SQUIRRELWAFFLE、スパム攻撃を通じて Qakbot、Cobalt Strike を配布
概要
最近、「SQUIRRELWAFFLE」と呼ばれる新しい脅威が広がっており、スパム攻撃を通じて新しいマルウェアローダを感染させています。このマルウェアファミリは勢力が拡大していて、今後スパム攻撃で最も猛威を振るう脅威になる可能性があります。
SQUIRRELWAFFLE はシステムとネットワーク環境を攻撃するための最初の足がかりを確立します。攻撃者はそれを利用してさらなる侵害やマルウェア感染の拡大を図り、金銭詐取につなげていこうとします。またこれらの攻撃では Qakbot などの他のマルウェアやペネトレーション テスト ツールである Cobalt Strike を配布してシステムに感染させることも多くなっています。今回の記事ではこの新しい脅威の仕組みと、発生している電子メール攻撃の量および特徴について説明します。この脅威は今後広く蔓延していく可能性があるので警戒が必要です。
電子メール攻撃
電子メールによる脅威は状況が絶えず変化しており、時とともに新しい脅威が出現し、既存の脅威が進化していきます。ここ数年は Emotet という脅威がスパム攻撃で配布されることが多く、何度か記事でも詳しく取り上げてきました。警察機関が Emotet ボットネットを停止に追い込みました
が、その空白を埋める脅威が現れると予想して Talos は警戒を続けていました。
2021 年 9 月中旬から、悪意のある Microsoft Office ドキュメントを配布するスパム攻撃が確認されるようになりました。このドキュメントは感染プロセスの最初の段階として機能し、SQUIRRELWAFFLE をシステムに感染させます。これらの攻撃では既存の電子メールスレッドへの返信を装って悪意のある電子メールが送り付けられます。これは Emotet などの過去の脅威と手口が似ており、電子メールスレッドを乗っ取る手法を使用していると思われます。下に示すように、電子メールにはハイパーリンクが含まれていて、攻撃者が管理する Web サーバーでホストされている悪意のある ZIP アーカイブにリンクしているのが一般的です。
返信メッセージの言語は元の電子メールスレッドの言語と一致しているのが一般的で、ローカライズを動的に行う仕組みがあるようです。電子メールの大半は英語ですが他の言語も使用されており、特定の地域だけを標的にした脅威ではないことが分かります。SQUIRRELWAFFLE を配布していることが確認された電子メール攻撃における使用言語トップ 5 は次のとおりです。
乗っ取る電子メールスレッドの選び方にやや一貫性がないことも、電子メールスレッドを乗っ取る他の脅威と共通しています。次の例では恐喝メールに返信しています。メール本文のコンテンツにアクセスするように受信者を誘い込めるとは思えません。
SQUIRRELWAFFLE が出現して以来、この脅威に関連する電子メール攻撃の活動が定常的に確認されています。次のグラフは 2021 年 9 月 1 日から 10 月 15 日までの攻撃量の推移を示しています。
Emotet などの過去の脅威と同じレベルの攻撃量にはまだ達していませんが、かなり一貫して推移しており、感染が広がりボットネットが拡大するにつれて増加する可能性があります。攻撃自体には、Emotet などの猛威を振るった脅威に関連する過去の攻撃に似た特徴がいくつか見られます。これらの攻撃は広がりを見せているため、SQUIRRELWAFFLE の存在を認識し、いったん感染すると企業ネットワークがさらに侵害される危険性があることを知っておく必要があります。
どの攻撃例でも、本文中のハイパーリンクにアクセスするように仕向ける電子メールが送り付けられます。リンクにアクセスすると悪意のある ZIP アーカイブがダウンロードされます。このアーカイブには悪意のある Microsoft Office ファイルが含まれており、このファイルによって以下で説明する感染プロセスが開始されます。
感染プロセス
受信したスパムメッセージに含まれているハイパーリンクにアクセスすると、悪意のある Office ドキュメントを含んだ ZIP アーカイブがダウンロードされます。このドキュメントは攻撃例によって異なりますが、どの事例でも Microsoft Word ドキュメントか Microsoft Excel スプレッドシートのいずれかです。これらのドキュメントには悪意のあるコードが含まれており、それによって次の段階のコンポーネントである SQUIRRELWAFFLE ペイロードが取得されて実行されます。
確認されたスパム攻撃全体における DOC と XLS の比率はほぼ同じでした。
確認されたどの攻撃でも、悪意のある ZIP アーカイブをホストしている配布 URL にはラテン語系の単語が含まれており、次の例に示すような URL 構造になっています。
abogados-en-medellin[.]com/odit-error/assumenda[.]zip
多くの場合、同じドメインの複数のディレクトリで別個の ZIP アーカイブが常時ホストされていることが確認されています。ZIP アーカイブに含まれている悪意のある Office ドキュメントは多くの場合、次の例に示すような命名規則に従っています。
chart-1187900052.xls diagram-127.doc diagram_1017101088.xls specification-1001661454.xls
これらの攻撃の開始以降、ドキュメントの機能にいくつかのバリエーションが確認されています。ここでは 9 月に確認された最も一般的な 2 つの感染チェーンについて説明します。この脅威は現在も進化を続けており、Talos が SQUIRRELWAFFLE を調査している間にほぼすべての配布攻撃が Microsoft Excel スプレッドシートを使用したものに変わったことが確認されています。
悪意のある Word ドキュメント
前述のように、初期の電子メール攻撃では悪意のある Office ドキュメントとして Microsoft Word ドキュメントが使用されることが多く、DocuSign に関連したドキュメントに見せかけられていました。DocuSign は広く利用されているドキュメント共有および署名プラットフォームであり、公的な取引に関連するさまざまな目的によく使用されています。
ドキュメントには悪意のあるマクロが含まれていて、標的がマクロを有効にすると SQUIRRELWAFFLE の感染プロセスが開始されます。このマクロは AutoOpen() で、マクロ関数を参照しており、そのマクロ関数に悪意のあるコードの大部分が含まれています。以下に分析サンプルで見つかった悪意のある関数の例を示します。
このコードで確認できるように、コードの内容を若干難読化するために文字列の反転が利用されています。このマクロは VBS スクリプトを %PROGRAMDATA% に書き込んでから実行します。悪意のあるスクリプトの内容は次のスクリーンショットのようになっています。
このスクリプトは、スクリプト内にハードコーディングされている 5 つの URL のいずれかから SQUIRRELWAFFLE ペイロードを取得します。この場合 SQUIRRELWAFFLE は悪意のある DLL として標的のシステムに配布され、rundll32.exe を使用して実行されます。
悪意のある Excel スプレッドシート
多くの攻撃で Word ドキュメントではなく悪意のある Excel スプレッドシートが使用されていることが確認されました。
このスプレッドシートには悪意のある Excel4 マクロが含まれており、そのマクロが SQUIRRELWAFFLE ペイロードを取得して実行します。以下にマクロの例を示します(読みやすいように整理しています)。
Word ドキュメントでの誘い込みと同様にこれらのマクロにはハードコーディングされた 3 つの URL が含まれており、それらの URL で SQUIRRELWAFFLE に関連する DLL がホストされています。取得された DLL は ShellExecuteA および regsvr32.exe を介して実行され、システムを感染させます。ZIP アーカイブと関連する不正ドキュメントは電子メールごとにローテーションされるので固有のサンプルが大量に存在します。しかし、SQUIRRELWAFFLE の配布 URL は 1 回の電子メール攻撃で収集されるサンプル間でかなり共通しているようです。
攻撃のタイムラインとバリエーション
攻撃で使用された最も古いファイルは、2021 年 9 月 10 日にマルウェアのパブリックリポジトリに送信されたと思われます。攻撃量は 2021 年 9 月 13 日に増加し始め、それ以降毎日スパム攻撃が確認されています。
攻撃を分析したところ、感染チェーンにいくつかの注目すべき特徴が確認されました。SQUIRRELWAFFLE を配布するサーバーの URL 構造は毎日の攻撃に何かしら関連付けられており、数日ごとにローテーションします。たとえば次の表は、URL のランディングページの数日間の変化を示しています。
同様に不正ドキュメントのマクロ自体も、マクロ関数名とハッシュが同時にローテーションします。以下の表に、初期のスパム攻撃の一部で確認された SQUIRREWAFFLE DLL ファイルを取得するためにマクロで使用されていたマクロ関数名、ハッシュ、対応するランディングページをまとめています。
こうした特徴から、これらのドキュメントが自動化されたビルダーを使用して作成されている可能性があることが分かります。より最近の攻撃では、XLMDeobfuscator などのツールによる静的分析を回避する対策が Microsoft Excel スプレッドシートに施されています。
配布インフラストラクチャ
マルウェア配布攻撃では過去に侵害した Web サーバーが利用されているようです。それらの Web サーバーでは WordPress コンテンツ管理システム(CMS)のいくつかのバージョンが主に実行されています。ホスト/ドメインが停止する前に Talos が分析した配布サーバーでは WordPress 5.8.1 が最も多く実行されていました。
またある攻撃では、SQUIRRELWAFFLE が C2 サーバーとして使用しているホストに、AZORult パネルに関連する SQL ダンプが存在することも確認されました。インターネットに存在する多くの脆弱なサーバーではよくあることですが、同じ攻撃者が AZORult パネルを管理していたのか、単に無関係な複数の攻撃者が同じサーバーを侵害したのかは不明です。
またある配布サーバーでは、2021 年 9 月 8 日に ANTIBOT が展開されたようです。その直後、同じサーバーを使用して SQUIRRELWAFFLE 配布攻撃が初めて実行されています。
ANTIBOT はフィッシングキットのコンポーネントとして一般的に使用されているスクリプトのセットであり、攻撃者が分析を回避するのに役立ちます。この広く使用されているアドオンは、HTTP/HTTPS リクエストの送信元の IP アドレスに基づいて Web サーバーのコンテンツへのアクセスをブロックします。つまり、標的の IP アドレスからのリクエストはブロックしませんが、自動分析プラットフォーム、セキュリティ調査機関、攻撃者が回避したいその他のロケーションに関連付けられている IP アドレスからのリクエストはブロックします。リクエストの送信元の IP アドレスは、HTTP リクエストの受信時に IP アドレスや ASN 名などの情報が列挙されたリストと照合されます。いずれかの情報が一致するとサーバーは HTTP 404 ステータスコードで応答します。以下はこのプロセスで使用されるロジックの例です。各配列の内容は長すぎてスクリーンショットに収まらないため編集してあります。通常は、IP アドレス、ネットワークプロバイダーの文字列などを多数列挙したリストが含まれています。
この ANTIBOT によるブロックと、多くの SQUIRRELWAFFLE DLL が備えている IP ブロックリストから、インフラストラクチャの復元力を高め分析を困難にしようとする意図がうかがえます。悪意のあるコンポーネントをシステムが取得する能力を制限することで、攻撃者は大規模な自動分析をより効果的に回避できます。配布インフラストラクチャでは悪意のあるコンポーネントに対するアクセス制限がかなり強化されてきており、地理ベースのフィルタリングなどの手法を使用して分析や追跡を回避しようとしています。
SQUIRRELWAFFLE ローダ
感染したシステムにドロップされる SQUIRRELWAFFLE ペイロードは PE DLL です。この DLL は感染プロセスを開始させた不正ドキュメントに応じて rundll32.exe か regsvr32.exe のいずれかを使用して実行されます。rundll32.exe を使用してエントリポイントを指定しペイロードを実行する構文の例を次に示します。
cmd.exe /c rundll32.exe C:\ProgramData\[DLL FILENAME],ldr
必須パラメータを指定せずに DLL を直接実行してもペイロードが正常に実行されない可能性があります。そうすることで自動動的分析プラットフォームを回避していると考えられます。
DLL は主にマルウェアローダとして機能するため、この感染を利用して別のマルウェアを展開することができます。SQUIRRELWAFFLE の感染では、エンドポイントが最初に侵害された後に Qakbot と Cobalt Strike のインストールも同時に行われることが確認されています。また DLL も構成の一部として IP ブロックリストを備えており、自動分析プラットフォームやセキュリティ調査機関をさらに慎重に回避するために使用されています。
DLL の処理はかなりシンプルです。最も目を引く機能が使用されているのは、情報をエンコードおよびデコードして標的のシステムと C2 インフラストラクチャの間の通信を支援する部分です。以下に、このプロセスを行う関数を逆コンパイルしたスクリーンショットを示します。
このマルウェアで使用されている C2 プロトコルの詳細については、次のセクションを参照してください。
コマンドアンドコントロール(C2)
このマルウェアは、難読化したデータを含んだ HTTP POST リクエストを通じて C2 との通信を試みます。
これらの通信に含まれているデータは XOR による難読化の後に Base64 エンコードされています。標的が C2 サーバーにデータを POST するために使用する URL は、1 〜 28 文字のランダムな英数字の文字列と標的システムの IP アドレスで構成されています。先ほどの HTTP POST リクエストの URL を難読化解除すると次のようになります。
HTTP POST リクエストの本文には標的システムに関する情報が含まれています。C2 に送信されるデータは次のとおりです。
- %APPDATA% 設定
- システムのホスト名
- 標的のユーザー名
- システムのワークステーション設定
これらの情報はそれぞれ getenv、GetComputerNameW、GetUserNameW、NetWkstaGetInfo() を使用して取得されます。HTTP POST のリクエスト本文を難読化解除した例を以下に示します。
C2 サーバーはこれらのリクエストに対してステータスコードと以前に送信されたビーコン情報で応答します。応答の本文は前述と同じ方法で難読化されます。C2 からの応答例を以下に示します。
この C2 サーバーは攻撃者がセカンダリペイロードを配布するためにも使用されます。
まとめ
最近、「SQUIRRELWAFFLE」と呼ばれる新しいマルウェアローダの脅威が出現しました。主にスパム電子メール攻撃によって配布されており、いくつか注目すべき特徴を備えているので警戒が必要です。また、SQUIRRELWAFFLE に感染したシステムには Qakbot や Cobalt Strike などの別のマルウェアが配布されています。この 2 つは世界中の企業を頻繁に攻撃している最も一般的な脅威です。SQUIRRELWAFFLE は比較的新しい脅威ですが、配布攻撃、インフラストラクチャ、C2 の実装に関しては目を引く特徴があり、過去に猛威を振るった他の脅威と共通する手法が使用されています。引き続き包括的な多層防御セキュリティ管理を使用して、SQUIRRELWAFFLE 攻撃を防止、検出、対応できるように備えておく必要があります。
カバレッジ
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、
Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザがアクセスする前に疑わしいサイトをテストします。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザに多要素認証を提供し、承認されたユーザのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすると、最新状態を維持できます。今回の脅威を検出する目的でリリースされた Snort SID は、58277 ~ 58281 です。
今回の脅威を検出するために、以下の ClamAV 署名がリリースされました。
Doc.Downloader.SquirrelWaffle09210-9895192-0
Xls.Downloader.SquirrelWaffle20921-9895790-0
Xls.Downloader.SquirrelWaffle1021-9903731-0
Orbital クエリ
Cisco Secure Endpoint ユーザは、Orbital Advanced Search を使用して複雑な OSquery を実行し、エンドポイントが特定の脅威に感染しているかどうかを確認できます。類似の脅威に対応する osquery の具体例については、こちらをクリックしてください。
侵入の痕跡(IOC)
これらのマルウェア攻撃に関連して、次のような侵入の痕跡が確認されています。
ドメイン
これらのマルウェア攻撃で使用されていることが確認されたドメインのリストはこちらをご覧ください。
ハッシュ(SHA256)
これらのマルウェア攻撃の悪意のあるコンポーネントに関連する SHA256 ファイルハッシュのリストについては、こちらをご覧ください。
本稿は 2021 年 10 月 26 日に Talos Group
