ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

クラウドにアカウントを持つ顧客に対する Xeroing マル ウェア

著者:Dr. Fahim Abbasi and Rodel Mendrez

私たちは、2017 年 8 月 16 日に精巧なフィッシング詐欺行為を目撃しました。Xero から送られ たように偽装して詐欺メールを送信して被害者を標的にしています。Xero はニュージーランド に本拠を置くソフトウェア会社で、中小企業向けのクラウドベースの会計ソフトウェアを開発し ています。詐欺師は世界中にフィッシングメールを送信し Xero を偽装しました。これらのメッセ ージには、悪意のあるリンクが含まれています。このリンクは被害者が悪質な JavaScript ファ イルを含む Zip アーカイブをダウンロードするように仕向けます。実行時にこの JavaScript は、被害者のコンピュータにバンキングマルウェアをダウンロードして起動します。そして個人 情報を盗み出し、攻撃者の思うままに脆弱にしておきます。

メールヘッダーの分析

最初にメールヘッダーを分析し、そこに提供された豊富な情報を確認しました(図 1 参照)。 「From」ヘッダーフィールドの名前部分は、このメッセージが「Xero Billing Notifications</spans」から送 信されたことを示唆しています。しかしメールアドレスは、合法ビジネス「xero.com」ではなくドメ イン「xeronet.orgを指しています。

01
図 1:メールヘッダー


ドメイン「xeronet.org」を分析すると、キャンペーン開始日に中国に登録されたことがわかりま す(2017 年 8 月 16 日、無料のヤフーメールアドレスを使用して、図 2 参照)。ドメインはフラン スの IP: 94.23.4.201 を指しています。サイトを閲覧すると、見出し "XERONET.ORG"とテキスト Powered by VESTA.の静的 HTML ページが表示されます。

02
図 2:ドメイン登録の詳細

 

メールメッセージ本文の分析:

メールの本文を分析すると、ユーザが請求書リンクをクリックしてオンラインで請求書を表示す ることを推奨する、専門的に作成された請求メッセージのように見えます(図 3 参照)。

03
図 3:メール本文

 

メール本文のインボイスリンクは、偽の Xero ドメインでホストされている URL を指し、他の URL は正当な Xero.com サイトを指しています。我々はまた、違った種類の悪意のある URL を 発見しました。そのうちの 2 つはここに記載されています。

  1. hxxps://lakesambel-my(.)sharepoint(.)com/personal/contact_caravanparkbeechworth_com_au/_layouts/15/guestaccess.aspx?docid=03b4b6316d9ca4fa48971a9101a38b364&authkey=Afo8hRz5LV65-XWim02sZtg
  2. hxxps://barenbruguk-my(.)sharepoint(.)com/personal/jfrench_baruk_co_uk/_layouts/15/guestaccess.aspx?docid=3D0c6a2791db75141c2b5601c982deb2638&authkey=3DAQMGIKwV1pN27XNsERquBCQ

いずれかの URL を参照すると同じ結果が得られ、URL は JavaScript をブラウザにロードして ZIP ファイルを強制的に被害者のコンピュータにダウンロードします。図 4 はメールの 1 つの 詳細なフローを示しています。

04
図 4:攻撃の流れ

 

ダウンロードしたファイルの解析

悪質な JavaScript:Xero Invoice.js

Xero Invoice.zip を解凍すると、「Xero Invoice.js」が抽出されます。これは非常に難読化された JavaScript サンプルです(図 5 参照)。さらに分析すると、Microsoft ActiveX オブジェクト MSXML2.XMLHTTP を使用してマルウェアのペイロードをダウンロードする一般的な JavaScript ダウンローダおよびイグゼキュータのように見えます。このオブジェクトは、任意の HTTP 要求を送信し、応答を受信し、その応答を Microsoft XML 文書オブジェクトモデル (DOM)で解析させるために使われます。応答は"%TEMP%\Y739Ayh.exe"のようなバイナリの ランダムな名前でストリームを temp フォルダに保存する Microsoft ADODB ストリーム Active X オブジェクトの助けを借りてディスクに保存されます。このマルウェアは、ハードコードされた リンクからダウンロードされます:
hxxps://stakks-my(.)sharepoint(.)com/personal/accounts_stakks_com_au/_layouts/15/guestaccess.aspx?docid=0426cc21c900f4425bfd868cf0a9bc836&authkey=AdVBGQCO-SGtytiexhgUfw8. ダウンロー ドしたペイロードは、ActiveX WScript シェルオブジェクトを使用して最終的に実行されます。

05
図 5:悪質な難読化された JavaScript サンプル

 

この JavaScript ファイルをダブルクリックした犠牲者は、Windows OS 上でまるでバイナリのよ うに実行されるのを目撃することになるでしょう。これは、WScript.exe を使用して GUI からスク リプトを実行および自動化するためのフレームワークである Microsoft Windows Scripting Host (または WSH)によって容易になされます。WSH は、JScript や VBScript などのさまざまなスク リプト形式をサポートしています。

マルウェアペイロードの分析:Y739Ayh.exe

これは複数のタスクを実行する高度なマルウェアサンプルです。まず、システム、インストール されたアプリケーション、およびユーザに関する情報を収集します。これに続いて、レジストリを 介した Internet Explorer のシステム全体のポリシー設定と構成の変更が行われます。このマ ルウェアはまた、whoami.exe や net.exe のような良質の Windows プロセスをフックしようとしま す。図 6 は、マルウェアによって生成されたプロセスのフローを示しています。

06
図 6:マルウェアによって生成されたプロセスのフロー

 

この実行ファイルは Dridex バンキングトロージャン(銀行情報を盗むトロイの木馬)の亜種であ ることが判明しました。実行されると Y739Ayh.exe は不正なコードを正当なプロセスに注入す るためのプロセスの空洞化テクニック を実行します。API CreateProcessInternalW()を使用し て svchost.exe または spoolsv.exe という 2 つのターゲットプロセスの中断プロセスを作成しま す。その後、悪質なコードがターゲットプロセスの割り当てられた仮想アドレス領域に書き込ま れます。新しいコードセクションへのエントリポイントを変更した後、マルウェアは単に NTResumeThread()API を使用して中断されたプロセスを再開します。それからメインの実行 可能ファイル Y739Ayh.exe が削除されます。

ただし、実行可能ファイルが Windows システムディレクトリに存在する場合は、プロセス中断 ルーチンをスキップし、スタンドアロンプロセスとして実行されます。/p>

偵察

マルウェアは、コンピュータ名、システム情報、特権情報、および整合性レベルを収集すること により、感染したシステムを調べます。"whoami.exe /all"や"net.exe view"(図 7 参照)などの組み込みの Windows コマンドを使用して、後で除外される Windows%Temp%フォルダにドロッ プされた tmp ファイルに結果を保存します。

07
図 7:whoami.exe コマンドを使用したマルウェアの収集システム情報

 

またレジストリキーの "DisplayName"と "DisplayVersion"の値を照会して、インストールされて いるソフトウェアの一覧を収集します。

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Uninstall(図 8 を参照してくださ い)。

08
図 8:インストールされたソフトウェアのレジストリ値

 

この情報は XML 形式で格納され、暗号化され、制御サーバーにエクスポートされます。

難読化

このマルウェアは、API を間接的に呼び出す非常に一般的なアンチ分析手法を使用していま す。これにより、防御側が静的分析を実行することを防ぎます。たとえば、以下のコードでは、 Windows API RegCloseKey()を直接呼び出すのではなく、事前に計算されたハッシュを指定して API を解決する関数を最初に呼び出します。渡された最初のパラメータは動的ライブラリハ ッシュで、次に 2 番目のパラメータは API ハッシュです(図 9 参照)。

3A9838D7h = Advapi32
945E62DCh = RegCloseKey

09
図 9:API ハッシュコールによる難読化

 

IBM の人々は、この API 難読化技法の非常に良い執筆を 投稿しました。

マルウェアサンプルは、最初に実行されると、次の IP アドレスとポートへの発信接続を試みま す。

  1. 174.100.16:443
  2. 121.243.232:1443
  3. 208.64.187:1443
  4. 236.218.169:4343
  5. 31.77.229:1443

ここから、追加のコマンドおよび制御ノードと追加のボットモジュールを使用して設定をダウン ロードしようとします。分析の時点では、ボットはコマンド&コントロール(C&C)サーバーに接続 できませんでした。

Dridex は、Firefox、Chrome、Internet Explorer などの Web ブラウザに自分自身を注入するこ とによって、銀行情報や個人情報を盗むように設計されています。ブラウズ活動を監視し、設 定ファイルにリストされている対象オンライン銀行の機密情報を盗みます。

マルウェアは、SSL を使用して異なるポート上の複数のホストと通信します。非標準ポートを介 した通信に暗号化されたチャネルを使用することは、マルウェアの高度化をもたらします。

ネットワーク通信は、このマルウェアが既知のバンキングトロージャンである Dridex の亜種で あることを検証し、「ET TROJAN ABUSE.CH SSL Blacklist Malicious SSL certificate detected (Dridex)」と表示して、いくつかの新種の脅威 IDS ルールをトリガーしました。複 数の AV ベンダーもサンプルをトロイの木馬として分類しています。

このキャンペーンは、バンキングトロージャンをシステムに感染させることによって、グローバ ルな顧客からの銀行および個人情報を盗むように設計されています。正当なフィッシングメー ルを介して送られた URL を通じてアクセスされる Zip アーカイブ内の悪質な JavaScript のパ ッケージ化は、検出メカニズムを回避するための完全な手段を提供します。

類似のフィッシング詐欺行為に関するその他の報告

Xeronet キャンペーンの後には、オンラインの金融ソフトウェアサービス企業の顧客をターゲッ トにして同様の SharePoint URL を使用した一連の関連キャンペーンが続きました。私たちの 調査で、whois 情報の照合に基づいて、この新鮮なフィッシング攻撃の背後にいるサイバー犯 罪者が過去に(xeroaccounting.org , intuito.biz, quickbooks-support.biz, financialaccountant.info, myobaustralia.org, australiangovernments.com, btconnect.biz, drvenergy.com )のようなドメインを使用した同様のキャンペーンで活動していることが分かって います。私たちが 2017 年 8 月 20 日以降に目撃した関連するいくつかのキャンペーンを見て みましょう:

偽の MYOB キャンペーン:

このキャンペーンでは、偽の MYOB ステートメントを使用して、ユーザが攻撃者の制御する URL をクリックするよう誘導しました。キャンペーンは、2017 年 8 月 22 日に表面化し、24 時間 後に終了しました。MYOB は中小企業向けの税金、給与計算、会計などのサービスを提供す るオーストラリアの多国籍企業です。可能な限り標的化し効果的なキャンペーンを行うため に、詐欺師は偽の MYOB のようなドメイン(myobemail.com)を登録して、バンキングトロージャ ンに役立つ不正なフィッシングメッセージを送信しました。

  1. Xeronet キャンペーンと同様に、ドメインmyobemail.com はフランスの IP 94.23.59.109を指しています。
  2. ドメインは 2017 年 8 月 22 日に作成され、Dropboxa.com ドメイン(後述)と同じ個人、す なわち Xiamin、China のWang Wiet from Xiamin, China, with the email: whois-protect@hotmail.comで登録されて います。
  3. 閲覧すると、同様の静的な HTML ページが、同じフォントと同じpowered-by VESTA メ ッセージ(図 10 を参照)を使って "MYOBEMAIL.COM"という見出しで表示されます。
  4. 図 11 は、メールメッセージのスクリーンショットを示しています。これは、偽の MYOB メ ールテンプレートを使用して特別に細工されたメッセージで、犠牲者がクリックして請求 書を表示するように誘導します。[請求書の表示]ボタンをクリックすると、ユーザのブラウザが SharePoint の URL に移動します。悪意のある URL をホストするための SharePoint の使用は比較的新しいものであり、このキャンペーンでこのサービスが悪 用されているのは興味深いです。
  5. 攻撃者は、Xeronet キャンペーンで使用されているものと同様の共有 URL を使用しま した。この URL はアクティブで、ブラウザにアクセスすると、悪質な JavaScript(サンプ ルINV-P0719.js, with md5sum: d717b30c5799fcbd571ed44a54ffb187) を含む zip ファイル (Xeronet との類似点)をダウンロードしました。
  6. JavaScript を実行すると、別の マルウェア、特に Ursnif Trojan がダウンロードされま す。このマルウェアは、Firefox、Chrome または IE にコードを注入し、オンラインバンキ ング活動を監視し、後でキャプチャしたデータをコントロールサーバーに送信します
  7. メールで共有される URL は次のとおりです。hxxps://crawfordltd-my(.)sharepoint.com/personal/brian_crawford-ltd_co_uk/_layouts/15/guestaccess.aspx?docid=0b0d2f24869b643a0a&authkey=3DAcjrc9zYJtukV1h2YDVyTXo
10
図 10:myobemail.com サイトのコンテンツ

 

11
図 11:偽の MYOB メール

 

偽 Quickbooks キャンペーン:

このキャンペーンでは、偽 Quickbook ステートメントを使用して、ユーザに攻撃者が制御する URL をクリックさせるように誘導しました。キャンペーンは 2017 年 8 月 23 日に表面化し、24 時間後に終了しました。QuickBooks は Intuit 社が開発し販売する会計ソフトウェアパッケージ です。QuickBooks は、オンプレミスからクラウドソリューションまで、中小企業向けの税金、給 与計算、会計などのサービスを提供します。詐欺師は、不正なフィッシングメッセージを送信す るために偽のクイックブックのようなドメイン(qbaccountants.net)を登録しました。

  1. ドメイン qbaccountants.net は、テスト時にはどの IP も指していませんでした。
  2. ドメインは 2017 年 8 月 20 日に作成され、Xiamin、China のWang Wiet from Xiamin, China, with the email: whois-protect@hotmail.comで登録されています。
  3. 今回はサイトが qbaccountants.net にアクセスしていないのは、サイトがコンテンツを提 供していないためです。
  4. 図 12 にメールメッセージのスクリーンショットが示されています。これは、偽のクイック ブックのようなメールテンプレートを使用して特別に細工されたメッセージで、犠牲者が ボタンをクリックして請求書を表示し、「請求書の表示」ボタンをクリックすると、ユーザ のブラウザが SharePoint URL に移動します。
  5. 攻撃者は、Xeronet キャンペーンで使用されているものと同様の SharePoint URL を使 用しました。これをテストした時点でこの URL はコンテンツをダウンロードしないため、 URL がダウンしているようでした。メールで共有される URL は次のとおりです。hxxps://officechoiceau-my(.)sharepoint.com/personal/brad_obrien_officechoice_com_au/_layouts/15/guestaccess.aspx?docid=0c38ed7472ef548cba04d894ec061f296&authkey=AbjI3ElfLWkKwdg3yJtoSIM
12
図 12:偽の Quickbook フィッシング詐欺メール

 

偽の Dropbox キャンペーン:

このキャンペーンでは、偽の Dropbox ステートメントを使用して、ユーザが攻撃者の制御する URL をクリックするよう誘導していました。キャンペーンは 2017 年 8 月 21 日に表面化し、24 時間後に終了しました。Dropbox はファイルホスティングサービスです。詐欺師は不正な Dropbox のようなドメインを登録して、スパムメッセージとして不正なアカウントステートメントを 送信しました。

  1. Xeronet キャンペーンと同様に、ドメイン dropboxa.com もフランスの IP: 94.23.195.103を指しています。
  2. ドメインは 2017 年 8 月 20 日に作成され、Xiamin、China の Wang Wiet from Xiamin, China, with the email: whois-protect@hotmail.comで登録されています。
  3. サイト dropboxa.com を参照すると、同じフォントと同じ powered-by VESTA メッセージ を使用して、「DROPBOXA.COM」という見出しのある同様の静的 HTML ページが表示 されます。
  4. 図 13 に、メールメッセージのスクリーンショットを示します。これは、偽の Dropbox メー ルテンプレートを使用して、犠牲者に共有アカウントの statement.zip ファイルをクリック させる特別な細工をしたメッセージです。"View File"ボタンをクリックすると、ユーザの ブラウザが SharePoint URL に移動します。
  5. 攻撃者は、Xeronet キャンペーンで使用されているものと同様の SharePoint URL を使 用しました。これをテストした時点で、URL はコンテンツをダウンロードしていないため、 URL がダウンしているようでした。メールで共有されている URL は次のとおりです。https://easyshed-my.sharepoint.com/personal/vicky_taylor_easyshed_com_au/_layouts/15/guestaccess.aspx?docid=05ab5a1c6f1364d5fac71e1ecb76ca2f6&authkey=Aafhr9BMCydDXxJRuWz6xYE
13
図 13:偽の Dropbox フィッシング詐欺メール

 

結論

攻撃者はメールインフラストラクチャによって提供されるシンプルさを利用して、バンキングトロ ージャンを世界中の犠牲者に配布しています。私たちは、分散ハニーポットセンサーによって 検出されたそのようなキャンペーンの 1 つを観察しました。これらのフィッシングメッセージに は、アカウンティングソフトウェア会社である Xero の正当な、しかし偽装されたメールメッセー ジが含まれていました。メッセージは専門的に作成された請求メッセージで、ユーザが悪質な 請求書リンクをクリックして請求書をオンラインで見ることを勧めています。この悪意のあるリン クにより、悪質な難読化された JavaScript ファイルを含む zip ファイルがダウンロードされま す。実行されると、悪意のある JavaScript ファイルがダウンロードされ、巧妙なバンキングトロ ージャンが被害者のコンピュータで実行されます。このバンキングトロージャンは、ユーザから 銀行情報を盗むことを目的とした Dridex マルウェアの変種であることが判明しました。

また、他のよく知られているオンライン会計ソフトウェア会社の顧客を対象に、同じ週にいくつ かの同様のキャンペーンが実施されました。このような攻撃は、人々が特定のブランドに対し て持っている信頼を利用している最近の攻撃の傾向として浮上しています。対策として、疑わ しいと思われるメールメッセージを開かないようにしてください。特に未知のダウンロードファイ ルを開かないようにしてください。お客様は、未知のソースから来た ZIP アーカイブを開くことを 控え、JavaScript などの未知のファイルフォーマットを実行しないようにする必要があります。 このようなスクリプトによってマルウェアの多くが最近配布されているようです。

謝辞

Gerald Carsula、Phil Hay、Karl Sigler の貴重なコメントとフィードバックに感謝いたします。