MortalKombatとLaplas

MortalKombatといってもゲームのそれではありません。
MortalKombatはランサムウェアです。
このランサムウェアとLaplasというクリッパーを使うキャンペーンが観測されています。
どういったものでしょう。

• 入口
  このキャンペーンの入口はフィッシングメールです。
  現時点でもよく見られる初期感染方法です。
  暗号資産の支払いゲートウェイ事業を展開するCoinPaymentsに成りすまし、メールを送り付けてきます。

   

• zip形式の添付ファイル
  なりすましメールにはzipが添付されています。
  支払いが滞っているという内容のメールのサブジェクトや本文になっています。
  そしてその内容の詳細は添付ファイルを見ることでわかるような仕組みに仕立てられています。
  うまい具合にzipファイルを開くことを誘導します。

   

• zipの中身はローダー
  zipを展開するとバッチファイルが入っています。
  このバッチファイルはローダーです。
  MortalKombatをダウンロードするローダーとLaplasをダウンロードするローダーがあります。
  どちらかの脅威が展開されることになります。
  ちなみに、ローダーはマルウェアを持ってくるだけではありません。
  持ってきたzipからマルウェアを取り出し、それを自分で起動し、用のなくなったzipファイルとマルウェアのファイルを削除します。
  なるべく痕跡を残さず、解析もさせない、という作戦でしょうか。

   

• MortalKombat
  このランサムウェアはターゲット環境はWindowsです。
  感染環境のシステム、アプリケーション、データベース、バックアップ、仮想マシンのファイル、論理ドライブとしてマップされた他の機器上のファイルを暗号化します。
  現時点では被害者のマシン上のボリュームシャドウコピーには手を付けません。
  しかし、Windows Explorerは使えない状態になりますし、スタートアップからアプリケーションとフォルダを削除します。
  さらにファイル名を指定して実行の機能を利用できなくします。
  そして被害者のPCの壁紙をMortalKombatのそれにし、身代金メモを表示します。
  被害にあうと通常の操作や調査はできなくなります。

   

• Laplas
  Laplasはクリッパーです。
  クリップするものは暗号資産のウォレットアドレスです。
  感染環境のクリップボードを監視し、正規表現でウォレットアドレスであるかを確認します。
  よくあるクリッパーはここで元のウォレットアドレスを攻撃者のそれに書き変える、となるのですがLaplasは違います。
  Laplasは検出した元のウォレットアドレスに類似のウォレットアドレスを生成し、それで書き変えます。
  つまり書き換えられたことがより分かりにくくなる作戦をとってきたということになります。
  ちなみにこのLaplasはこの攻撃者の作成したオリジナルではありません。
  2022年の11月には通常のインターネットで販売されていることが観測されています。
  Laplasは積極的な開発が継続しているマルウェアです。
  将来のアップデートで暗号資産ウォレットの残高を確認する機能の追加も予定されています。
  今回のキャンペーンでは、このLaplasのGo版が使用されています。

この攻撃は現時点では被害者の多くは米国に在住しています。
これは攻撃の初期段階の道具が英語で構成されているためでしょう。
その部分を変更するだけで比較的小さな手間でいろいろな他の地域にも対応できるものと考えられます。
注意してもしすぎることはなさそうです。

参考記事（外部リンク）：New MortalKombat ransomware and Laplas Clipper malware
threats deployed in financially motivated campaign
blog.talosintelligence.com/new-mortalkombat-ransomware-and-laplas-clipper-malware-threats/