ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

報復付きの VAT(付加価値税)の返金

著者: Dr. Fahim Abbasi, Gerald Carsula and Rodel Mendrez

詐欺の概要

英国歳入関税局(㻴㻹㻾㻯)は、税金の徴収やその他の税金関連サービス(㼂㻭㼀(付加価値税) の返金など)を担当する英国部門です。2017 年 9 月 6 日、詐欺集団は、㻴㻹㻾㻯 サポートサー ビスドメインから送られているように見え、㼂㻭㼀 申告書を装った悪名高い 㻶㻾㻭㼀 のマルウェア へのリンクを含む偽装された電子メールメッセージを使用したフィッシング攻撃を開始しまし た。詐欺メールは 2017 年 9 月 6 日に登録された 㻴㻹㻾㻯「のような」ドメイン(hmirc-gov.co.uk)を使用して送信され、その時点では 㼃eb コンテンツは含まれていませんでした。件名「㼂㻭㼀 㻾eturn 㻽uery」を使用して、このドメインからフィッシングメールが送信されます。電子メールの 本文は、ユーザーが最近提出した 㼂㻭㼀 の返品に何らかのエラーがあったことを示唆して、 㻼㻰㻲 ドキュメントの埋め込みイメージをクリックするようユーザーに促します。このリンクをクリッ クすると、被害者が 㼂㻭㼀 㻾eturn 㼆㻵㻼 ファイルをダウンロードする 㻹icrosoft 㻻ne㻰rive ファイル 共有サービスに移動します。この 㼆㻵㻼 ファイルには、実行時にいくつかの 㼂㻮㻿 スクリプトを介 してマルウェアをダウンロードして起動する悪質な 㻶ava 㻶ar ファイルが含まれています。

メールヘッダー

ヘッダーと本文の両方を含む偽装メッセージが図 1 に示されています。㼇㻲rom㼉フィールドに偽 装された 㻴㻹㻾㻯 名フィールドと偽の 㻴㻹㻾㻯 のようなドメイン: HMRC Business Help and Support Email <no-reply@hmirc-gov.co.uk>. のメールが含まれていることを確認します。 また、件 名には件名「VAT Return Queryy」が含まれており、ユーザーに正当なメッセージであるとアピ ールしています。

1
図 1:スプーフィングされた 㻴㻹㻾㻯 フィッシングメッセージ

メール本文

電子メール本文には、オンライン上での 㼂㻭㼀 の返金申請が、添付ファイルに見られるようない くつかのエラーを検出したことをユーザーに警告するメッセージが含まれています。このキャッ チーなメッセージで、詐欺師は犠牲者に添付ファイルをクリックするよう誘惑します。ここでは、 このメッセージと共に送信される実際の添付ファイルがないことに注意することが重要です。 図 1 のメッセージ本体に表示される添付ファイルの錯覚は、㻹icrosoft 㻻ne㻰rive ファイル共有 サービスを指す 㼁㻾㻸 を使用して埋め込まれた埋め込み 㻴㼀㻹㻸 イメージを使用して実現されま す。これを実現するボディの 㻴㼀㻹㻸 コードを以下に示します。

<div><a href="hxxps://1drv[.]ms/u/s!AidAUoMZ6gzMjXT1O4pZ6yRDcwJO"><img src="cid:150470248359aff0137c36e299790454@hmirc-gov[.]co.uk" alt="" width="269" height="77" /></a></div>

リンクをクリックすると、ブラウザが 㻻ne㻰rive サービスに接続され、図 2 に示すようにファイルVAT RETURN QUERY.ZIPが自動的にダウンロードされます

2
図 2:圧縮されたマルウェアをホストしている 㻹㻿 㻻ne㻰rive ページ

「㼂㻭㼀 㻾㻱㼀㼁㻾㻺 㻽㼁㻱㻾㼅.㼆㻵㻼」を 㻶ava 㻶ar ファイル「VAT Return Query.pdf.jar" (having MD5 2408ae3fa15b0236055f467b52f4a487)に解凍します。

マルウェア分析

㻶ar ファイルを分析すると、j㻾㻭㼀 のボットエージェントであることがわかりました。電子メールス パムと 㻵㻾 調査の両方で、この 㻶ava 㻾㻭㼀 が多く見られます。一つの理由は、それが非常に手 頃な価格であるということです。㼁㻿㻰 29 で、あなたはリモートマシンを所有することができま す。j㻾㻭㼀 の機能は、㼃eb サイト(https://jrat㼇.㼉io/showcase.php)から入手できます。

各ボットには独自の設定があり、この特定のサンプルには、よく知られているセキュリティとフ ォレンジック関連ツールの実行を妨げるアンチ分析メカニズムがあります。「㻵mage 㻲ile 㻱xecution」レジストリキーにプロセス名を追加すると、図 3 のように「svchost.exe」が実行され ます。

3
図 3:イメージファイル実行レジストリキーの変更

マルウェアは、次のレジストリキーを追加してタスクマネージャを無効にします。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr = dword:00000002

次のレジストリキーを変更して、㼃indows 添付ファイルマネージャのセキュリティ設定を低くしま す。

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
    • SaveZoneInformation = dword:00000001
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
    • LowRiskFileTypes = ".avi;.bat;.com;.cmd;.exe;.htm;.html;.lnk;.mpg;.mpeg;.mov;.mp3;.msi;.m3u;.rar;.reg;.txt;.vbs;.wav;.zip;.jar;"

次のレジストリエントリを追加して、システムの復元を無効にします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
    • "DisableConfig"=dword:00000001
    • "DisableSR"=dword:00000001

また、永続性メカニズムのために、次のレジストリを作成します。

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    • "wdATEvtEWcA"="C:\Users\<user>\AppData\Roaming\Oracle\bin\javaw.exe" -jar "C:\Users\<user>\iokxIzCCSmO\.jar.gAdpwu"

ボットのコマンド・コントロール・サーバは 1990[.]nflfan[.]org:1990 です(図 4 参照)。

4
図 4:㻮ot 㻯n㻯

 

5

 

侵害の痕跡(IOC)

フォルダ

  • %USERPROFILE%\fUTkALeaTxM – - インストールフォルダ
  • %USERPROFILE%\iokxIzCCSmO - - インストールフォルダ

レジストリ

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  • "wdATEvtEWcA"="C:\Users\<user>\AppData\Roaming\Oracle\bin\javaw.exe" -jar "C:\Users\<user>\iokxIzCCSmO\.jar.gAdpwu"

ネットワーク

  • 1990[.]nflfan[.]org:1990
  • localhost:7777

結論

詐欺集団はさらなる目的のために、電子メールによって提供されるシンプルさ不正に利用しま す。これらのサイバー犯罪者は、オンラインプロセスと、公的機関と民間セクターの両方の組 織が使用するオンラインメカニズムの依存性を十分に認識しており、この情報を使用して被害 者の信頼を得ています。彼らはまた、政府が納税申告書のために使用するような様々な納期を認識しており、この情報を使用して緊急性を感じさせます。収益性の高いリターンとモダンな マルウェアを搭載したサイバー犯罪者は、最近のイベントを利用して、世界の犠牲者を対象と したフィッシング攻撃を開始します。これらのフィッシング攻撃は、犠牲者に、政府の税務署か ら送信されたと思わせるなりすましのメッセージを使用して、偽の 㼂㻭㼀 返信文書に偽装された マルウェアをダウンロードするように誘導します。このキャンペーンでは、使用されたマルウェ アは、被害者のコンピュータを完全にリモートコントロールできる既知の 㻶ava 㻾㻭㼀 トロージャ ン(トロイの木馬)でした。㻿hare㻼oint(㼃eb ベースの共同プラットフォーム)や 㻻ne㻰rive(ファイ ル共有サービス)などの 㻹icrosoft サービスを使用したフィッシングキャンペーンの増加が見ら れました。詐欺師は、㻹icrosoft のような評判の良いクラウドサービスを利用してマルウェアを さまざまなセキュリティ防御による検出を回避するようにルーティングすると想定しています。こ のような詐欺は納税期にはかなり有効であるため、ユーザーは特に注意する必要がありま す。