ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Emotet が偽の O2 請求書を使用して復活

私たちは 2017 年 8 月 18 日に発生し、2017 年 8 月 21 日まで断続的に続いた O2 顧客を対 象とした広範なフィッシングキャンペーンを目撃しました。O2 として取引している Telefonica UK Limited は英国の大手通信会社です。 このキャンペーンでは、詐欺師は偽の O2 請求書メー ルをスパムとして送信しました。 これらのスパムフィッシングメールには、悪質な Microsoft Word 文書へのリンクが含まれており、被害者にはバンキングトロージャン(銀行情報を狙うト ロイの木馬)が感染しました。 攻撃の流れは次のとおりです。

Flow

 

電子メールの分析

詐欺師は、電子メールの「From」フィールドで偽の電子メールアドレスを使用し、2 つの件名の いずれかを使用して同じ電子メールを送信しました。

  1. 件名: My O2 Business - Your O2 Bill is ready (O2 請求書の準備ができています)
  2. 件名: Your O2 bill is ready - (被害者名)

偽の電子メールメッセージは、正規の自動化された O2 請求書として表示され、図 1 および 2 に示すように、犠牲者が「請求書の表示」へのリンクをクリックするよう促します。

Fig1
図 1: O2 フィッシングメールメッセージ
Fig2
図 2:悪意のある Word 文書を指し示す O2 フィッシング請求書メッセージ

 

フィッシングリンクと悪意のある Word 文書の分析:

リンクをクリックすると、Web ブラウザがフィッシングサイト: hxxp://marianamengote(.)com/RLDXAIYKZD2314573/ に移動します(図 3 参照)。 悪意のあ る Word 文書 "O2 bill - 805985874058.doc"(MD5: 2E8BBD0C8B7DE7D5F4E541C192421451)をダウンロードした、侵害された Web サイトでこのリンクがホストされているようです。 この Word 文書には、悪意のある難読化されたマクロが含 まれています(図 4 参照)。

Fig3

図 3: HTTP 経由でダウンロードされた悪意のある Word 文書

Fig4
図 4: 悪意のあるマクロ

 

このマクロは、Base 64 でエンコードされた Powershell コマンドを実行します(図 5 参照)。

Fig5
図 5:マクロで使用されるエンコードされた Powershell コマンド

デコードされたバージョンのコマンドを図 6 に示します。

 

Fig6
図 6: デコードされたバージョンの Powershell コマンド

マクロが有効の Word 文書を開き、Powershell スクリプトを起動し、URL: hxxp://wernerbernheim(.)com(.)uy/capacitacion/bMLTBrcIE/ からマルウェアサンプルをダウ ンロードして実行します。

ダウンロードされたマルウェアは以下に保存されます。 C:\Users\{user}\AppData\Local\Temp\{random}.exe (MD5: D6EDE359E1ECBF8248B0FC8EF63CED7E).

マルウェアの分析:

ダウンロードしたマルウェアは、Emotet マルウェアの亜種です。 Emotet は、以下のような異な る動作を展開する悪名高い多面的なバンキングトロージャンです。

  • 情報盗難モジュール - 電子メール、PST、ブラウザ
  • 電子メールスパミングモジュール
  • サービス拒否(DoS)モジュール

モジュールの動作によっては、マルウェアコンポーネントが次のパスに投下されます。

  • %WINDIR%\system32\dcomevent.exe
  • %LOCALAPPDATA%\Microsoft\Windows\dcomevent.exe

永続性のために、次のレジストリキーを作成します。

  • HKLM\SYSTEM\CurrentControlSet\services\dcomevent
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、HTTPS を使用して IP 62.39.95.185 で CnC サーバに接続しようとします(図 7 参照)。

Fig7
図 7: HTTP トラフィック

 

その後、マルウェアはスパムモジュールを読み込み、数千の電子メールアドレスに新しいスパ ム/フィッシングメールを送信しようとします(図 8 参照)。 これは典型的なスパムボットの動作 です。まず、各ターゲット電子メールドメインで DNS ルックアップを実行した後、そのドメインの それぞれの SMTP サーバにスパムを送信します。

Fig8
図 8:マルウェアがスパムを送信するために使用する SMTP トラフィックのスナップショット

スパムメールに添付されているリンクに従って、同じ悪意のある Word 文書ファイルがダウンロ ードされますが、今回は別のドメインでホストされていました(図 9 参照)。

Fig9
図 9:マルウェアによってスパムとして送信された悪質な Word 文書へのリンク

 

侵害の痕跡 (IOCs)

  • 電子メール内の URL:
    • hxxp://marianamengote(.)com/RLDXAIYKZD2314573/
  • 悪意のある Word 文書:
    • FileName: "O2 bill - 805985874058.doc"
    • MD5: 2E8BBD0C8B7DE7D5F4E541C192421451
  • Emotet をダウンロードするための URL::
  • Emotet の亜種:
    • MD5: D6EDE359E1ECBF8248B0FC8EF63CED7E
    • C2: 39.95.185

まとめ

攻撃者は、電子メールインフラストラクチャが提供するシンプルさを利用して、バンキングトロ ージャンを世界中の犠牲者に配布しています。英国に拠点を置く電気通信会社である O2 か らの偽造メールの配信を目的としたこのようなフィッシングキャンペーンを、見た目のメッセー ジは正規の請求書の発送を偽装しているようですが、含まれているリンクは悪質な Word 文書 ファイルにつながります。この文書を開くと、悪名高い Emotet バンキングトロージャンの亜種 をインストールしようとします。この亜種には、世界中の電子メールアドレスへの感染したリンク を含むスパムメッセージの送信を開始するスパミングモジュールが装備されています。このタ イプの攻撃フロー(スパム>悪意のあるリンクを含む>悪意のあるフォキュメントのダウンロー ド>トロージャン(トロイの木馬)のダウンロードと実行)は、電子メールゲートウェイを回避する ための手段として、さらに、このようなキャンペーンで使用されるスパム対策モジュールを搭載 したマルウェアは、攻撃を永続化するように設計されています。対策として、疑わしい電子メー ルメッセージは開かないでください。特に、マクロを含む予期しない文書を開くことは避けてくだ さい。

謝意

彼の貴重な助言と指導のために Phil Hay に感謝したいと思います。