執筆/投稿者:Warren Mercer
、Edmund Brumaghin
サマリー
これまで登場した暗号化ファイルの拡張子には、.locky、.odin、そして .zepto がありましたが、最悪なことに .shit を暗号化ファイル拡張子として使用する Locky が登場しました。最新のスパムの波において、Talos は最新バージョンの Locky ランサムウェア を配布する 3 つのスパム キャンペーンを確認しました。これが確認される約 2 週間前まで、Locky に目立った活動はありませんでしいた。Talos が以前リリースした LockyDump ユーティリティを使用することで、マルウェア キャンペーンの特性に明らかな違いがあることがわかりました。各キャンペーンは、配布する Locky のバイナリに Affiliate ID を関連付けると考えられています。
Locky ランサムウェア ファミリ自体に関連する技術的な詳細は、全体に及んで文書化および報告されているため、ここではランサムウェア ファミリ自体の詳細な技術分析には触れません。この投稿では、各キャンペーンで確認した個別の特徴に注目していきます。また、この投稿の最後に、すべての侵害の痕跡(IOC)を記載します。
キャンペーンの詳細
キャンペーン 1:「Receipt XXX-XXX」スパム(Affil ID = 3)
このキャンペーンは、今朝(2016 年 10 月 24日)初めて確認され、悪意のある .HTA ファイルをマルウェア ダウンローダとして悪用するメールが送信されました。このメールは領収書が添付されていると伝えることで、受信者がメッセージを開くように仕向けます。このキャンペーンに関連付けられているメールは、件名に「Receipt XXX-XXX(領収書 XXX-XXX)」を使用しており、XXX には数列が表示されていました。これらの HTA ファイルは「Receipt XXX-XXX.zip」というファイル名で .ZIP ファイルにカプセル化されています。.HTA ファイルは「Receipt XXXXX-XXXXXX.hta」という名前が付けられており、このファイルを開くと、実際の Locky ランサムウェアをダウンロードするマルウェア ダウンローダとして機能します。
大変興味深いことに、.HTA ダウンローダで使用されている難読化には、「PUMPKIN」という言葉に基づいた変数が繰り返し使用されています。Talos が分析したサンプルの中だけでも、37 個の個別のインスタンスで「PUMPKIN」が見つかりました。ハロウィンが近付いていることを思うと、なんともタイムリーな言葉です。
図 A:HTAダウンローダで表示される「PUMPKIN」の文字
このキャンペーンのサンプルに対して LockyDump を実行すると、次の情報が返されます。:
図 B:サンプルに対する LockyDump の出力
Talos はこのスパム キャンペーンから、合計 13,384 件のメールを確認しました。このキャンペーンは、以下を含む 210 種類あるサンプルの一部です。
キャンペーン 2:「saved_letter_XXXXXXXX」スパム(Affil ID = 1)
Talos は、Locky ダウンローダを配布する別のスパム キャンペーンも確認しています。これは、ランサムウェアをダウンロードするメカニズムとして JavaScript(.JS)を利用しています。このキャンペーンの件数は比較的少なく、ユーザに添付ファイルを実行させる方法として件名に「苦情レター」という言葉が含まれていました。率直に言いましょう。誰も苦情を受けたくはありません。したがって、受信者の多くは言いなりになって素早い対応を取るかもしれません。Talos は 3 時間の間に、このスパム キャンペーンから 3,748 件のメールを確認しました。これらのメールの件名は「Complaint letter(苦情レター)」となっており、メールには「saved_letter_XXXXXXXXX.zip」という名前(「X」は 9 個の 16 進数の文字列)の ZIP ファイルが添付されており、添付の ZIP ファイルには、「saved letter XXXXXX.js」という名前(「X」は 5 ~ 8 個の 16 進数の文字列)の JS マルウェア ダウンローダが含まれていました。Talos は、3,748 件のメールから 388 種類のサンプルを検出しました。
図 C:「苦情レター」メールのメッセージ サンプル
キャンペーン 3:「Free」という名の多様なスパム(Affil ID = 3)
前述の 2 つのキャンペーンに加えて、少量ではあるものの、WSF ベースのマルウェア ダウンローダを使用するさまざまなスパム メッセージを確認しました。これ自体は新しいことではありません。Locky は 2016 年 2 月の活動開始依頼、JS ファイルも WSF ファイルも頻繁に使用しています。興味深いことに、154 件のメールがこのキャンペーンに関連付けられており、133 件のメールはフランス語を使用するユーザを標的としていました。それらのメールは、フランスのテレビおよびメディア プロバイダーである「Free」社から送らているように巧みに作り込まれていました。さらに、これらのメールは「Free」社からの請求書を装っていました。Talos は、このキャンペーンに関連付けられた 42 個の固有のハッシュを特定しました。このメッセージの本文には、「XX.XX ユーロの請求書が添付されている」ことを伝える文章が記載されています。この金額は Talos が分析したすべてのメールで異なっていました。
図 D:「Free」のメール メッセージ サンプル
Talos が確認したメールのうちの残りの少数派メールでは、以下のようなさまざまな「配信エラー」または「通知リクエスト」の内容が装われていることが確認されました。
件名: We could not deliver your parcel, #000990048(小包をお届けすることができませんでした。#000990048)
件名: Unable to deliver your item, #0000248834(商品をお届けできません。#0000248834)
件名: Problem with parcel shipping, ID:00480186(小包の配送に問題が発生しました。ID:00480186)
これらはすべて、.WSF マルウェア ダウンローダを含む .ZIP ファイルを添付するという通常の Locky 配布手法に従っています。一部のインスタンスで添付ファイルが破損していることから、Talos ではこの 3 つ目のキャンペーンは小規模のテスト キャンペーンであると考えています。「Free」スパム キャンペーン以外のメールでは、添付されていたすべての .ZIP ファイルが破損していました。「.doc.wsf」のようにファイルに拡張子が 2 つ付いていたため、ファイルが無効になっていたのです。Locky ダウンローダを配布するスパム キャンペーンで、添付ファイルがこれほど高い確率で破損しているケースは稀です。
Locky の変更
こうしたスパム キャンペーンによって配布されている Locky ランサムウェアの新しいバージョンには、操作方法にいくつかの重要な変更が加えられています。Talos が確認した重要な変更は以下の通りです。
- C2 で使用される URL パスが /linuxsucks.php に変更された
- ファイルを暗号化する際に使用するファイル拡張子が「.shit」に変更された
- 身代金要求メッセージが含まれるファイルの名前が「_WHAT_is.html」に変更された
侵入の痕跡
キャンペーン 1:
このキャンペーンの 210 個のサンプル ハッシュをすべてこちらで公開しています。
キャンペーン 2:
このキャンペーンの 388 個のサンプル ハッシュをすべてこちらで公開しています。
キャンペーン 3:
このキャンペーンの 42 個のサンプル ハッシュをすべてこちらで公開しています。
C2 ドメイン:
Talos が確認した配布サーバの一覧をこちらで公開しています。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
CWS や WSA の Web スキャンは、悪意のある Web サイトへのアクセスを阻止し、それらの攻撃に使用されるマルウェアを検出します。
IPS のネットワーク セキュリティ保護や NGFW には、攻撃者による不正なネットワーク アクティビティを検出できる最新のシグネチャが備わっています。
ESA は、攻撃活動の一環として攻撃者が送信した悪意のある電子メールをブロックできます。
本稿は 2016年10月24日に Talos Group
Authors