Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

ユーザのログイン情報を漏えいさせる Masslogger キャンペーン


2021年3月13日

ニュースの概要

  • 防御技術が発展すると、ターゲットに対する攻撃は難しくなります。攻撃者は攻撃を成功させるために独創的な方法を見つける必要があります。
  • Cisco Talos は最近、トロイの木馬「Masslogger」の亜種を利用した攻撃を発見しました。この亜種は、Microsoft Outlook、Google Chrome、インスタントメッセンジャーなどの複数のソースからユーザのログイン情報を盗むように設計されています。
  • 攻撃の第 1 段階で電子メールの添付ファイルを使用しますが、それ以外一切ファイルを使わず、揮発性メモリ内のみですべての攻撃ステージが進行します。
  • Masslogger のキャンペーンでは、MITRE ATT&CK フレームワークpopup_iconのさまざまな手口が使用されています。特に注目に値するのは、フィッシング(T1566popup_icon)、コマンドとスクリプトインタープリタ(001popup_iconT1059.007popup_icon)、ファイルまたは情報の難読化解除/復号化(T1140popup_icon)、仮想化/サンドボックス回避(T1497popup_icon)、Web ブラウザのログイン情報(T1555.003popup_icon)、クリップボードのデータ(T1115popup_icon)、キーロギング(T1056.001popup_icon)、C2 以外の非暗号化/難読化プロトコルを使用したデータ漏えい(T1048.003popup_icon)です。

金銭的利益をもぎ取るための新しい手口が、次々と生み出されています。Cisco Talos は最近、Windows システムに影響を与える、トルコ、ラトビア、イタリアのユーザを標的とした興味深いキャンペーンを発見しました。同じ攻撃者による同様のキャンペーンが 2020 年 9 ~ 11 月に発生しましたが、このときはブルガリア、リトアニア、ハンガリー、エストニア、ルーマニア、スペインのユーザが狙われました。

フィッシングメールから始まり、最終的にはペイロードに至るマルチモジュラアプローチが攻撃に使用されています。このアプローチが採用された理由は検出回避にあると考えられますが、防御側がキルチェーンを破壊できることも多いため、弱点にもなり得ます。

最新情報

トロイの木馬「Masslogger」の動作については、すでに詳しい報告が出ています。今回の新しいキャンペーンで注目すべき点は、コンパイルされた HTML ファイル形式を使用して感染チェーンを開始するようになっていることです。このファイル形式は通常、Windows ヘルプファイルに使用されます。しかし、マルウェアのプロセスを起動するアクティブ スクリプト コンポーネント(今回の場合は JavaScript)を含めることも可能です。

仕組み

仕事に関係しているように見える、もっともらしい件名の電子メールメッセージから感染が始まります。電子メールには RAR ファイルが添付されていますが、やや見慣れない拡張子が付けられています。

通常の RAR ファイルの拡張子は .rar ですが、RAR 圧縮アーカイブはマルチボリュームアーカイブに分割することもできます。今回のケースでは、拡張子が「r00」の RAR ファイルが作成され、残りのファイルの拡張子は .chm になります。Masslogger キャンペーンでは、この命名方式が使用されています。おそらくファイル拡張子に基づいて電子メールの添付ファイルをブロックするプログラムをバイパスすることが目的だと思われます。

CHM ファイルはコンパイルされた HTML ファイルであり、アクティブな感染プロセスを開始するための JavaScript コードが埋め込まれた HTML ファイルを含んでいます。シンプルなシグネチャによる検出を回避するために、感染のすべてのステージが難読化されています。

第 2 段階は、PowerShell スクリプトです。最終的に難読化が解除されるとダウンローダとして機能し、メインの PowerShell ローダをダウンロードしてロードします。Masslogger ローダは、侵害された正規のホスト上でホストされていると思われます。アルファベット 1 文字と数字 1 つがファイル名に使用されていて、拡張子は .jpg です。たとえば「D9.jpg」などになります。

メインのペイロードは、トロイの木馬「Masslogger」の亜種です。ホームユーザやビジネスユーザをターゲットとして、さまざまなソースからユーザのログイン情報を取得して漏えいさせるよう設計されています。Masslogger はキーロガーとしても設定できますが、今回のキャンペーンではこの機能は無効となっています。

特徴

世間の注目はランサムウェア攻撃や大物狙いの攻撃、APT に集まっています。しかしクライムウェアを使った攻撃も依然として活発であり、ユーザのログイン情報が盗まれた場合は組織に甚大な損害が出る危険性があることを忘れてはなりません。闇サイトではこうしたログイン情報の価値が高いため、攻撃者は金銭目的で売却したり、他の攻撃で使用したりしています。

取得した IOC から、早ければ 2020 年 4 月に開始されていた以前のキャンペーンでは、他のペイロード(AgentTeslaFormbook、AsyncRAT など)が使用されていたものと Talos は判断しています。

技術概要

背景

Masslogger は .NET で記述されたスパイウェアプログラムで、ユーザのログイン情報を盗み出すことに特化しています。ほとんどの場合はブラウザからログイン情報を窃取しますが、一般的なメッセージング アプリケーションや電子メールクライアントから取得することもあります。2020 年 4 月にリリースされ、アンダーグラウンド フォーラムで手頃な価格で販売されており、いくつかのライセンスオプションがあります。

次のチャネルがデータ漏えいに使用されます。複数のチャネルが使用される場合もあります。

  • FTP(プレーンテキストで、デフォルトポートは 21):設定にユーザのログイン情報が含まれます。
  • HTTP:PHP ベースのコントロールパネルを使用します。
  • SMTP:使用するには、電子メールアドレス、サーバ、ログイン情報を指定する必要があります。

最終的な Masslogger ペイロードの機能については、他の研究者によってすでに説明されているpopup_iconため、詳しく説明しません。ここでは、感染経路と最終ステージがロードされるまでのメモリのみの感染チェーンを重点的に取り上げます。Masslogger のような販売されているスパイウェアの場合、各キャンペーンの背後に存在する個々の攻撃者を識別できるものは、感染チェーンと背景情報です。

Talos が追跡している感染チェーンはビジネスユーザに狙いを絞っているようで、電子メールが感染経路になっています。電子メールには、コンパイルされた HTML(.chm)ファイルを含む RAR ファイルが添付されています。その他の感染チェーンは、JavaScript、PowerShell、.NET を使用するものに分かれています。

感染経路として使用される電子メール

最新のキャンペーンは 1 月中旬に開始されました。検出された電子メールとファイル名の組み合わせから判断すると、トルコ、ラトビア、イタリアの組織をターゲットにしていたと考えられます。以前にも同様のキャンペーンが複数回発生していることが確認されています。2020 年 9 月には攻撃が開始されていました。過去のキャンペーンで狙われたのは、ブルガリア、リトアニア、ハンガリー、エストニア、ルーマニア、スペインのユーザです。

2020 9 月以降に観測された Masslogger キャンペーンでターゲットになったヨーロッパ諸国

電子メールは、トップレベルドメインを使用して、標的となった受信者の言語で表示されます。最初の例は、トルコのユーザをターゲットとした電子メールです。件名は「国内のお客様からの問い合わせ」、本文は「お客様からご要望があったので、添付の件について、見積書を送ってください」となっています。

トルコのユーザをターゲットにした電子メールキャンペーンの例

過去のキャンペーンでは、覚書を開いて署名するように求める内容だったこともあります。もっともらしく見せかけるために、電子メールのフッターに「Shipped with Genius Scan for iOS」と記載し、正規のスキャンアプリケーションへのリンクを追加していました。

9 ~ 11 月のキャンペーンでは、「覚書について」という件名で、本文には「署名捺印の上返送してください。よろしくお願いします」と書かれた電子メールが送信されました。

スペインのユーザをターゲットにした過去のキャンペーンの電子メールの例

ブルガリアのユーザをターゲットにした過去の電子メールの例

最新のキャンペーンの添付ファイル名は電子メールの件名に基づいて選択され、あり得そうなランダムな文字列が先頭に追加されています(例:「70727_YK90054_Teknik_Cizimler」)。デフォルトの拡張子である「.rar」が付いた添付ファイルをブロックしようとする簡易なブロッカーをバイパスできる拡張子がファイル名に使用されています。ファイル名の拡張子は、「.r00」から始まる RAR マルチボリュームファイルの拡張子に変更されています。WinRAR などの RAR 対応の解凍ソフトを使えば、問題なくファイルを開くことができます。

添付されている RAR アーカイブには、ファイル拡張子が「.chm」のファイルが 1 つ含まれています。CHM とは「コンパイルされた HTML ファイル」のことで、Windows のヘルプファイルのデフォルト形式の 1 つです。コンパイルされた HTML ファイルは、Windows HTML Help の実行可能プログラム hh.exe を使用して簡単に作成できます。コマンドラインオプション「-decompile」を指定して同プログラムを使用すれば、埋め込まれた圧縮 HTML ファイルが抽出されます。

ユーザがデフォルトのアプリケーションで添付ファイルを開くと、「Customer service、Please Wait…」というテキストが書かれたシンプルな HTML ページが表示されます。

添付された .chm ファイルを開いたときに表示される HTML ページ

CHM ファイルを逆コンパイルして HTML ファイルを抽出すると、簡単に難読化された JavaScript コードが含まれており、HTML ページが作成されます。HTML コンテンツはエスケープされて元に戻されるため、難読化の解除は難しくありません。

逆コンパイルされた HTML ファイル内の難読化された JavaScript コード

HTML コードには、CHM ファイルの JavaScript コードの文字列と同様の方法で難読化された PowerShell コードを含む ActiveX オブジェクトが含まれています。

ActiveX オブジェクトが埋め込まれた HTML ページと PowerShell コード

難読化を解除すると、PowerShell ダウンローダステージが見つかります。この段階では、ダウンロードサーバへの接続だけが実行されます。通常は、侵害された正規のホストがダウンロードサーバとして使用されています。感染の次のステージをホストするのがダウンロードサーバです。

PowerShell ダウンローダステージ

感染の次のステージのダウンロード元である URL の末尾は、[アルファベット 1 文字][1 〜 2 桁の数字].jpg という形式です(例:hxxp://sinetcol[.]co/D7.jpg)。このステージは、単純な 16 進数のエンコーディング方式でエンコードされています。まず、ダウンロードしたコンテンツを区切り文字「^」を使用して分割し、各数値の ASCII 表現を文字列変数に追加することで、コードに変換されます。最終的に、PowerShell コードを含む文字列が Invoke-Expression(IEX)コマンドレットにパイプ処理されます。これが PowerShell ローダです。

エンコードされた Powershell ローダ

PowerShell ローダには、エンコードされた .NET アセンブリが 2 つ含まれています。1 つは DLL で、もう 1 つは実行可能ファイルです。

ローダの DLL と最終的な Masslogger ペイロード

PowerShell ローダの起動

PowerShell ローダはまず .NET DLL をデコードし、文字列「System.AppDomain」の難読化を解除して、メソッド「GetCurrentDomain」への参照を取得します。次に、Masslogger ローダを格納するバイト配列を作成してから GetCurrentDomain 関数を呼び出し、実行コンテキストとスクリプトが実行されているプロセスを取得します。

取得したドメインを使用して、.NET DLL アセンブリを powershell.exe プロセス空間にロードします。アセンブリ名は「Waves.dll」とします。Waves では、ILMergepopup_icon に代わるオープンソースのリフレクション アセンブリ ローダである Costura ローダが採用されています。DotNetGuard 難読化ツールで難読化されているため、分析と検出がいっそう困難になっています。

Waves が .NET アセンブリとしてロードされると、PowerShell ローダ は msbuild.exe プロセスを作成するメソッドを呼び出し、最終的なペイロードをプロセス空間に挿入して起動します。

デコード後、DLL ローダアセンブリが作成され、ロードされます。

Masslogger ペイロードは、gzip 圧縮されたバッファとしてメモリに保存されます。バッファは DLL ローダによって解凍されます。ペイロードの内部アセンブリ名は「service-med-star.gr」です。ユーザ名と FTP のログイン情報の取得に使用するサーバ名が連結されています。

Masslogger はログイン情報を窃取するマルウェアであり、キーロガーです。SMTP、FTP、HTTP プロトコルを介してデータを漏えいさせる機能が備わっています。SMTP と FTP の場合は追加のサーバ側コンポーネントを必要としません。HTTP 経由でデータを漏えいさせる場合は、Masslogger のコントロールパネルである Web アプリケーションが使用されます。

今回のバージョンの Masslogger には、以下のアプリケーションのログイン情報を狙って取得する機能があります。

  • Pidgin メッセンジャークライアント
  • FileZilla FTP クライアント
  • Discord
  • NordVPN
  • Outlook
  • FoxMail
  • Thunderbird
  • FireFox
  • QQ ブラウザ
  • Chromium ベースのブラウザ(Chrome、Chromium、Edge、Opera、Brave)

ペイロードの設定は、暗号化された文字列の配列としてペイロード自体に保存されています。設定は暗号化されていて、未確認の難読化ツールを用いてペイロードが難読化されていますが、Mario Henkel 氏が以前公開した記事popup_iconにあるとおり、設定の復号化に使用するコードを見つけることは可能です。

標準的な .NET フレームワーク機能を使用して設定を復号化できます。System.Security.Cryptography.AesCryptoServiceProvider メソッドの先頭にブレークポイントを配置し、ペイロード本文内の設定復号化関数に戻り、各設定文字列が復号化された後に呼び出し元に返される値をトレースできます。

ペイロード設定を復号化するために配置したブレークポイント

復号化された設定が Masslogger で解析されるとトロイの木馬として機能するようになり、特定のアプリケーション群をターゲットとして情報を窃取します。今回確認した Masslogger のバージョンは 3.0.7563.31381 で、FTP 経由でデータを漏えいするケースです。med-star.gr という名前の FTP がデータ漏えいに使用されています。

このペイロードは FTP を使用するように設定されていますが、同じサーバには Masslogger のコントロールパネルを使用するバージョンがインストールされています。この URL は hxxps://www[.]med-star[.]gr/panel/?/login です。

Masslogger コントロールパネルのログイン画面

復号化された Masslogger 設定の文字列

標的となったアプリケーションから取得されたログイン情報は、データ漏えいに使用するサーバにアップロードされます。このときのファイル名には、ユーザ名、2 文字の国別 ID、一意のマシン ID、ファイル作成時のタイムスタンプが含まれています。

アップロードされるログイン情報ファイルの冒頭には、ユーザと感染したシステム、設定オプション、実行中のプロセスに関する情報が記述されています。その後、取得されたログイン情報が行ごとにリストされていて、各行には標的となったアプリケーション名も記載されています。

窃取後にアップロードされたログイン情報ファイルの冒頭

まとめ

最近発見した Masslogger キャンペーンについて、Talos は同様のログイン情報窃盗キャンペーンを展開している攻撃者が関与していると考えています。このキャンペーンが始まったのは 2020 年 9 月です。また、それより前の 2020 年 4 月に、同様の目的で AgentTesla を使用したグループなのではないかと推測しています。ヨーロッパの数か国がキャンペーンのターゲットになっていて、重点的に攻撃する国を月ごとに変えています。Talos の調査では、トルコ、ラトビア、リトアニア、ブルガリア、ハンガリー、エストニア、ルーマニア、イタリア、スペインを標的とした電子メールメッセージのほか、英語で書かれたメッセージも確認されました。

Masslogger キャンペーンモジュール

観察されたキャンペーンはほぼ完全にメモリ内のみで実行され、存在するのもメモリ内のみです。よって、定期的にバックグラウンドのメモリスキャンを実行することが重要なのは明らかです。ディスク上にある唯一のコンポーネントは、添付ファイルとコンパイルされた HTML ヘルプファイルです。

モジュールのロードや実行されたスクリプトブロックのような PowerShell イベントを記録するようシステムを設定することをお勧めします。そうしておけば、難読化されていない形式で実行コードを確認できます。Talos は同様のキャンペーンを引き続き追跡し、Cisco Secure 製品に適切な保護機能を確実に搭載できるようにしていきます。

カバレッジ

お客様がこの脅威を検出してブロックするための方法を以下に記載します。Advanced Malware Protection(AMP)は、これらの攻撃者がマルウェアを実行できないようにするための最適な方法です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。

Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISRMeraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。

AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。

Umbrellapopup_icon(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。

OSquery

Cisco AMP ユーザは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが MedusaLocker などの脅威に感染しているかどうかを確認できます。この脅威に関する特定の OSquery については、https://github.com/Cisco-Talos/osquery_queries/blob/master/win_forensics/potential_compiled_HTML_abuse.yamlpopup_icon
をクリックしてください。

IOC

URL

hxxp://sinetcol[.]co/A7.jpg – 1 月
hxxp://sinetcol[.]co/D7.jpg – 1 月
hxxp://becasmedikal[.]com.tr/A5.jpg – 1 月
hxxp://risu[.]fi/D9.jpg – 11 月

hxxp://topometria[.]com.cy/A12.jpg – 9 月
hxxp://bouinteriorismo[.]com/R9.jpg – 11 月
hxxp://optovision[.]gr/4B.jpg – 10 月
hxxp://hotelaretes[.]gr/V8.jpg – 10 月
hxxp://jetfleet24[.]com/T5.jpg – 10 月
hxxps://www.med-star[.]gr/panel/?/login – C2 パネル
fxp://med-star[.]gr – データ漏えいに使用する FTP

電子メールメッセージ

54ca02b013e898be2606f964bc0946430a276de9ef478596a1d33cb6f806db8c
516d45fcbdbdc4526bdd0f6979fe3ad929b82e1fd31247c7891528703ac16131
1c0a17a11a4b64dbe6082be807309a3c447b4861ea56155c1bfcf4d072746d38
7c92e1befd1cc5fa4a253716ac8441f6e29a351b7e449d3b8ef171cb6181db8e
83c64bf1c919c5e6ce25633d0eff2b7cda5b93a210b60372d984f862933e0b4e
e2c3ad4bedf9e6d1122d418e97dfb743b1559a5af99befabed5bb7c6164028a8
8129a86056aa28f2af87110bb25732b14b77f18a7c820d9bcf1adcd2c7d97a7a

初期スクリプト

742b9912f329c05296e2f837555dceea0ae3e06e80aa178a9127692d25e21479:2020 年 9 月、Windows バッチファイル
04910322c2e91d58e9ed3c5bcc3a18be1ba1b5582153184d1f5da3d9c42bac15:2021 年 1 月、CHM ファイル
aac62b80b790d96882b4b747a8ed592f45b39ceadd9864948bb391f3f41d7f9f:2021 年 1 月、CHM ファイル
f946e1c690fc2125af4ad7d3d1b93c6af218a82d55a11a5a6ee5a9b04a763e7f:2021 年 1 月、CHM ファイル
9cd7622ade7408c03e0c966738f51f74f884fbafdf3fe97edf4be374a7fb1d77:2020 年 11 月、CHM ファイル
5415bcc4bffa5191a1fac3ce3b11c46335d19f053f5d9d51a10f4ed77393ed82:2020 年 10 月、CHM ファイル

ダウンロードされた難読化済み PowerShell ローダ

0eef444f062ea06340ca7ef300cb39c44a6cdf7ead2732bb885d79f098991cb8
df929834de2b10efaa8b2cb67c71ae98508cfb79f22213ee24aedc38a962ccb5

DLL ローダ

49fc4103d8747de341b9d3cd08f05c83f2e6943215df6939d02c7c3099345343
39dbe72ea847012243e4642d766fd4cf6fe138302cbfba67c65088b2cdefc1f4
a16fa0a14f0d20b66af550e3cdb0b60f8ffb965415404df6cc8164e62dfbe124
da256158ac0d7dc031b2541f9b7486d9822a402b6e9c5176c2ec2ed717592fbf

Masslogger ペイロード

2487b12f52b803f5d38b3bb9388b039bf4f58c4b5d192d50da5fa047e9db828b

 

本稿は 2021 年 02 月 17 日に Talos Grouppopup_icon のブログに投稿された「Masslogger campaigns exfiltrates user credentialspopup_icon」の抄訳です。

 

 

Tags:
コメントを書く