私たちは 2017 年 8 月 18 日に発生し、2017 年 8 月 21 日まで断続的に続いた O2 顧客を対 象とした広範なフィッシングキャンペーンを目撃しました。O2 として取引している Telefonica UK Limited は英国の大手通信会社です。 このキャンペーンでは、詐欺師は偽の O2 請求書メー ルをスパムとして送信しました。 これらのスパムフィッシングメールには、悪質な Microsoft Word 文書へのリンクが含まれており、被害者にはバンキングトロージャン（銀行情報を狙うト ロイの木馬）が感染しました。 攻撃の流れは次のとおりです。

電子メールの分析

詐欺師は、電子メールの「From」フィールドで偽の電子メールアドレスを使用し、2 つの件名の いずれかを使用して同じ電子メールを送信しました。

1. 件名： My O2 Business - Your O2 Bill is ready （O2 請求書の準備ができています）
2. 件名： Your O2 bill is ready - （被害者名）

偽の電子メールメッセージは、正規の自動化された O2 請求書として表示され、図 1 および 2 に示すように、犠牲者が「請求書の表示」へのリンクをクリックするよう促します。

図 1: O2 フィッシングメールメッセージ

図 2：悪意のある Word 文書を指し示す O2 フィッシング請求書メッセージ

フィッシングリンクと悪意のある Word 文書の分析：

リンクをクリックすると、Web ブラウザがフィッシングサイト： hxxp://marianamengote(.)com/RLDXAIYKZD2314573/ に移動します（図 3 参照）。 悪意のあ る Word 文書 "O2 bill - 805985874058.doc"（MD5： 2E8BBD0C8B7DE7D5F4E541C192421451）をダウンロードした、侵害された Web サイトでこのリンクがホストされているようです。 この Word 文書には、悪意のある難読化されたマクロが含 まれています（図 4 参照）。

図 3： HTTP 経由でダウンロードされた悪意のある Word 文書

図 4： 悪意のあるマクロ

このマクロは、Base 64 でエンコードされた Powershell コマンドを実行します（図 5 参照）。

図 5：マクロで使用されるエンコードされた Powershell コマンド

デコードされたバージョンのコマンドを図 6 に示します。

図 6： デコードされたバージョンの Powershell コマンド

マクロが有効の Word 文書を開き、Powershell スクリプトを起動し、URL: hxxp://wernerbernheim(.)com(.)uy/capacitacion/bMLTBrcIE/ からマルウェアサンプルをダウ ンロードして実行します。

ダウンロードされたマルウェアは以下に保存されます。 C:\Users\{user}\AppData\Local\Temp\{random}.exe (MD5: D6EDE359E1ECBF8248B0FC8EF63CED7E).

マルウェアの分析：

ダウンロードしたマルウェアは、Emotet マルウェアの亜種です。 Emotet は、以下のような異な る動作を展開する悪名高い多面的なバンキングトロージャンです。

• 情報盗難モジュール - 電子メール、PST、ブラウザ
• 電子メールスパミングモジュール
• サービス拒否(DoS)モジュール

モジュールの動作によっては、マルウェアコンポーネントが次のパスに投下されます。

• %WINDIR%\system32\dcomevent.exe
• %LOCALAPPDATA%\Microsoft\Windows\dcomevent.exe

永続性のために、次のレジストリキーを作成します。

• HKLM\SYSTEM\CurrentControlSet\services\dcomevent
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

また、HTTPS を使用して IP 62.39.95.185 で CnC サーバに接続しようとします（図 7 参照）。

図 7: HTTP トラフィック

その後、マルウェアはスパムモジュールを読み込み、数千の電子メールアドレスに新しいスパ ム/フィッシングメールを送信しようとします（図 8 参照）。 これは典型的なスパムボットの動作 です。まず、各ターゲット電子メールドメインで DNS ルックアップを実行した後、そのドメインの それぞれの SMTP サーバにスパムを送信します。

図 8：マルウェアがスパムを送信するために使用する SMTP トラフィックのスナップショット

スパムメールに添付されているリンクに従って、同じ悪意のある Word 文書ファイルがダウンロ ードされますが、今回は別のドメインでホストされていました（図 9 参照）。

図 9：マルウェアによってスパムとして送信された悪質な Word 文書へのリンク

侵害の痕跡 (IOCs)

• 電子メール内の URL:
  • hxxp://marianamengote(.)com/RLDXAIYKZD2314573/
• 悪意のある Word 文書:
  • FileName: "O2 bill - 805985874058.doc"
  • MD5: 2E8BBD0C8B7DE7D5F4E541C192421451
• Emotet をダウンロードするための URL::
  • hxxp://wernerbernheim(.)com(.)uy/capacitacion/bMLTBrcIE/
• Emotet の亜種:
  • MD5: D6EDE359E1ECBF8248B0FC8EF63CED7E
  • C2: 39.95.185

まとめ

攻撃者は、電子メールインフラストラクチャが提供するシンプルさを利用して、バンキングトロ ージャンを世界中の犠牲者に配布しています。英国に拠点を置く電気通信会社である O2 か らの偽造メールの配信を目的としたこのようなフィッシングキャンペーンを、見た目のメッセー ジは正規の請求書の発送を偽装しているようですが、含まれているリンクは悪質な Word 文書 ファイルにつながります。この文書を開くと、悪名高い Emotet バンキングトロージャンの亜種 をインストールしようとします。この亜種には、世界中の電子メールアドレスへの感染したリンク を含むスパムメッセージの送信を開始するスパミングモジュールが装備されています。このタ イプの攻撃フロー（スパム＞悪意のあるリンクを含む＞悪意のあるフォキュメントのダウンロー ド＞トロージャン（トロイの木馬）のダウンロードと実行）は、電子メールゲートウェイを回避する ための手段として、さらに、このようなキャンペーンで使用されるスパム対策モジュールを搭載 したマルウェアは、攻撃を永続化するように設計されています。対策として、疑わしい電子メー ルメッセージは開かないでください。特に、マクロを含む予期しない文書を開くことは避けてくだ さい。

謝意

彼の貴重な助言と指導のために Phil Hay に感謝したいと思います。