FlawedAmmyy RAT に誘導する Microsoft Publisher ファイルを含むいくつかの悪質なスパムメー ルについて 先週書きました。キャンペーンのアクター(犯人)は銀行を標的にしていました。
同一のアクターが本日ビジネスを再開しましたが、今回は PDF 文書内に Publisher ファイルを埋 め込みました。今回も、すべてのターゲットドメインは銀行でした。
以下は、Trustwave Secure Email Gateway がメッセージを解凍する方法を示しています。PDF 内 の Publisher ファイルが表示されます。最終的にペイロードは、以前と同じ FlawedAmmyy だったの で、同じトリックを用いた別のパッケージだったと思われます。
8 月 21 日 – .pub ファイルを含む PDF - 件名: PDF_2108 または 件名: 支払い通知
PDF 内に埋め込まれていたのは、マルウェアの配布に Necurs ボットネットを使用するという、この グループが好むトリックでした。以前の例は こちら と こちらを参照してください。
このグループがスパムアウトする可能性のあるその他の添付ファイルについても興味があったの で、履歴データをさらに詳しく慎重に調査しました。そして私たちは、銀行を標的としたスパムメー ルが 8 月 10 日までに届いていたことを見つけました。ゲートウェイがこれらのサンプルをすべてブ ロックしていたので、我々はこれを早期に取り上げませんでしたが、ここにいくつかのサンプルが あります。
8 月 10 日 - マクロを含むドキュメント - 件名:請求書 7616
8 月 14 日と 15 日 - PDF に埋め込まれた IQY ファイル - 件名: MIS 93807.15 / 08/2018 または 件名: dhfl
8 月 21 日 - IQY ファイル - 件名: Sua NF-e foi emitida n°(670806)
8 月 21 日 – Pub file - 件名: 確認
これらが示しているのは、アクターが通常のトリックやファイル形式を試しているのに加えて、異な る組み合わせや異なるパッケージでも行なっているということです。 そして、当然のことながら、広 範な銀行がターゲットとして設定されました。
銀行、そして皆さんも、電子メールゲートウェイで IQY ファイルをブロックすることを検討し、送られ てきたドキュメントファイルに疑わしい埋め込みファイルやマクロがあるかどうかを詳細に調べる必 要があります。
Trustwave Secure Email Gateway のお客様は、ゲートウェイが現在までに見られたすべてのサン プルを検出できています。
侵害証跡(IOC)
PDF ファイル
MD5: 65713d26cf111eb64de1aa524bbecb2b
SHA1: e1f1b2dcf933f5f5fc9957f1d8dd79c3d51ba5cf
MD5: 96df741e40070e964f7bd08bb055015f
SHA1: 8ab68980410395ade6d239c3f4414a52bff39926
埋め込まれた PUB ファイル
MD5: 2cbfcd096e7ba69d528487d5351451e5
SHA1: 6b18a10f4ced27eb8bd18a2b0e441a344296392b
URL (hxxp://g78k[.]com/set) からのファイル
MD5: 0906ab6a9ed0fa8f173d6800f8957f4a
SHA1: 6c8bb389db9c4a8b4228c7f9143ae7731c5a72a9
解凍されたファイル (FlawedAmmyy RAT)
MD5: 73964f92d3e5e142047574afa78726e3
SHA1: c8d84d0c6894fd2b640a2b699c03ecb042c3ebfc
マクロを含む DOC ファイル
MD5: bb4dd09e221c17b5878c1996499bbd70
SHA1: 1c4caf598f75b292d0f97dbb39be580e4766c637
IQY ファイルが埋め込まれた PDF ファイル
MD5: 839e9a3ecec7e8f735875ec65f1466e0
SHA1: 39c007372d262ed7bd9391ff89986b54e060244f
IQY ファイル
MD5: 8347243399a4880ec456661edffe2613
SHA1: 471235ef3411ab474c0481a0527ae8c78e4ca6a6