脅威サマリー
- マルウェアファミリ「Valak」が、主に企業を標的にして世界中で勢いを上げながら拡散中。
- Valak は電子メールアカウントに侵入して既存のメールスレッドを利用するため、攻撃の成功率が大幅に高いことが特徴。
- セキュリティソフトの盲点を突くため、パスワードで保護された ZIP ファイルを使用。
- 過去数ヵ月の主な標的は、金融、製造、医療、保険の各業界。
エグゼクティブサマリー
Valak は、2019 年初期から中期にかけて世界中で配信された、モジュラ型の情報窃取マルウェアです。Valak は強力な機能セットを備えているほか、Gozi/Ursnif や IcedID などの二次的なペイロードと併用されるケースが多くあります。主な配信手段はスパムメールです。パスワードで保護された ZIP アーカイブを利用するため、社内ネットワークが受け取った電子メールの内容を検査する電子メールセキュリティ対策では検出されない事態が相次いでいます。これまでの分析では米国とドイツを狙った攻撃に焦点が当てられていましたが、今や北米、南米、欧州などの地域も狙われていることを確認しています。Valak の別の特徴は、既存の電子メールスレッドに侵入して攻撃メールやダウンローダを送り付けることです。これにより信頼性を高め、標的が添付ファイルを開いて Valak に感染する可能性を引き上げているのです。
最近の変化:
Valak は比較的新しい情報窃取マルウェアで、ここ数ヵ月で大きく感染が増加しています。(侵入に成功したアカウントの)メールスレッドと、パスワードで保護された ZIP ファイルを利用する点が特徴です。調査によると主な標的は企業で、動機は金銭目的です。
仕組み:
Valak はマルスパム攻撃を通じて配布されています。Valak の特徴は、侵入先のアカウントで電子メールスレッドを次から次へと使用することです。標的(受信者)との既存のメールスレッドに返信することで、攻撃の成功率を大幅に向上させています。また、電子メールの添付ファイルはパスワードで保護されているため、コンテンツの分析や検査の網をかいくぐってユーザに届いてしまうのです。
特徴:
Talos が分析した攻撃は、エネルギー、医療、金融、製造、保険などの業界で大手をターゲットにしています。それらの業界に属している場合、既存の電子メールスレッドが乗っ取られる危険性について、よく認識しておくべきです。また、パスワードで保護されたファイルが添付された電子メールをポリシーで除外していない場合は、対応方法の見直しも不可欠です。スパムメッセージの検出・ブロック能力をいくら改善し続けても、電子メールスレッドのハイジャックといった新たなアプローチで攻撃者が先手を打ってくるのです。
マルスパム攻撃
Talos が確認した限り、Valak の攻撃メールの大半は、既存の電子メールスレッド内で返信メッセージとして送信されています。最後にやり取りがあってから数年経つスレッドが利用されたケースもあります。電子メールの文面は、添付された ZIP アーカイブを開くように促すものです。アーカイブを解凍するためのパスワードも記載されています。
Talos の分析では、注目すべきパターンがいくつか特定されています。特筆すべき点は、Valak が標的を選別する方法です。調査により判明した Valak の標的は、金融、製造、保険、運輸の各業界です。さまざまな送信元からマルスパムが複数回送信されていたケースもあります。以下に電子メールの例を示します。侵入された電子メールスレッドが使用されているため、関係者全員のプライバシーを保護する観点から内容は大幅に編集されています。
狙われた金融機関
最初の例では、標的のの金融機関 1 社に 1 週間に渡って送信された複数の電子メールを見ていきます。パスワードの流出や詐取などで侵入に成功した電子メールスレッドから、標的の企業にメールを返信するという手口が使われています。以下は、標的の金融機関に送
早朝に届いた上の攻撃メールは、数ヵ月前となる 2 月下旬の電子メールに対する返信でした。注目すべきなのは、簡素な本文と、パスワードで保護された ZIP 形式の添付ファイルです。この種の攻撃としては多分に漏れず、電子メールの署名も添付されています。数時間後、複数の電子メールが送信されていますが、いずれの送信元も侵入された同じアカウントです。各メールは個別(各受信者に 1 通)に送信されています。これはよく見られる別の特徴です。元の電子メールスレッドで多くのユーザがやり取りしている場合、全員に返信したり、1 通のメールを複数の相手に送信したりせず、1 人のユーザに 1 通ずつ送信しているのです。
2 番目の電子メールは先の文面と似ていますが、注目すべき違いはその日付にあります。最後にメールが送られたのが 2018 年 3 月下旬という、2 年以上も前のスレッドに割り込んでいます。これこそ、標的に侵入しようと決意を固めた攻撃者が侵入先の電子メールアカウントを徹底的に利用していることを示す、最初の証拠だと言えます。侵入された日は、電子メールアカウントから引っ切りなしに攻撃メールが送られていました。
3 番目の攻撃メールも、会話の相手が標的の金融機関であるという理由から、2017 年 12 月という古いスレッドに割り込んでいます。
同じアカウントから最後に送られた攻撃メールは、2018 年 3 月のスレッドに割り込んでいます。アカウントは不動産関連で使われていたので、電子メールの内容は不動産や融資に関する情報から、同僚間での会話に至るまで多岐にわたりました。Valak の成功率が高いのは、同僚や知人間の既存の電子メールスレッドを利用して攻撃メールを送り付けるからです。このように手口をわずかに工夫するだけで、成功率は大幅に高まります。しかも添付の ZIP ファイルをパスワードで保護することで、多くの電子メールセキュリティを回避し、標的の受信トレイに届く可能性を高めています。
銀行を狙うために侵入され、利用された電子メールアカウントは他にもありました。事実、同じ日の後の時間帯に、他の電子メールアカウントからも複数の攻撃メールが配信されたのです。第 2 派とも言えるこれらの攻撃メールからは、利用する電子メールスレッドの文面までは気に掛けない攻撃者の姿が浮かび上がってきます。
上の攻撃メールは、受信者と別の誰かが LinkedIn 上でつながった際に送られた自動メールに挿入されています。先述の例で利用されていた電子メールスレッドと比べて、(標的は同じ金融機関であるとは言え)このケースは手口のお粗末さを印象づけています。
同日に送信された次の例は、別のアカウントから送信された、Valak に感染させるための攻撃メールです。利用されていたスレッドは宝くじの当選を知らせるもので、業務とは無関係です。相手を欺くには不向きのスレッドが利用されていたこれら 2 件の例からは、「下手な鉄砲も数撃ちゃ当たる」という攻撃者の姿勢が透けて見えます。手口の洗練度合いや、攻撃に向いたスレッドを選ぶといったことは眼中にないようです。
上記のアカウントから攻撃メールを配信した攻撃者でしたが、攻撃の手はまだ緩まりません。同じ週の後半には、別の被害者(IT コンサルタント)のアカウントからも攻撃メールを配信していました。
最後の例で使われたスレッドは、コンサルタントが関与している進行中の IT プロジェクトに関するものです。受信者を騙すために、これほど効果的な手段は他にないでしょう。
調査の結果、10 日間に 14 件の電子メールが、すべて異なるスレッドから送信されたことがわかりました。侵入された 8 件の電子メールアカウントが送信元で、トピックはさまざまです。ただしいずれのスレッドも会話の相手は標的(金融機関)です。
狙われた保険会社
Valak 攻撃で狙われたのは、金融機関だけではありません。別の標的は大手の保険会社で、幅広い手段が使われました。その手口の一つでは、法律事務所のアカウントに侵入し、以下のように裁判関連のスレッドに攻撃メールを挿入させています。
上の例では、州裁判所のシステムが自動生成した電子メールに返信しています。弁護士の電子メールアカウントを悪用することで成功率を高めようとしています。弁護士がクライアントや弁護士仲間、同僚にドキュメントを送信するのはよくあることだからです。
他にも、休暇中の宗教活動に関連する個人的なスレッドや、保険代理店と契約内容についてやり取りする個人的な電子メールさえ利用されています。以下に例を示します。保険代理店との電子メールが利用されたケースでは、8 件のアカウントから 20 通以上の電子メールが数週間にわたり送信されていました。このケースも、Valak の攻撃手口を浮き彫りにしています。
これらは、Valak の攻撃者によって悪用された電子メールメッセージのほんの一例です。ただし法律事務所のケースで注目すべき点は、侵入された法律事務所の電子メールアカウントが、他の法律事務所や企業への攻撃の足がかりとして使用されていたことです。こうした点は、少なくとも一部の攻撃メールで、長期に及ぶ組織的な犯罪が絡んでいる可能性を示唆しています
パスワードで保護された添付ファイルの使用
すべての Valak 攻撃で確認された共通点は、パスワードで保護された添付ファイルが使用されていることです。ただしこの手口は攻撃者にとって諸刃の剣だと言えます。添付ファイルをパスワードで暗号化することで多くの検出技術を回避できますが、有効性が低下する可能性もあるからです。ファイルを解凍するために組織内で転送された例や、社内の IT サポートに転送された事例さえも確認されています。ここで重要なポイントは 2 つあります。まず、標的企業の電子メールセキュリティを回避できていた点です。そして、パスワードで保護された添付ファイルを開けるだけの IT スキルを持ち合わせていない人もいる、という点です。IT スキルの低いユーザは攻撃に対して脆弱であり、パスワードで保護していなければ騙されていた可能性が高いでしょう。
ZIP ファイルのパスワードについては、Talos が確認した限り、多くのケースで同じものが使い回されています。標的の企業ごとにパスワードが設定されている傾向は確認されませんでした。
狙われた言語
ここまでの例では英語が使われていましたが、英語以外も使用されています。その一例が、以下のように運輸企業を狙ったドイツ語での攻撃です。
この攻撃における特徴は、利用されたスレッドの多くが英語だったのに、攻撃メッセージは常にドイツ語だった点です。そのため標的(受信者)の注目を集めた可能性があります。
ドイツ語だけでなくスペイン語の利用も確認されています。ただしこの場合、スレッドはスペイン語でしたが、以下のように攻撃メールの返信は英語でした。個人情報保護のため文面の大部分は隠されていますが、挨拶文からスレッドはスペイン語であることがわかります。
個人が狙われた痕跡
Talos が確認した限り、Valak の攻撃の大部分は企業を狙っていますが、個人の電子メールアカウントに対する攻撃の例も確認されています。しかも一部のケースでは、攻撃メールを潜り込ませるには不適切なスレッドが利用されていました。ここでのアプローチは、正確な署名ブロックを含む、あるいは関連性の高いスレッドに返信するといった、Valak の他の事例とは性質が異なっています。
その一例は、明らかに出会い系のスパムメールに対する返信です。スパムメールの文面は、悪意のあるメールアドレスにメッセージを送るよう受信者を騙そうとしています。しかし攻撃者は平然と返信しています。攻撃者が使用している自動化機能に問題があることがわかります。
別の不可解なケースでは、薬剤関連を装っていることが明らかで、正規のものとはまったく思えないスパムメールのスレッドに返信しています。
明らかなスパムメッセージに返信している事例は他にも確認されています。ただし全体的な割合としては、大企業を狙ったケースに比べてごくわずかです。
これまでの事例から、2 種類の攻撃が浮かび上がってきます。1 つは特定の組織を狙ったもので、複数のアカウントから大量のメッセージを送り付けています。別の種類では、スレッドの送信先を考慮に入れず、見つけたスレッドに手当たり次第、攻撃メールを差し込んでいます。
最初の感染プロセス
前述のように、Valak の攻撃メールにはパスワードで保護された ZIP アーカイブが添付されています。添付ファイルを暗号化すれば、コンテンツを検査・検出するセキュリティソフトウェアを回避できるからです。また、ZIP アーカイブを復号するにはユーザの操作が必要なため、サンドボックスなどの自動分析環境を回避することも可能です。
ZIP アーカイブには、Microsoft Word ドキュメントが含まれています。ユーザーがこのドキュメントを開くと、Valak の感染プロセスが始まります。Talos が分析したドキュメントの大半は、以下のような偽の情報を記載しています。その内容はマクロを有効にするよう指示するもので、複数の言語に翻訳されています。
マクロを有効にすると、組み込み VBA マクロがダウンローダとして機能し、Valak の一部となる DLL を取得して実行します。
悪意のある DLL を取得する URL は難読化されています。
上記のコードには、悪意のある DLL をホストする URL と、DLL を保存するローカルストレージの場所が含まれています。
DLL は UrlDownloadToFileA によって、攻撃者が制御している Web サーバから取得されます。
取得された DLL は regsvr32.exe を使用して登録され、Valak 感染プロセスが開始されます。感染プロセスについては、こちらとこちらで詳述されています。Valak は強力な機能を備えた、継続的に進化するモジュラ型マルウェアファミリであり、狙った各地域で侵入に成功しています。過去数週間だけでも Valak の取得方法が繰り返し変更されたほか、後の感染プロセスで使用される設定ファイルの難読化レベルが上昇しています。最近では、感染プロセスの最初で使う Valak DLL を配信するために、侵入した CMS サーバも利用しているようです。その例を次に示します。
http://digifish3[.]com/blog/wp-content/themes/busify/_eWTFIH4ngoi2PJUl.php?x=MDAwMSBskYeC02Ql3VG8Ae9TVFHu6uY34q-zd5ISLrA1LlMNJ88yi_SVZUlkWiyyC9gmFThkFMVkHIlaI-DSlZPLLzSuvVgZWgWuujIh-VCBWg50AL-jKfRnl38NNw89_MLBalU19J9qyusiuA_X0pqC
これまでの分析では、感染プロセス自体に焦点を当ててきました。これからは、Valak の配信手段と C2 インフラについて解説します。
攻撃の分析
スパムの送信数と被害者
Talos が Valak を初めて確認できたのは 2020 年初旬です。その時点で複数のサンプルが取得されていますが、Valak のアクティビティはここ 2、3 ヵ月で爆発的に増加したようです。以下に示すように、5 月から 6 月初めにかけてのアクティビティが、Valak のアクティビティ全体の 95% を占めています。
Valak は大量のスパムメールを配信するタイプの攻撃ではありませんが、既存のスレッドに割り込むことで増殖を繰り返すという特徴を考えれば、図のような増加率も不思議ではありません。電子メールスレッドに侵入して、パスワードで保護された ZIP を送り付けるため、他の手口と比べて成功する可能性が高くなっています。
Valak の配信サーバ
Valak の配信インフラを分析したところ、新しい攻撃が開始される際に DNS が頻繁に更新されていることが判明しました。攻撃者のインフラ全体で悪意のあるドメインがどのように推移したかを追跡すべく、パッシブ DNS データを基に、最初の Valak DLL を標的に配信するためのサーバを分析しました。
分析の結果、Valak DLL を配信するサーバの大部分は、主にロシアとウクライナにある比較的限られたホスティングサービスを使っていることが判明しています。
Valak の C2 サーバ
Valak DLL を配信するインフラだけでなく、感染したシステムも C2 サーバと通信します。その目的は情報の転送や、実行する追加のモジュールや命令の取得などにあります。Talos が分析したところ、Valak の攻撃で使われている C2 インフラの多くは、他の攻撃と共通していました。さらに、複数の事例についてパッシブ DNS テレメトリを分析した結果、C2 を構成するシステムの一部は MyKings や Dark Cloud ボットネットの一部としても使われている可能性が浮上しました。ただし、これは偶然の一致である可能性もあります。
Valak DLL の配信に使用されたサーバの大部分は、比較的限られた地域に集中していましたが、ボットネットの管理に使用されていた C2 サーバは米国を中心として広い地域に分散しています。以下は、C2 に使用されたサーバの地域の全体像です。
Valak は比較的成功している攻撃だと言えるでしょう。その一因として、最初に送り付けられる添付ファイルに境界セキュリティでは対処できない点が考えられます。以下は、Valak 感染が疑われるシステムが C2 サーバと通信した際の DNS アクティビティを示すグラフです。C2 サーバを利用する攻撃が始まった直後に、感染したシステムがビーコンの送信を開始しています。図の C2 サーバは、感染したシステムが継続的に接続を確立するよう構成されています。そのため一定量の DNS トラフィックが発生し続けているのです。
まとめ
絶えず送信されるマルスパムの目標は、受信トレイに到達することです。マルスパムの検出でセキュリティ技術は絶えず進歩していますが、攻撃者も手を休めず戦術を進化させています。電子メールアカウントに侵入して利用する手口は、標的の受信トレイに到達する可能性を高めるだけでなく、標的が騙されてマルウェアをインストールする可能性さえも高めます。この傾向は今回の Valak や、以前の Emotet でも確認されています。
パスワードで保護された ZIP ファイルと組み合わせることで攻撃の成功率はさらに高まります。先述したように Valak の攻撃は今も続いています。関連する C2 トラフィックを見ると、攻撃は成功しているようです。こうした状況は、企業に難しい決断を迫っています。既存の電子メールスレッドが攻撃で利用された場合、電子メールがコンテンツに基づいてブロックされる可能性が低下します。しかも ZIP ファイルはパスワードで保護されているため、大半のスキャンが回避されます。つまり組織では、パスワードで保護されたファイルについて、電子メールで送信することを許可するか決定する必要があります。許可できるかどうかは、業種や企業によって異なるでしょう。
パスワードで保護されたファイルを電子メールで送信することを許可した場合、侵入を食い止める最後の砦はエンドポイントセキュリティになります。ネットワークでの暗号化や高度な(検出)回避手口が一般化しつつある最近では、エンドポイントセキュリティの重要性が日に日に高まっています。また、スレッド内で送信された電子メールを調べ、電子メールなどで受信したスキャン不能ファイルをすべて隔離できるようセキュリティ態勢を整える必要もあります。
カバレッジ
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者がマルウェアを実行できないようにするための最適な方法です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述の攻撃で使用されるマルウェアを検出します。
Cisco AMP ユーザは、Orbital Advanced Search を使用して複雑な osquery を実行し、エンドポイントが MedusaLocker などの脅威に感染しているかどうかを確認できます。類似の脅威に対応する osquery の具体例については、こちらをクリックしてください。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISR、Meraki MX などのネットワーク セキュリティ アプライアンス。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。今回の脅威を検出する目的でリリースされた SID は 54401 ~ 54404 です。
侵入の痕跡(IOC)
Valak による侵入の痕跡としては、以下が確認されています。
ハッシュ
Valak との関連性が確認されたファイルハッシュ(SHA256)のリストは、こちらをご覧ください。
ドメイン
Valak との関連性が確認されたドメインのリストは、こちらをご覧ください。
IP アドレス
Valak との関連性が確認された IP アドレスのリストは、こちらをご覧ください。
本稿は 2020 年 7 月 1 日に Talos Group のブログに投稿された「Threat Spotlight: Valak Slithers Its Way Into Manufacturing and Transportation Networks」の抄訳です。