Nitrogen Ransomwareとは
Nitrogenは金銭目的のランサムウェアグループで、2023年後半に初めて確認されました。このグループはマルウェア開発から高度な二重恐喝モデルへと移行しています。Nitrogenはmalvertisingやトロイ化されたインストーラーのような高度な手法を悪用し、組織内のIT専門家を標的とします。主な標的分野は、米国、英国、カナダなどを含む金融サービス、製造、建設、プロフェッショナルサービス分野です。
初期アクセスは、検索エンジン広告を毒化したリンクを用いて行われ、被害者をWinSCP、AnyDesk、Advanced IP Scanner、PuTTYなどのツールのトロイ化されたインストーラーをホストする偽サイトへ誘導します。これらのインストーラーが実行されると、DLLサイドローディングが発生し、段階的ローダー(NitrogenStager)が起動してC2インフラに接続し、認証情報収集や横展開のための追加ペイロードをダウンロードします。
偵察フェーズでは、脅威アクターはネットワークマッピング、アカウント列挙、レジストリRunキーやタスクスケジューラを利用した永続化の確立などを行う埋め込みモジュールを利用します。横展開および侵害後の活動ではCobalt StrikeやMeterpreterなどのフレームワークが使用され、リモートコマンド実行や権限昇格が可能になります。
検出回避と支配維持のため、Nitrogenは脆弱な「truesight.sys」ドライバを悪用してアンチウイルスやEDRプロセスを無効化し、‘bcdedit’を使用してブート構成を変更し、証跡を消すためにセキュリティログを削除します。データは暗号化前にローカルでステージングされ、攻撃者が制御するサーバーへ流出させられ、恐喝のための材料として利用されます。その後、ランサムウェアペイロードが“.NBA”拡張子でファイルを暗号化し、被害ディレクトリ内に“readme.txt”という名称の身代金メモを配置します。
Nitrogenによるmalvertising、正規ツール悪用、段階的ローダー、検出回避技術の活用は、同グループの高い運用成熟度を示しており、多層的な強固な防御が必要とされます。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- OEMに従ってWindows環境を最新バージョンにパッチ適用し、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的な全方位の脅威評価演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。