SOC Prime Bias: Critical

22 Jun 2026 19:43 UTC
newspaper icon MalwarebytesによるThreatDown

プリンツ・オイゲン ランサムウェア:新しいGoベースの暗号化ツールの深堀り

Author Photo
SOC Prime Team linkedin icon フォローする
プリンツ・オイゲン ランサムウェア:新しいGoベースの暗号化ツールの深堀り
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

「Prinz Eugen」は新たに確認されたGo言語ベースのランサムウェアファミリーで、再帰的暗号化を使用し、被害者への圧力を強めるために最近変更されたファイルを優先して暗号化します。ファイル暗号化にはChaCha20-Poly1305を利用し、メモリから暗号化キーを消去したり実行後に自らを削除するなどのアンチフォレンジック機能が含まれています。この操作は、ローカルシステムに身代金要求メモを残さないアウトオブバンド型の恐喝モデルに従っています。

調査

調査によれば、この侵入はおそらく、侵害されたRDP資格情報から始まり、次に servertool.exe ペイロードがChromeを通じて配信されました。研究者は、リモート管理ツール「RemotePC」が横移動のために、またPowerShellベースのステージングに使用されたことを観察しました。共通の恐喝者アイデンティティと以前から観察されている侵害活動に基づいて、攻撃者ROOTBOYに帰属されました。

緩和策

組織はマルチファクタ認証でRDPアクセスを強化し、リモート管理ツールの不正利用を監視する必要があります。未知のGoベースの実行可能ファイルをブロックし、疑わしいPowerShellの動作を検出できる強力なエンドポイント保護も不可欠です。定期的なオフラインバックアップの維持や頻繁に変更されるデータの保護を通じて、この高圧暗号化アプローチの影響を軽減できます。

対応策

Prinz Eugenアクティビティが検出された場合、影響を受けたシステムをすぐに隔離し、RMMツールやRDPセッションを通じたさらなる移動を阻止してください。再起動前またはマルウェアが自身を削除する前にメモリフォレンジックを行い、暗号化材料の回復の最良の機会を提供する可能性があります。インシデント対応は、可能なデータ流出の追跡や攻撃者が使用する可能性のあるアウトオブバンド通信チャネルに焦点を当てるべきです。

"graph TB %% クラス定義セクション classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% 初期アクセスと実行 access_rdp["<b>アクション</b> – <b id='T1133'>外部リモートサービス</b><br/><b>説明</b>: 危険にさらされたRDP資格情報によるアクセス."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>ユーザー実行: 悪意のあるファイル</b><br/><b>アクション</b>: Chromeブラウザ経由でダウンロード<br/><b>ファイル</b>: servertool.exe<br/><b>パス</b>: ユーザーミュージックフォルダ"] class exec_chrome initial_access %% 永続性と権限昇格 persist_user["<b id='T1136.001'>アカウント作成: ローカルアカウント</b><br/><b>アクション</b>: 新しいローカル管理者を作成<br/><b>コマンド</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>永続性: システムプロセスの作成または変更</b><br/><b>ツール</b>: RemotePC RMM<br/><b>アクション</b>: ペイロードをデプロイするためのPowerShellステージャーの起動"] class priv_esc_rmm persistence %% ラテラルムーブメント lat_move_rmm["<b id='T1021'>リモートサービス</b><br/><b>アクション</b>: キーボード操作の活動<br/><b>ツール</b>: RemotePC RMM<br/><b>説明</b>: 環境内の移動を促進"] class lat_move_rmm lateral_movement %% 収集とデータ流出 coll_data["<b id='T1213'>情報リポジトリからデータ</b><br/><b>アクション</b>: 大規模データ収集<br/><b>詳細</b>: Standard Bankから約1.2 TBが収集"] class coll_data collection exfil_leak["<b id='T1041'>C2チャンネルを通じたデータ流出</b><br/><b>アクション</b>: 専用流出ポータルを介した二重恐喝<br/><b>説明</b>: 盗まれたデータを外部ポータルへ移動"] class exfil_leak collection %% インパクト impact_enc["<b id='T1486'>インパクトのためのデータ暗号化</b><br/><b>マルウェア</b>: servertool.exe<br/><b>タイプ</b>: Goベースのエンクリプタ<br/><b>メソッド</b>: 再帰的ChaCha20-Poly1305暗号化<br/><b>拡張子</b>: .prinzeugen"] class impact_enc impact %% 防御回避 evasion_mem["<b id='T1027'>難読化されたファイルまたは情報</b><br/><b>アクション</b>: アンチフォレンジックメモリへのワイプ<br/><b>説明</b>: ハードコーディングされた暗号化キーをゼロにし、ガーベッジコレクタを実行"] class evasion_mem evasion evasion_del["<b id='T1070.004'>インジケータ削除: ファイル削除</b><br/><b>アクション</b>: cmd.exeでの自己削除<br/><b>テクニック</b>: ファイルをディスクから確実に削除するためのpingディレイトリック"] class evasion_del evasion %% 接続 access_rdp –>|させる| exec_chrome exec_chrome –>|トリガー| persist_user persist_user –>|有効化| priv_esc_rmm priv_esc_rmm –>|助ける| lat_move_rmm lat_move_rmm –>|させる| coll_data coll_data –>|させる| exfil_leak coll_data –>|させる| impact_enc impact_enc –>|トリガー| evasion_mem impact_enc –>|トリガー| evasion_del "

攻撃フロー

シミュレーション実行

前提: テレメトリーおよびベースラインの事前チェックが合格している必要があります。

理論的根拠: このセクションは敵対者の技術(TTP)の正確な実行を詳細に記述し、検出ルールを発動させるために設計されています。コマンドと語りは、識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診につながります。

  • 攻撃シナリオとコマンド: 敵対者はPrinz Eugenランサムウェアを展開しました。影響を最大化し、フォレンジックフットプリントを最小化するため、マルウェアは暗号化後に元のファイルを削除するように設定されています。 --delete フラグを使用します。自己削除中にファイルが「使用中」とならないようにするため、マルウェアは ping によって一時的な遅延を生成するためにコマンドシェルを呼び出した後、自らのバイナリに対して del によるコマンドの実行を行います。この特定の命令ソス servertool --deletecmd.exe /C ping -n 2 > nul & del /F /Q を組み合わせた特有の手順こそが我々がシミュレートしている主要なインジケータであります。

  • 回帰テストスクリプト:

    # Prinz Eugenランサムウェアコマンドライン動作のシミュレーション
# このスクリプトは検出ルールによって期待される正確なコマンド文字列をシミュレートします。

# 1. マルウェアを表すダミーの'servertool.exe'を作成
$dummyExe = "$env:TEMPservertool.exe"
New-Item -Path $dummyExe -ItemType File -Force

# 2. 指定されたコマンドライン引数でランサムウェアをシミュレートして実行
# 注: 実際の環境では、これは実際のプロセス実行になります。
# Start-Processを使用してターゲットコマンドラインを持つ新しいプロセスの作成をシミュレートします。

$ransomwareCommand = "servertool --delete"
$selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`""

Write-Host "ランサムウェアプロセスの生成をシミュレート..."

# プロセス生成イベントをシミュレートし、検出をトリガー
# 我々はcmdを呼び出して正確な文字列パターンを模倣
Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`""

  • クリーンアップコマンド:

    # シミュレーションアーティファクトのクリーンアップ
Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加