国家は確認されていません。ただし、ウクライナでの攻撃特定に協力したBlackBerryの脅威リサーチャーは、「標的地域と地政学的状況を踏まえると、RomCom RATの攻撃者が単なるサイバー犯罪を目的としている可能性は低い」と分析しています。

CISAによればRomComはCubaランサムウェアやIndustry Spy攻撃と類似したネットワーク構成を持つため、関連が疑われています。

CISA – キューバランサムウェアとRomComおよびIndustrial Spyのマーケットプレイスとの関連

https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-335a

2022年春以降、サードパーティおよびオープンソースのレポートにより、キューバランサムウェアの攻撃者、RomCom RATの攻撃者、Industrial Spyランサムウェアの攻撃者との間に明らかな関連があることが確認されています。

パロアルトネットワークスUnit 42によると、キューバランサムウェアの攻撃者は、コマンドアンドコントロール（C2）にカスタムRATであるRomComマルウェアを使用し始めたとのことです。
また、Cuba ランサムウェアの攻撃者は Industrial Spy ランサムウェアも利用している可能性があります。Unit42によると、Cuba ランサムウェアの攻撃者と見られる人物が外国のヘルスケア企業を侵害したようです。攻撃者は Industrial Spy ランサムウェアを展開しましたが、Industrial Spy ランサムウェアは Cuba ランサムウェアと構成に明確な類似点があります。ランサムウェアを展開する前に、攻撃者は Impacket を使用して水平移動し、C2 サーバー経由で RomCom RAT および Meterpreter Reverse Shell HTTP/HTTPS プロキシを展開しました。
キューバランサムウェアの攻撃者は当初、盗んだデータをリークサイトで販売していましたが、2022年5月頃にはIndustrial Spyの盗難データ販売オンライン市場でデータを販売し始めました。

RomComの攻撃者は、軍事組織、IT企業、食品卸売業者、および製造事業者を標的にしています。公開されているWebページから正当なHTMLコードをコピーし、そのコードを変更して、なりすましドメインに組み込みます。これにより、RomComの攻撃者は、以下のことを行うことが可能です。

SolarWinds Network Performance Monitor (NPM)、KeePassパスワードマネージャー、PDF Reader Pro (PDF Technologies, Inc.による製品で、Adobe AcrobatまたはReader製品ではありません)、およびAdvanced IP Scannerソフトウェア用の偽装トロイの木馬化アプリケーションをホスト、最終段階としてRomCom RATを展開します。

偽装がもたらすリスク

RomCom RATの拡散には、SolarWinds、KeePass、Veeam、PDF Technologiesなど、信頼される企業のサイトやソフトウェアに偽装しています。攻撃者は、実際の企業名に似たドメイン名を持つおとりサイトを作成し、マルウェアが組み込まれた偽のソフトウェアバンドルを配布しています。

このような偽装は、SolarWindsのような企業にとって特に問題です。同社は2020年のOrionプラットフォーム侵害に関連し、投資家への和解金として2,600万ドルの支払いを約束したばかりです。さらにKeePassのようなパスワード管理ツールも攻撃対象となっており、偽サイトでは複数のバージョンが用意され、その中にはRomCom RATのドロッパーを含む「hlpr.dat」と、ドロッパーを起動する「Setup.exe」が含まれています。

マルウェアを合法的なサービスとバンドルする巧妙な手法について
通常の攻撃と異なってRomComの場合、従業員が必要なツールとして提供されるため、気付きにくいと思います。

CISA　史上５番目の緊急指令 – SolarWinds Orion –

SnipBot の内部: 最新のRomCom RATの亜種

パロアルトネットワークスUnit42によると、最近、SnipBot と呼ばれる RomCom マルウェアファミリーの新バージョンが発見され、以前のバージョンの RomCom 3.0 および PEAPOD (RomCom 4.0) で見られた手法に加えて、新しいトリックと独自のコード難読化手法を利用しています。
例えば、正しく表示するために必要なフォントが不足していることを示すPDF ファイルで、フォントパッケージをダウンロードしてインストールするためのリンクをクリックすると、代わりに SnipBot ダウンローダーがダウンロードされます。

RomCom RAT感染対策

RAT感染を防ぐためにソフトウェアのダウンロードを禁止することが理想的ではありますが、これは現実的ではありません。SolarWindsやKeePassのようなツールは、メンテナンスのために定期的なダウンロードが必要です。さらに、PDF Reader Proなどのツールも機能が追加されるため頻繁にダウンロードされます。

そのため、企業には以下のようなダウンロードのセキュリティ対策が求められます。

自動更新の活用
既存ツールの自動更新を推進し、スタッフが新しいバージョンを探して手動でインストールする必要を減らすことで、RAT感染のリスクを低減します。自動更新はプロバイダーのサーバーと直接リンクしているため、攻撃者の介入が困難になります。
ダウンロードポリシーの策定
例外なくすべてのスタッフに適用されるダウンロードポリシーを策定し、ダウンロード権限を制限することで、潜在的な攻撃の対象を減らします。RomComによるSolarWindsの偽装では、無料トライアルページだけでなく問い合わせフォームも偽装されていたため、技術に精通したスタッフでも見破るのが困難でした。
ゼロトラストの導入と監視
ゼロトラスト・アプローチを採用し、すべてのソフトウェアを潜在的なリスクと見なし、継続的な監視を行うことで、マルウェアを早期に検出・排除することが可能になります。信頼できるブランドのソフトウェアであっても油断せず、常にリスクを念頭に置くことが重要です。