著者: Dr. Fahim Abbasi & Dr. Diana Lopera
私たちは最近、偽の MYOB 請求書を使用し、オーストラリアの顧客を標的としたフィッシングメ ールを観察しました。通常の HTTP リンクの代わりに、これらの電子メールには侵害された FTP サーバーを指す FTP リンクが含まれていました。FTP サイトへのリンクのほとんどはオー ストラリアのドメインでしたが、すべてではありません。FTP リンクは圧縮されたアーカイブを指 していました。この圧縮アーカイブには、実行時に DanaBot マルウェアをダウンロードする JavaScript が含まれていました。
フィッシングメッセージを視覚的に魅力的にするために、フィッシング詐欺メールは、図 1 およ び図 2 に示すような標準の MYOB のような html 請求書テンプレートを使用していました。メー ル本文には、期日前に前記金額を支払うことを要求する短いメッセージがあり、請求書を表示 するための 「請求書を表示」ボタンが含まれています。この「請求書を表示」ボタンをクリックす ると、侵害されたと思われるオーストラリアの会社の FTP サーバーから、zip アーカイブが引き 出されます。FTP クレデンシャルは、「請求書を表示」ボタンに埋め込まれている FTP リンクで 提供されています。
これらの電子メールから獲得した FTP リンクのいくつかを以下に示します。ここではクレデン シャル情報がマスクされていることに注意してください。
- ftp://XXXXX:YYYYY@villablue.com/pd/523972.zip
- ftp://XXXXX: YYYYY@ftp.aquaprodive.com/new.aquaprodive.com/303-5098-%2847%29.zip
- ftp://XXXXX: YYYYY@ftp.qsl.net/395871581/84122/91664186(4).js.zip
- ftp://XXXXX: YYYYY@members.net.au/PUG/9681125-RCP0806(242).js.zip
- ftp://XXXXX: YYYYY@ftp.newportgardenseashells.com.au/docs/098274747728377 (47).js.zip
マルウェア分析
侵害された FTP リンクは、圧縮されたアーカイブ(この場合は 0987365299308858885968.zip) を指しています。このアーカイブは、請求書リンクをクリックすると被害者のコンピュータにダウ ンロードされます。この zip 形式のアーカイブには、JavaScript(JS)ダウンローダが含まれてい ます。JS の概要スクリーンショットを図 3 に示します。この JS は、ユーザーがダブルクリックし Trustwave SpiderLabs Blog – July 16th, 2018 Copyright © 2018 Trustwave Holdings, Inc. All rights reserved. 3 て実行する必要があります。そしてこれは、(DanaBot)マルウェアバイナリ”TempVBH56.exe” を URL “hxxp://buy.biomixers[.]org/ZslSywnaWJ.php” からダウンロードし、それをシステム上 で静かに実行する PowerShell コマンド(図 4 を参照)を起動します。そのプロセスツリーを図 5 に示します。
DanaBot マルウェアは、ラウンドロビン DNS で構成されたドメイン上でホストされているようで、 複数 IP にリゾルブされ、トラフィックをローテーションおよび負荷分散しながら、攻撃者が管理 するインフラに誘導します。このドメインのすべての DNS A レコードのスクリーンショットを以下 に示します。
DANABOT
DanaBot は Delphi で書かれたマルチコンポーネントバンキングトロージャン(トロイの木馬)で あり、最近オーストラリアのユーザーを対象としたキャンペーンに使用されています。
このキャンペーンでは、マルウェアが 3 つのコンポーネントに分かれていることがわかりまし た。
- DanaBot ドロッパー
o TempVBH56.exe (Sha256: 4afad293675bcb39ac2a85307f074cc06410a48f2e14585718193648806521c4)
- DanaBot ダウンローダー
o 091A4F71.dll (Sha256: f10a7b4d2beb20e9d7f3230e7662ead28b468e4554a7107c21e3b85e1c7a0f6a)
- ▪ DanaBot マスターDLL
o 6AD4B832.dll (Sha256: 06a1a596f3dbc90da832cd2161848bc8f5c8106bc0f44d4f88d8f3ac3a68e51b)
前のセクションで説明した PowerShell コマンドによってダウンロードされて実行された DanaBot ドロッパーファイル TempVBH56.exe” は、DLL ファイル “091A4F71.dll” を解凍して 実行し、その後自分自身を削除します。このファイル ("091A4F71.dll")は DanaBot ダウンロー ダと呼ばれます。プロセスツリーを下の図 6 に示します。
DanaBot ダウンローダ “091A4F71.dll” は、DanaBot マスタ DLL 6AD4B832.dll を URL hxxp://207.148.86[.]218/index.php?m=T&a=6&b=32&d=A59615726C504BD47DB190BFECF1A981&g=F497D170&i=8192&u=1&v=610760110&x=0&t=32&e=4856B6847A1DC58800EF1CED6140F083 から実行して、これを隠しフォルダ %programdata% に保存します。
DanaBot マスタ DLL は、続いて、暗号化されたファイル (SHA256 3bcb8c86f52f9594f5d94945b30d6d76d4ce2c91eb32df43f6ed4e6c8f576085)を URL hxxp://144.202.61.204/index.php?m=S&a=6&d=A59615726C504BD47DB190BFECF1A981&g=76941718&e=B06CC1724906F10E3530F5EC7B2B063Dからダウンロードします。
次に、マスターDLL はファイルを復号化し、2 つの新しいファイルに分割します。最初のファイ ルには、一連の設定(図 7,8,9 および 10 に要約のスクリーンショットを示します) %programdata%\6AD4B89A\8E7D750C (Sha256: f7c3de15cb5a75388163ef64143d4e3036a5f952b62fcf6c536beb5e0f5f8c5d)が含まれます。 そ して、2 番目のファイルには一連のモジュール%programdata%\6AD4B89A\96187C5A(Sha256:8caf436413d8aaf693ea90ab7728d4dcf67ca9f221629c03356db72791f52252)が含ま れています。これらのファイルから抽出されたモジュールと設定ファイルは次のとおりです。
モジュール:
- dll - VNC
- dll - Stealer
- dll - Sniffer
- dll - TOR
設定ファイル:
- PInject
- BitKey
- BitVideo
- BitFilesX
- Zfilter
暗号化されたファイルから抽出された DLL のファイル名は、攻撃者の本当の意図を明らかに しています。本質的に、これらの DLL は、攻撃者が VNC を介してリモートホストを作成および 制御し、秘密情報や機密情報を盗み出し、Tor を介して隠れチャネルを使用することを可能に します。
最後に、このボットには、図 11 に示すように感染マシンのシステムとデスクトップスクリーンシ ョットを C&C に送信する機能があります。このマルウェアによって使用されるすべてのデータ は、転送中でもディスク上でも複雑に暗号化されています。詳細なフローを図 12 に示します。
結論
サイバー犯罪者は、オーストラリアの企業の犠牲者を標的にし、DanaBot のような洗練された マルチステージ、マルチコンポーネント、ステルスバンキングトロージャンを使って、プライベー トかつ機密な情報を盗んでしまいます。このキャンペーンでは、攻撃者は、DanaBot マルウェ アをホストしている侵害された FTP サーバーを指し示す請求書リンクを使って、偽の MYOB 請 求書メッセージの形で標的フィッシング詐欺メールを送信しました。マルウェアをサポートする インフラストラクチャは柔軟に設計されており、マルウェアは複雑に暗号化された複数のコンポ ーネントに分散された機能を備えたモジュールとして設計されていました。
IOC
- ftp://XXXXX:YYYYY@villablue.com/pd/523972.zip
- ftp://XXXXX: YYYYY@ftp.aquaprodive.com/new.aquaprodive.com/303-5098-%2847%29.zip
- ftp://XXXXXl: YYYYY@ftp.qsl.net/395871581/84122/91664186(4).js.zip
- ftp://XXXXX: YYYYY@members.iinet.net.au/PUG/9681125-RCP0806(242).js.zip
- ftp:// XXXXX: YYYYY@ftp.newportgardenseashells.com.au/docs/098274747728377 (47).js.zip
- hxxp://buy.biomixers[.]org/ZslSywnaWJ.php
Filename |
Size |
Sha256 |
Codename |
Download URL |
tempvbh56.exe |
277504 bytes |
4AFAD293675BCB39AC2A85307F074CC0 |
Dropper |
hxxp://buy.biomixers.org/ZslSywnaWJ.php |
%programdata%\ |
79360 bytes |
F10A7B4D2BEB20E9D7F3230E7662EAD28B |
Downloader |
|
%programdata%\ |
1645072 bytes |
06A1A596F3DBC90DA832CD2161848BC |
Master DLL |
hxxp://207.148.86.218/index.php?m=T&a= |
<no name> |
1626256 bytes |
3BCB8C86F52F9594F5D94945B30D6D7 |
Downloaded encrypted file |
hxxp://144.202.61.204/index.php?m=S&a=6&d=A59615726C504BD47DB190BFECF1A981& |
%programdata%\ |
10112236 bytes |
8CAF436413D8AAF693EA90AB7728D4DC |
Encrypted module |
|
%programdata%\ |
15439 bytes |
F7C3DE15CB5A75388163EF64143D4E30 |
Encrypted configuration files |