エグゼクティブ サマリー
金銭目的のサイバー犯罪者が、この数年間、バンキング型トロイの木馬によって金融関係の機密情報を盗み続けています。そうした攻撃者はトロイの木馬を頻繁に作成し、クレジット カード情報や、各種オンライン バンキング/金融サービス サイトのログイン情報を収集します。そうしたデータを悪用して利益に変えています。Cisco Talos は最近、バンキング型のトロイの木馬に感染させる継続的な 2 件のマルウェア配布キャンペーンを特定しました。とりわけ、ブラジルの金融機関の顧客がこのマルウェアの標的になっています。さらに、これらのキャンペーンの調査中に、感染プロセスの一環として現在も悪意のあるスパム メールを配信している専用のスパム ボットネットも特定しました。
配布キャンペーン
こうしたキャンペーンの分析中に、10 月下旬から 11 月上旬にかけて使用されたと考えられる 2 つの異なる感染プロセスが明らかになりました。これらのキャンペーンでは、最初のダウンロードと感染プロセスに異なるファイル タイプが使用され、最終的に、ブラジルの金融機関を狙った 2 つの異なるバンキング型トロイの木馬が配布されます。いずれのキャンペーンでも、感染プロセスで使用する各ファイルに同じ命名規則が使われていました。また、配布に使用したサーバを特定しにくくするために、URL の短縮サービスを悪用していることも特長です。短縮 URL は攻撃者にとって一定のメリットがあります。多くの組織では、従業員が、企業内の環境から短縮 URL にアクセスできるようなっています。攻撃者はこれを逆手に取り、悪意のあるファイルのリンク先を隠ぺいしているのです。
キャンペーン 1
Talos は、無料の Web ホスティング プラットフォームでホスティングされる ZIP ファイルを使用したスパム キャンペーンを特定しました。この ZIP ファイルには Windows の LNK ファイル(リンク)が含まれており、今回のキャンペーン中、次のような形式の名前が付いていました。
「Fatura-XXXXXXXXXX.zip」(「XXXXXXXXXX」は 10 桁の数字)
また、LNK ファイルの形式は次のとおりです。
「__Fatura pendente – XXXX.lnk」(「XXXX」は 4 桁の英数字)
この LNK ファイルにより、次のように画像ファイルの拡張子(.bmp または .png)が付いた PowerShell スクリプトがダウンロードされます。
このコマンドの目的は、PowerShell スクリプトを攻撃者の URL からダウンロードし、実行することです。その新しい PowerShell スクリプトも難読化されています。
このスクリプトによって、Amazon Web Services(AWS)でホスティングされる次のアーカイブがダウンロードされます。
hXXps://s3-eu-west-1[.]amazonaws[.]com/killino2/image2.png
このアーカイブには 2 つのファイルが含まれます。
- ダイナミック ライブラリ(.DLL)
- 圧縮されたペイロード(.PRX)
このライブラリにより、PRX ファイルが解凍され、リモート プロセスで実行されます(ライブラリ インジェクション)。このインジェクトされたコードが最終ペイロードになります。これについては後述します。
キャンペーン 2
キャンペーン 1 で説明した感染プロセスのほかに、異なるプロセスを活用してユーザのシステムにマルウェアを配布し実行する 2 つ目のキャンペーンを確認しました。このキャンペーンもポルトガル語を話すユーザを標的にしていると考えられます。
この一連のキャンペーンでは、Windows のショートカット ファイル(LNK)ではなく、悪意のある PE32 実行ファイルを利用して最初の感染プロセスを展開します。その際、PE32 実行ファイルを、次の命名規則を使用する ZIP アーカイブで配布します。
「Fatura-XXXXXXXXXX.zip」(「XXXXXXXXXX」は 10 桁の数字)
ZIP アーカイブには PE32 実行ファイルが含まれており、その実行ファイルには次の命名規則が使用されます。
「__Fatura pendente – XXXX.exe」(「XXXX」は 4 桁の英数字)
これらの PE32 ファイルが実行されると、%TEMP% のサブディレクトリにバッチ ファイルが生成されます。
バッチ ファイルは Windows コマンド プロセッサで実行されます。これにより、攻撃者が管理するサーバからコンテンツをダウンロードする PowerShell が実行されます。コンテンツは次の構文を使用して Invoke-Expression(IEX)に渡されます。
バッチ ファイルはその後削除されますが、感染プロセスは継続します。
感染したシステムは、URL 短縮サービスの Bitly に接続します。Bitly では HTTP リダイレクトによって、攻撃者が PowerShell スクリプトをホスティングしているサーバにリダイレクトされます。そのスクリプトが前述のように IEX に渡され実行されます。サーバが配布する PowerShell スクリプトを次に示します。
この PowerShell スクリプトによって、感染したシステムに配布された悪意のあるペイロードが抽出および実行されます。また、このスクリプトでも、前のスクリーンショットのように Bitly が悪用されます。
Bitly のリンクでは、短縮 URL の末尾に「+」記号を追加することで詳細な情報を得られます。この方法により、Talos は、キャンペーンが開始された時期とみられる 10 月 21 日にそのリンクが作成されたことと、それまでに Bitly サービスによって登録されたクリックの数が 699 回であることを明らかにしました。
ファイル形式が JPEG で、指定されたコンテンツ タイプが「image/jpeg」の HTTP 要求であっても、サーバが配布するのは「b.dll」という名前の Windows DLL ファイルを含む ZIP アーカイブです。
その後、スクリプトは 10 秒間スリープ モードになり、アーカイブを解凍して DLL を %APPDATA% のサブディレクトリに保存します。次に RunDLL32 によって、そのマルウェアを実行し感染させます。圧縮された DLL はバイナリ内に多数の 0x00 が含まれており、約 366 MB ものサイズになります。これにより、自動検知と自動分析システムでの検出を回避できたと考えられます。なぜなら、こうしたシステムの多くがサイズの大きなファイルを適切に処理できないからです。同様に、ほとんどのサンドボックスがこのサイズのファイルを許可しないため、サンドボックスのデトネーションも避けられます。
さらに感染したシステムは、感染プロセスを通して、攻撃者が管理するサーバ(srv99[.]tk)に合図を送ります。
このドメインに関する DNS の通信を分析したところ、その名前解決のクエリが特定の期間に増加していることがわかりました。この期間は、キャンペーンが確認された時期と一致しています。
名前解決の要求の大多数がブラジルにあるシステムから送信されていました。
この PowerShell の実行によって、ダイナミック DNS サービスとも通信できるようになります。最初の Bitly のリンクと同様、Talos は、このドメインに関する別の情報を入手できました。
ここでもリンクの作成時間を確認したところ、それが数日後になっていました。これは、攻撃者が別のメール一覧を新たに使用して同じスパム情報を送信した可能性を示しています。
スパム ツール
両方のキャンペーンで最終的に、バンキング型トロイの木馬が配布されますが、Talos は、その他のツールと、Amazon S3 Bucket でホストされているマルウェアを特定しました。このマルウェアは、電子メールを作成できるリモート管理ツールです。メールは、ブラジルでメールのホスティングと無料のメール サービスを提供するインターネット ポータル、BOL オンラインのメール プラットフォームで作成されます。攻撃者の主な目的は、電子メールを作成する専用のボットネット システムの構築であると考えられます。
マルウェアは、C# で開発され、多くのポルトガル語を含んでいます。
BOL の電子メールを作成する関数を以下に示します。
メールの作成が済むと、ランダムに生成されたユーザ名とパスワードが C2 サーバに送信されます。BOL オンラインでは、マシンによるメール作成を防ぐために CAPTCHA システムを使用しています。この保護対策をすり抜けるために、C2 サーバから得たトークンと併せて Recaptcha API が使用されています。
Talos の調査では、作成されたすべてのメールに「financeir」で始まる名前が付いていました。
今回のトロイの木馬は、マルウェア本体の削除と、作成したメール クレデンシャルの送信のほか、C2 サーバから取得できるバイナリの再起動、ダウンロード、実行といった機能を備えています。
Talos では、次の 3 つの C2 サーバを特定しました。
- hxxp://criadoruol[.]site/
- hxxp://jdm-tuning[.]ru/
- hxxp://www[.]500csgo[.]ru/
Talos は、ボットネットのメンバーとして不正利用された 700 以上のシステムをこれらのサーバで特定しました。最初にマシンが侵害されたのは 10 月 23 日です。ボットネットとなったそのマシンは、前述の方法によって、BOL オンライン サービスで 4,000 以上の一意の電子メールを作成していました。こうしたメールの一部が、この調査の一環として追跡したスパム キャンペーンの発端となっていました。
ファイル名のパターン、被害者の状況、特定のユーザを標的にしている点を考えると、両方のキャンペーンにおいて、攻撃者が公開する S3 Bucket で発見された同じメール生成ツールが利用されているとほぼ確信できます。これは、両方のキャンペーンにつながりがあることと、それらが同じツールセットを使用する同じ攻撃者に関連していることを示しています。おそらく、攻撃者は、異なるメール一覧を使用して、違う方法でマルウェア スパムを配布しようとしたと考えられます。
最後のペイロード
Talos は、これらのキャンペーン中に展開された 2 つの異なるペイロードを特定しました。ペイロードは Delphi で開発されたバンキング型トロイの木馬で、ブラジルの銀行を標的にしています。
同業の FireEye 社がすでに最初のペイロードをこちらの報告で取り上げています。ペイロードは侵害したシステムの情報を取得し、そのデータを盗み出して C2 サーバに送信します。ペイロードには、この記事で説明したものとまったく同じキーロガーの機能があります。ユーザが銀行の Web サイトにログインすると、マルウェアは、銀行によるものと見せかけたポップアップを表示してユーザに操作させます。ユーザの CVV を盗もうとする画面の例を以下に示します。
2 つ目の例は、まったく同じ機能でも、実装が異なり、主に 2 要素認証を使用するユーザをターゲットにしています。次のように偽物のポップアップを表示し、
その後、キーロガーが、入力された情報を読み取ります。
マルウエアの標的になっている金融機関には、Santander、Itaù、Banco do Brasil、Caixa、Sicredi、Bradesco、Safra、Sicoob、Banco da Amazonia、Banco do Nordeste、Banestes、Banrisul、Banco de Brasilia、Citi などが含まれます。
まとめ
この種のマルウェアは世界中で勢いを増しており、バンキング型トロイの木馬が引き続き多用されていることを明確に証明しています。今回の実例では、特定のブラジルの金融機関が狙われています。これは、攻撃者が南米出身で、入手した詳細情報や認証情報を簡単に悪用して、金融関連の不正活動を行えることを示唆しています。Talos は今後も金融関連のクライムウェアの活動を、脅威の状況全体を通して監視します。このトロイの木馬は、多くのバンキング型マルウェアと同様に高度とは言えません。しかし、悪意のあるペイロードをスパムとして送信することでいかに簡単に情報を盗み出せるかを示す最新の例となりました。また、この脅威は、次のスパム キャンペーン用にメールを新たに取得する自動生成メカニズムの構築といった、悪用するメールの入手活動に、どれほどの期間が費やされるのかも示しています。
カバレッジ
お客様がこの脅威を検出してブロックできる別の方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者によるマルウェアの実行の阻止に最適です。
シスコクラウド Web セキュリティ(CWS)または Web セキュリティ アプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。
電子メール セキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防止システム(NGIPS)、およびMeraki MX などのネットワーク セキュリティ アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を埋め込みます。
シスコのセキュア インターネット ゲートウェイ(SIG)である Umbrella は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソース SNORTⓇサブスクライバ ルール セットをお使いであれば、Snort.org で購入可能な最新のルール パックをダウンロードすることで、システムを最新状態に維持できます。
関連する悪意のあるアクティビティの分析中に確認された各種マルウェア配信キャンペーンに関連する IOC を、以下に示します。
キャンペーン 1
ステージ 1 のダウンローダ(LNK ショートカット):
627a24cb61ace84a51dd752e181629ffa6faf8ce5cb152696bd65a1842cf58fd
ステージ 1 のダウンローダのファイル名(LNK ショートカット):
_Fatura pendente – HCBF.lnk
ステージ 2 の URL
hxxps://marcondesduartesousa2018[.]000webhostapp[.]com/downs/imagemFr.bmp
hxxps://s3-eu-west-1[.]amazonaws[.]com/killino2/image2.png
ステージ 2 の PowerShell
01fd7fdb435d60544d95f420f7813e6a30b6fa64bf4f1522053144a02f961e39
ステージ 3 のアーカイブ
a01287a79e76cb6f3a9296ecf8c147c05960de44fe8b54a5800d538e5c745f84
ステージ 3 のローダ
1ed49bd3e9df63aadcb573e37dfcbafffbb04acb2e4101b68d02ecda9da1eee7
ステージ 3 の圧縮されたペイロード
3ff7d275471bb29199142f8f764674030862bc8353c2a713333d801be6de6482
ステージ 4 の最終ペイロード
61df7e7aad94942cb0bb3582aed132660caf34a3a4b970d69359e83e601cbcdb
キャンペーン 2
ステージ 1 の PE32 実行可能ファイル:
3b237b8a76dce85e63c006db94587f979af01fbda753ae88c13af5c63c625a12
46d77483071c145819b5a8ee206df89493fbe8de7847f2869b085b5a3cb04d2c
bce660e64ebdf5d4095cee631d0e5eafbdf052505bc5ff546c6fbbb627dbff51
7b241c6c12e4944a53c84814598695acc788dfd059d423801ff23d1a9ed7bbd2
91781126feeae4d1a783f3103dd5ed0f8fc4f2f8e6f51125d1bfc06683b01c39
ステージ 1 の PE32 ファイル名:
_Fatura pendente – QD95.exe
_Fatura pendente – QW2I.exe
_Fatura pendente – 9X3H.exe
ステージ 1 のアーカイブ ファイル名:
Fatura-2308132084.zip
ステージ 1 の URL:
hxxp://pgs99[.]online:80/script.txt
hxxp://pgs99[.]online:80/bb.jpg
ステージ 1 のドメイン:
pgs99[.]online
ステージ 2 の URL:
hxxp://srv99[.]tk:80/conta/?89dhu2u09uh4hhy4rr8
hxxp://srv99[.]tk:80/favicon.ico
URL 短縮サービス:
hxxps://bit[.]ly/2CTUB9H#
hxxps://bit[.]ly/2SdhUQl?8438h84hy389
C2 ドメイン:
hxxp://mydhtv[.]ddns[.]net:80/
スパム ツール
PE のサンプル:
2a1af665f4692b8ce5330e7b0271cfd3514b468a92d60d032095aebebc9b34c5
C2 サーバ:
hxxp://criadoruol[.]site/
hxxp://jdm-tuning[.]ru/
hxxp://www[.]500csgo[.]ru/
最後のペイロード
PE のサンプル:
61df7e7aad94942cb0bb3582aed132660caf34a3a4b970d69359e83e601cbcdb
4b49474baaed52ad2a4ae0f2f1336c843eadb22609eda69b5f20537226cf3565
本稿は 2018年11月8日に Talos Group のブログに投稿された「Metamorfo Banking Trojan Keeps Its Sights on Brazil」の抄訳です。