ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

Locky パート 1: Lukitus スパムキャンペーンと彼らの ゲームオブスローンズ(Game of Thrones)への愛

2001 年 8 月に、Trustwave SpiderLabs は、「diablo」という新しい Locky 亜種を配布したスパム キャンペーンを報告しました。予想された通り、事件ははるかに大きなキャンペーンのための 導火線に過ぎず、数週間後には、「Lukitus」と呼ばれる Locky の新しい亜種が発売されまし た。

最初にあなたはなぜ Lukitus なの?と不思議に思ったかもしれません。それは、彼の形と性別 を変える可能性のある北欧の神話の有名なトリックスター神「Loki」の名前を模しているようで す。また、Locky ファミリーはその神話の神の名前をバリエーションとともに使用してきたという 実績があるので、 「Loki」に関連していることも意味があります。しかし、少し深く掘り下げてい くと、「Lukitus」はロックを意味するフィンランド語であり、クリプトロッカーランサムウェアに完全 にフィットしています。

Lukitus の最初のデビュー以来、バイナリ・ペイロードの実際の動作はそれほど変わっていま せんが、もっと興味深いのは、それがどのようにして被害者のシステムに入るかを変えた方法 です。このブログでは、Locky が最近の「ykcol」という亜種に変更されるまでの 1 か月間の活 動を通して何が起こったのかをまとめます(ykcol については別の記事で説明します)。

Lukitus の亜種の最初の事件では、空白の件名や CSI、音声メッセージ、支払い領収書に関 する E メールなど、いくつかのスパムテンプレートが含まれています。メッセージには、圧縮さ れた JS または VBScript ファイルのいずれかの添付ファイルがあります。これらのスクリプトフ ァイルは難読化されており、基本的には Lukitus バイナリをダウンロードする機能を備えてい ます。

Necurs-locky

イメージファイルやスキャンされたファイルに関連する複数の件名を使用する複数のスパムテ ンプレートが見つかりました。また、人気の ZIP と RAR のアーカイブファイル形式を使用する 代わりに、スパマーは 7zip を使用して悪質な VBScript ダウンローダを圧縮することを選択し ました。

Locky-email02

また、画像/グラフィックスの件名のほかに、添付された Word 文書を使用した傑出した請求書 テーマのスパムも含まれていました。この文書が実行されると、XMLHTTP オブジェクトを使用 して Lukitus バイナリをダウンロードする悪質なマクロスクリプトが実行されます。マクロスクリ プトはダウンロードバイナリの実行も担当します。

Locky-email

スパム送信者は送信した添付ファイルの種類も変更しようとしました。イメージや写真、スキャ ン、ドキュメントに関するサンプルテンプレートを使用すると、代わりに JS ダウンローダに移行 します。場合によっては、悪意のある Word 文書が添付されている場合、ダウンロードルーチン の実行方法にいくつかのバリエーションがあります。スパマーは System.Net.WebClient にアク セスする PowerShell でマクロスクリプトを使用し、XMLHTTP オブジェクトに直接アクセスする のではなく、Lukitus バイナリをダウンロードしました。

Locky-blank

 

またスパマーは、RAR ファイルに圧縮された JS ダウンローダを使って、偽のファックスやボイ スメッセージに関する電子メールを多数の人に送りつけるように試みました。

Locky-email

 

ある時点で、攻撃者は添付ファイル付きの通常の電子メールを使用することを止めました。代 わりに、電子メールテンプレートは、ユーザーにクリックを誘発し、最終的に VBScript ダウンロ ーダにつながる URL リンク(意図的な請求書のコピー)を使用しました。

Necurs-email-vbs

 

このキャンペーンでは、SAGE 購読請求書を偽造しようとする、より説得力のある電子メールテ ンプレートも使用されました。URL リンクをクリックすると、内部に圧縮された VBScript ダウン ローダを持つ RAR ファイルがダウンロードされました。

Sage

 

すぐ後に攻撃者は、少しひねりを加えた支払い請求書のテーマを使用する添付ファイル付き のメールに戻りました。 添付の JS ダウンローダは、XMLHTTP オブジェクトと PowerShell メソ ッドの両方を使用して、Lukitus バイナリファイルをダウンロードしています。

Locky-js-decoded

 

Sage の電子メールテンプレートを使用する際の問題は、標的が Sage というソフトウェア会社 を知っている少数のユーザーだけになってしまうことです。スパム発信者はそれを覚えて、今 度は Microsoft Store から偽の Dropbox 通知になりすました請求書を使用します。以前の Lukitus ベースの電子メールテンプレートと同様に、偽の Microsoft 請求書は URL と 添付ファ イルの両方を使用して、圧縮された 7Zip ファイルから VBScript ダウンローダを開くようにユー ザーを騙しました。

Vbs

 

その VBScript コードを分析したときに、とても驚いたことがありました。使用される変数名が、 有名な HBO シリーズ - Game of Thrones に関連する文字やシーンだったのです。このスパム キャンペーンを運営している人は誰でもテレビシリーズのファンであるとも思います。

Vbs

結論

8 月の Locky-diablo 亜種による最初の事件から、我々はフォロースルーキャンペーンを予想 しており、がっかりさせられることはありませんでした。スパム発信者は、さまざまな電子メール テンプレートを使用してあらゆる種類のスパムで電子メールゲートウェイに衝撃を与えてきまし た。画像/グラフィックス、スキャンされた文書、偽の請求書、有名企業の詐称されたアカウント 確認に関する偽のメールなどすべてが使用されています。マクロスクリプトや圧縮された JS や VBScript のダウンローダの組み合わせを含む悪意のある Word 文書はすべて、テレビシリ ーズの Game of Thrones のフォロワーと思われるこのアクターグループのゲームプランに含ま れているようです。

これらの行動は、キャンペーンが毎日変わり、同じ究極のペイロードを配信する、常に進化す るトリックのバッグの中を明らかにしています。しかし、すべてのトリックの下には、スパマーが 電子メール構造をどのように進化させているかを判断し、顧客にタイムリーな電子メール保護 を提供するために、私たちが厳密に監視するという共通のテーマがあります。