Menlo Labsは、銀行や金融サービス会社の従業員を標的とした悪意のあるメールキャンペーンを追跡しています。このキャンペーンは、8月から米国と英国で活発に行われているようで、被害者をだましてファイルをアーカイブするための悪意のあるリンクをクリックさせることで、PCやその他のエンドポイントを危険にさらしています。この特定のキャンペーンでこれまでに確認したすべてのケースで、アーカイブファイルは.zip または.gz ファイルでした。これらすべてのケースで、悪意のあるペイロードは、無数の企業が使用している Google Cloud Storage サービスのドメインである storage.googleapis.com でホストされていました。攻撃者は、この広く信頼されているドメインを使用してペイロードをホストし、組織によって導入されたセキュリティ制御や商用セキュリティ製品に組み込まれているセキュリティ制御を回避する可能性があります。これは、「レピュテーション・ジャッキング」の使用が増えている一例で、検知されないようにするため有名で人気のあるホスティングサービスの背後に隠れています。弊社の最新版では 年次ウェブ・ステート・レポートAlexaがランク付けした上位100,000のドメインを分析したところ、合法的なホスティングサービスを使用しているフィッシングサイトが4,600件見つかりました。これらの攻撃者は、被害者をこの脅威に感染させるために電子メールとWebを組み合わせて使用するため、悪意のある添付ファイルではなく悪意のあるリンクを使用することを選択した可能性があります。多くのメールセキュリティ製品は悪意のある添付ファイルを検出できますが、悪意のある URL は脅威リポジトリに既に存在する場合のみ検出できます。このような複合的な脅威を防ぐには、電子メールと Web トラフィックの両方を可視化し、関連づけることが不可欠です。攻撃者は、次の悪質なファイルのリストを、攻撃者が最初の攻撃手段として使用しました。
テクニカル分析とキャンペーン分析
次の図は、悪意のある攻撃者が悪意のある電子メールを送信するために使用したさまざまな電子メールアドレスを示しています。悪質な活動を行うために作成されたものもあれば、乗っ取られたと思われるアカウントもあります。
一度使用した電子メール:
Eメールが複数回使用されました:
メールアドレスの 1 つが複数回使用されました。他のアドレスはすべて 1 回しか使用されませんでした。以下は、元のメールアドレスが確認できなかったキャンペーンの URL とペイロードです。
攻撃者は、VBS スクリプトと JAR ファイルの 2 種類のペイロードを使用してエンドポイントを侵害しました。分析した悪意のある VBS スクリプトは非常に難読化されており、悪意のある文書の作成を自動化する、攻撃者が広く入手できるキットのいずれかによって作成されたものと思われます。
次の 3 つの例を考えてみましょう。
- 請求書.vbs を転送
- .vbs を転送
- 銀行伝票.vbs
これらの VBS スクリプトは同じキットで作成されたものと考えられます。これは、3 つすべてが以前に調査したHoudiniマルウェアファミリーに属しているようで、以下の共通点があるためです。
- スクリプトは、難読化された VBScript が 3 つの階層に分かれていて、非常に難読化されています。
- すべてのスクリプトは Base64 エンコーディングを使用してエンコードされます。
- 3つのスクリプトはすべて同じCnCドメイン、pm2bitcoin.comと通信します。
- 文字列」< [recoder: houdini (c) skype: houdini-fx] >難読化された VBScript の最終レベルには」が表示されます。
- fud.fudcrypt.com はすべてのスクリプトでセカンダリ CnC アドレスとして使用されます。
- このスクリプトは、埋め込まれた VBScript を実行するだけでなく、http:/rccgovercomersabuja.org/jre.zip から JAR ファイルをダウンロードします。
確認したJARファイルのうち、1つのファイル(Swift invoice.jar)がHoudini/JRATマルウェアファミリーに属していると考えられます。この結論に達したのは、このファイルが pm2bitcoin.com と通信していたからです。他のJARファイルはまだ調査中であり、Qratマルウェアファミリーに属していると考えられます。これら他の JAR ファイルの詳細な分析は、このブログ投稿の第 2 部で説明します。
結論
金融サービス業は引き続き攻撃者にとって非常に魅力的なターゲットであり、リモートアクセス型トロイの木馬(RAT)は、企業内の侵害されたマシンを制御する上で重要な役割を果たします。RATはボットネットとは異なり、本質的にモジュール化されているため、攻撃者は侵害されたマシンにアクセスしてリモートでコマンドを実行できます。これにより、攻撃者はネットワークを偵察し、ツール、手法、手順を変更して目標を達成できるため、定義された機能セットで構築された完全に自動化されたボットネットに頼る必要がなくなります。エンドポイントにアクセスする新しい方法は常に開発されており、今後も進化し続けるでしょう。金融サービス企業は、さらに高度なマルウェアやクレデンシャルフィッシング攻撃の標的になることが予想されます。
付録:妥協の指標
対象業界
- ファイナンス&バンキング
対象地域
- 米国、英国
使用したメールの件名
- 詳細を再確認
- スウィフトコピー
取引伝票
- 確認
- 転送します
- 銀行振込
- 銀行伝票
ハッシュ
- 739110ba3a95568803a48c2ac21c860058cd82f7512605103e79fdb8e0ceb8e2
- ea6dd952f98a8445b9fe7bfe4a903CFE9F3F3DC1F20c3e63970048b5423d7378f
- ade9a6e8995a58b71c55e2116ad3956a6e7cafce9a5fee50e9d8506f1cfa5a9a
- b3b2988f8bf4881d7a7774a52a06a49e9a942e8587b8e2b1ec4754a3eb157bb1
- 56b51220f1a41f316f26f0312590d3b4222185e407a1256766b6cb1c5de98635
- 1a3dd0fc8a4725048776c596a2a77f5d9dc5b62e3d99cb60617f3ed5182b2f5b
- 589ea2ae48ba41c11eca1bad367b333a91ec7298ca9a38135ae0e4263ccd0392
- FCC9FFDC225e6ac608a4a498fcce4290b2089a026cb57f0ee82a616fcd735140
- c958d28Cecc1cdba9e0a9e6caf9d194f17989905d1677d90e11c4647a88b42bf
- 828482782171fe0c3980ec9454887806757c2bf6d6d0c35ea408e9b65e2ec581
電子メールで送信された悪意のある URL
- https://storage.googleapis.com/officexel/Remittance%20invoice.zip
- https://storage.googleapis.com/officexel/TT%20COPY.zip
- https://storage.googleapis.com/officexel/new%20slip.zip
- https://storage.googleapis.com/officexel/Transfer%20invoice.zip
- https://storage.googleapis.com/officexel/transfer.gz
- https://storage.googleapis.com/officexel/Swift%20Invoice.zip
- https://storage.googleapis.com/officexel/payment%20slip.zip
- https://storage.googleapis.com/officexel/bank%20slip.zip
セカンドステージダウンローダー URL
- http://rccgovercomersabuja.org/jre.zip
CnC ドメイン
- pm2bitcoin.com
- fud.fudcrypt.com
