Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

偽の MYOB 請求書メールに乗ってくる DanaBot

著者: Dr. Fahim Abbasi & Dr. Diana Lopera

私たちは最近、偽の MYOB 請求書を使用し、オーストラリアの顧客を標的としたフィッシングメ ールを観察しました。通常の HTTP リンクの代わりに、これらの電子メールには侵害された FTP サーバーを指す FTP リンクが含まれていました。FTP サイトへのリンクのほとんどはオー ストラリアのドメインでしたが、すべてではありません。FTP リンクは圧縮されたアーカイブを指 していました。この圧縮アーカイブには、実行時に DanaBot マルウェアをダウンロードする JavaScript が含まれていました。

フィッシングメッセージを視覚的に魅力的にするために、フィッシング詐欺メールは、図 1 およ び図 2 に示すような標準の MYOB のような html 請求書テンプレートを使用していました。メー ル本文には、期日前に前記金額を支払うことを要求する短いメッセージがあり、請求書を表示 するための 「請求書を表示」ボタンが含まれています。この「請求書を表示」ボタンをクリックす ると、侵害されたと思われるオーストラリアの会社の FTP サーバーから、zip アーカイブが引き 出されます。FTP クレデンシャルは、「請求書を表示」ボタンに埋め込まれている FTP リンクで 提供されています。

 

Invoice-partner-myob
図 1:詐欺師が送信した偽の MYOB 請求書フィッシング詐欺メッセージ

 

これらの電子メールから獲得した FTP リンクのいくつかを以下に示します。ここではクレデン シャル情報がマスクされていることに注意してください。

  • ftp://XXXXX:YYYYY@villablue.com/pd/523972.zip
  • ftp://XXXXX: YYYYY@ftp.aquaprodive.com/new.aquaprodive.com/303-5098-%2847%29.zip
  • ftp://XXXXX: YYYYY@ftp.qsl.net/395871581/84122/91664186(4).js.zip
  • ftp://XXXXX: YYYYY@members.net.au/PUG/9681125-RCP0806(242).js.zip
  • ftp://XXXXX: YYYYY@ftp.newportgardenseashells.com.au/docs/098274747728377 (47).js.zip

 

Mapple-myob-invoice
図 2:詐欺師が送信した同じ偽の MYOB インボイスフィッシングメッセージの変種

 

マルウェア分析

侵害された FTP リンクは、圧縮されたアーカイブ(この場合は 0987365299308858885968.zip) を指しています。このアーカイブは、請求書リンクをクリックすると被害者のコンピュータにダウ ンロードされます。この zip 形式のアーカイブには、JavaScript(JS)ダウンローダが含まれてい ます。JS の概要スクリーンショットを図 3 に示します。この JS は、ユーザーがダブルクリックし Trustwave SpiderLabs Blog – July 16th, 2018 Copyright © 2018 Trustwave Holdings, Inc. All rights reserved. 3 て実行する必要があります。そしてこれは、(DanaBot)マルウェアバイナリ”TempVBH56.exe” を URL “hxxp://buy.biomixers[.]org/ZslSywnaWJ.php” からダウンロードし、それをシステム上 で静かに実行する PowerShell コマンド(図 4 を参照)を起動します。そのプロセスツリーを図 5 に示します。

 

Js
図 3:ダブルクリックで実行される圧縮されたアーカイブから抽出された JavaScript
Powershell-script
図 4:悪質な JavaScript ダウンローダが実行する PowerShell コマンド

 

Process-tree
図 5:JavaScript ダウンローダから悪質な実行可能ファイルへのプロセスツリー

DanaBot マルウェアは、ラウンドロビン DNS で構成されたドメイン上でホストされているようで、 複数 IP にリゾルブされ、トラフィックをローテーションおよび負荷分散しながら、攻撃者が管理 するインフラに誘導します。このドメインのすべての DNS A レコードのスクリーンショットを以下 に示します。

 

Ip-resolution

 

DANABOT

DanaBot は Delphi で書かれたマルチコンポーネントバンキングトロージャン(トロイの木馬)で あり、最近オーストラリアのユーザーを対象としたキャンペーンに使用されています。

このキャンペーンでは、マルウェアが 3 つのコンポーネントに分かれていることがわかりまし た。

  • DanaBot ドロッパー

o TempVBH56.exe (Sha256: 4afad293675bcb39ac2a85307f074cc06410a48f2e14585718193648806521c4)

  • DanaBot ダウンローダー

o 091A4F71.dll (Sha256: f10a7b4d2beb20e9d7f3230e7662ead28b468e4554a7107c21e3b85e1c7a0f6a)

  • ▪ DanaBot マスターDLL

o 6AD4B832.dll (Sha256: 06a1a596f3dbc90da832cd2161848bc8f5c8106bc0f44d4f88d8f3ac3a68e51b)

前のセクションで説明した PowerShell コマンドによってダウンロードされて実行された DanaBot ドロッパーファイル TempVBH56.exe” は、DLL ファイル “091A4F71.dll” を解凍して 実行し、その後自分自身を削除します。このファイル ("091A4F71.dll")は DanaBot ダウンロー ダと呼ばれます。プロセスツリーを下の図 6 に示します。

 

Procexp
図 6:Process Explorer のスクリーンショット

 

DanaBot ダウンローダ “091A4F71.dll” は、DanaBot マスタ DLL 6AD4B832.dll を URL hxxp://207.148.86[.]218/index.php?m=T&a=6&b=32&d=A59615726C504BD47DB190BFECF1A981&g=F497D170&i=8192&u=1&v=610760110&x=0&t=32&e=4856B6847A1DC58800EF1CED6140F083 から実行して、これを隠しフォルダ %programdata% に保存します。

DanaBot マスタ DLL は、続いて、暗号化されたファイル (SHA256 3bcb8c86f52f9594f5d94945b30d6d76d4ce2c91eb32df43f6ed4e6c8f576085)を URL hxxp://144.202.61.204/index.php?m=S&a=6&d=A59615726C504BD47DB190BFECF1A981&g=76941718&e=B06CC1724906F10E3530F5EC7B2B063Dからダウンロードします。

次に、マスターDLL はファイルを復号化し、2 つの新しいファイルに分割します。最初のファイ ルには、一連の設定(図 7,8,9 および 10 に要約のスクリーンショットを示します) %programdata%\6AD4B89A\8E7D750C (Sha256: f7c3de15cb5a75388163ef64143d4e3036a5f952b62fcf6c536beb5e0f5f8c5d)が含まれます。 そ して、2 番目のファイルには一連のモジュール%programdata%\6AD4B89A\96187C5A(Sha256:8caf436413d8aaf693ea90ab7728d4dcf67ca9f221629c03356db72791f52252)が含ま れています。これらのファイルから抽出されたモジュールと設定ファイルは次のとおりです。

モジュール:

  1. dll - VNC
  2. dll - Stealer
  3. dll - Sniffer
  4. dll - TOR

設定ファイル:

  1. PInject
  2. BitKey
  3. BitVideo
  4. BitFilesX
  5. Zfilter

暗号化されたファイルから抽出された DLL のファイル名は、攻撃者の本当の意図を明らかに しています。本質的に、これらの DLL は、攻撃者が VNC を介してリモートホストを作成および 制御し、秘密情報や機密情報を盗み出し、Tor を介して隠れチャネルを使用することを可能に します。

Networkflow-wireshark
図 7:モジュールと設定ファイルの TCP ストリーム
Pinject
図 8: PInject には標的がオーストラリアの銀行である Web インジェクションの設定ファイルが含まれています
Bitkey
図 9: BitKey と BitVideo には、このボットが監視する 暗号化通貨プロセスのリストが含まれています
Bitfilex
図 10: BitFileX には暗号化通貨ファイルが含まれています

最後に、このボットには、図 11 に示すように感染マシンのシステムとデスクトップスクリーンシ ョットを C&C に送信する機能があります。このマルウェアによって使用されるすべてのデータ は、転送中でもディスク上でも複雑に暗号化されています。詳細なフローを図 12 に示します。

Malcnc
図 11:マルウェアは、感染マシンのシステム情報と デスクトップのスクリーンショットを C&C に送信します
Danabot-flow
図 12:マルウェアキャンペーンの流れ図

結論

サイバー犯罪者は、オーストラリアの企業の犠牲者を標的にし、DanaBot のような洗練された マルチステージ、マルチコンポーネント、ステルスバンキングトロージャンを使って、プライベー トかつ機密な情報を盗んでしまいます。このキャンペーンでは、攻撃者は、DanaBot マルウェ アをホストしている侵害された FTP サーバーを指し示す請求書リンクを使って、偽の MYOB 請 求書メッセージの形で標的フィッシング詐欺メールを送信しました。マルウェアをサポートする インフラストラクチャは柔軟に設計されており、マルウェアは複雑に暗号化された複数のコンポ ーネントに分散された機能を備えたモジュールとして設計されていました。

IOC

  • ftp://XXXXX:YYYYY@villablue.com/pd/523972.zip
  • ftp://XXXXX: YYYYY@ftp.aquaprodive.com/new.aquaprodive.com/303-5098-%2847%29.zip
  • ftp://XXXXXl: YYYYY@ftp.qsl.net/395871581/84122/91664186(4).js.zip
  • ftp://XXXXX: YYYYY@members.iinet.net.au/PUG/9681125-RCP0806(242).js.zip
  • ftp:// XXXXX: YYYYY@ftp.newportgardenseashells.com.au/docs/098274747728377 (47).js.zip
  • hxxp://buy.biomixers[.]org/ZslSywnaWJ.php

Filename

Size

Sha256

Codename

Download URL

tempvbh56.exe

277504 bytes
(0 MB)

4AFAD293675BCB39AC2A85307F074CC0
6410A48F2E14585718193648806521C4

Dropper

hxxp://buy.biomixers.org/ZslSywnaWJ.php

%programdata%\
091A4F71.dll

79360 bytes
(0 MB)

F10A7B4D2BEB20E9D7F3230E7662EAD28B
468E4554A7107C21E3B85E1C7A0F6A

Downloader

 

%programdata%\
6AD4B89A\6AD4B832.dll

1645072 bytes
(1 MB)

06A1A596F3DBC90DA832CD2161848BC
8F5C8106BC0F44D4F88D8F3AC3A68E51B

Master DLL

hxxp://207.148.86.218/index.php?m=T&a=
6&b=32&d=A59615726C504BD47D
B190BFECF1A981&g=F497D170&i=8192&u=
1&v=610760110&x=0&t=32&e=
4856B6847A1DC58800EF1CED6140F083

<no name>

1626256 bytes
(1 MB)

3BCB8C86F52F9594F5D94945B30D6D7
6D4CE2C91EB32DF43F6ED4E6C8F576085

Downloaded encrypted file

hxxp://144.202.61.204/index.php?m=S&a=6&d=A59615726C504BD47DB190BFECF1A981&
g=76941718&e=B06CC1724906F10E3530F5EC7B2B063D

%programdata%\
6AD4B89A\96187C5A

10112236 bytes
(9 MB)

8CAF436413D8AAF693EA90AB7728D4DC
F67CA9F221629C03356DB72791F52252

Encrypted module

 

%programdata%\
6AD4B89A\8E7D750C

15439 bytes
(0 MB)

F7C3DE15CB5A75388163EF64143D4E30
36A5F952B62FCF6C536BEB5E0F5F8C5D

Encrypted configuration files