スパム
日本のユーザを狙うスパムメール送信活動を確認、ステガノグラフィを利用し「BEBLOH」を拡散
トレンドマイクロは、2018 年 10 月 24 日、オンライン銀行詐欺ツール(バンキングトロジャン)「BEBLOH」を拡散する短時間のスパムメール送信活動を確認しました。検出された 185,902 件のスパムメールは、その 90% 以上が日本語話者を対象としていました。
トレンドマイクロは、2018 年 10 月 24 日、オンライン銀行詐欺ツール(バンキングトロジャン)「BEBLOH」を拡散する短時間のスパムメール送信活動を確認しました。検出された 185,902 件のスパムメールは、その 90% 以上が日本語話者を対象としていました。今回確認されたスパムメールは、2018 年8月上旬に確認された、Internet Query (IQY) ファイルおよび PowerShell を利用して「BEBLOH」およびバンキングトロジャン「URSNIF」を拡散するスパムメールと同様に、ボットネット「CUTWAIL」によって送信されたと見られています。
解析したスパムメールのいくつかでは、BEBLOH が、コマンド&コントロール(C&C)サーバからURSNIF をダウンロードする事例が確認されました。BEBLOH と URSNIF が同時に拡散される事例は、これまでのスパムメールの中では珍しいものです。セキュリティ企業「CROUDSTRIKE」の報告によると、今回のスパムメールは、「steganography(ステガノグラフィ)」を利用することでよく知られたサイバー犯罪集団「NARWHAL SPIDER」から送信されたものです。ステガノグラフィとは、不正コードを、画像データのような別の情報に埋め込むことで、シグネチャベースの検出を逃れる手法です。
■感染の流れ
図 1:感染の流れ
今回確認されたスパムメールは、ソーシャルエンジニアリングのために以下のような件名を利用していました。
- 注文書の件
- 申請書類の提出
- 立替金報告書の件です。
- 納品書フォーマットの送付
- 請求データ送付します
また、スパムメールには、図 2 のように”DOC2410201810<6桁のランダムな数字>.xls” というファイル名の Excel ファイルが添付されていました
図 2:不正な Excel ファイルが添付されたスパムメールの例
問題のファイルは、図 3 のように日本語の見積書に偽装していました。この偽の見積書には、マクロを有効化するために、「編集を有効にする」および「コンテンツの有効化」ボタンをクリックするようにという指示が書かれています。
図 3:見積書を装う不正な添付ファイル
この文書ファイルに埋め込まれた不正なマクロは、図 4 に示したコードによって文字列を組み立て、Shell 関数を利用してそれを実行します。
図 4:組み立てた文字列を Shell 関数で実行するマクロのコード
このマクロのコードは、図 5 のバッチコマンドを作成します。”cmd.exe”に与えられたパラメータ「/V:ON」は、遅延環境変数の展開を有効化することを意味します。これにより、コマンド内の変数は処理実行時に値に置き換えられます。今回の事例で、このバッチコマンドには英字の変数と、その英字に対するインデックスのリストが含まれていました。
図 5:マクロが作成したバッチコマンド
インデックスのリストを使用した繰り返し処理は、インデックスの値が 84 のとき終了します。その後、この繰り返し処理による連結で作成されたコマンドを「cmd /C」で実行します。
図 6:バッチコマンドが作成したコマンドをさらに「cmd /C」で実行
ここで実行されるコマンドは、画像をダウンロードし、ステガノグラフィによって埋め込まれた情報を復号する PowerShell スクリプトです。埋め込まれていた情報もまた、PowerShell スクリプトでした。
■ステガノグラフィの使用と PowerShell の悪用
図 7 は、画像をダウンロードし情報を抽出する PowerShell スクリプトです。
図 7:難読化を解除した PowerShell スクリプト(ハイライト部は画像 URL)
ダウンロードされる画像は、620 × 485 ピクセルの PNG 画像です。この画像データの最初の 3 行(3 × 620 ピクセル)に、次の段階の PowerShell スクリプトがステガノグラフィの手法を利用して埋め込まれていました。図 8 は、問題の画像のイメージです。
図 8:ダウンロードされた画像(最初の 3 行に PowerShell スクリプトを隠ぺい)
図 9 は、図 7 のスクリプトを、読みやすいように体裁を整えたものです。各ピクセルの青色を表すデータの下位 4 ビットと、緑色を表すデータの下位 4 ビットを利用し、各ピクセルから 1 バイトのデータを作成しています。このようにして抽出されたデータの最初の 1,342 バイトが ASCII 文字に変換され、PowerShell スクリプトとして実行されます。
図 9:体裁を整えた PowerShell スクリプト(情報を抽出するアルゴリズムの部分)
この PowerShell スクリプトは、痕跡を最小限に止めるために、クリップボードにコピーされた上で実行されます。このような手法は、イタリアのユーザを狙って URSNIF を拡散する別のスパムメール送信活動でも以前確認されています。
二段階の難読化が施されていたこの PowerShell スクリプトは、BEBLOH をダウンロードする単純なダウンローダです。今回実際に確認されたマルウェアは BEBLOH でしたが、BEBLOH の C&C サーバからは別のマルウェア URSNIF がダウンロードされることも確認しています。
図 10:最終的な PowerShell のコード
(難読化解除済み、ハイライト部の URL からマルウェアをダウンロード)
BEBLOH は、感染 PC から以下のような情報を収集します。
- オペレーティングシステム(OS)
- ネットワーク設定
- スクリーンショット
- クリップボードのログ
- クッキー
- 電子証明書
- メールアカウントの認証情報
他にも、BEBLOH は、ブラウザの監視や、サンドボックス技術による検出の回避などの機能を備えています。
■被害に遭わないためには
BEBLOH のような脅威は決して新しいものではありませんが、脅威状況の中で確固とした位置を確立しており、攻撃者は、継続的に手口を微調整しながら、このような脅威を拡散しています。今回の事例も、以下のようなベストプラクティスの重要性を強調するものだと言えます。
- OS やソフトウェアの定期的な更新
- 最小権限の原則の適用:PowerShell のようなシステム管理者用ツールの制限および監視
- メールゲートウェイの保護
- 不審なメールや迷惑メールに対する注意喚起
■トレンドマイクロの対策
トレンドマイクロの法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery™ Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。
クロスジェネレーションで進化を続ける「XGen™ セキュリティ」は、AI 技術をはじめとする先進技術と実績の高いスレットインテリジェンスを融合した防御アプローチにより、データを保管するサーバ、データを交換するネットワーク、データを利用するユーザの各レイヤーで最適化されたセキュリティを提供します。Web/URL フィルタリング、挙動解析、カスタムサンドボックスのような機能を備えたクロスジェネレーション(XGen)セキュリティアプローチは、既知または未知/未公開の脆弱性を狙い、個人情報を窃取したり暗号化したりする脅威をブロックします。
「Trend Micro Hosted Email Security™」は、メンテナンス不要のクラウドソリューションであるため、継続的に更新される保護機能が、スパム、マルウェア、スペアフィッシング、ランサムウェア、より高度な標的型攻撃をネットワークに到達する前に阻止します。Microsoft Exchange、Microsoft Office 365、Google Apps などの SaaS およびオンプレミスのメール環境を保護します。
■侵入の痕跡(Indicator of Compromise、IoC)
関連するSHA256値は以下の通りです。
- 「X2KM_DONOFF.GOFAI」として検出:54303e5aa05db2becbef0978baa60775858899b17a5d372365ba3c5b1220fd2e
- 「TSPY_SHIOTOB.TFEA」として検出:03fe36e396a2730fa9a51c455d39f2ba8168e5e7b1111102c1e349b6eac93778
- 「TSPY_HPURSNIF.SMZD2」として検出:2b277c411944cb25bf454ad5dc38d32e8eed45eac058304982c15646720990cf
関連する不正なドメイン/URLは以下の通りです。
- hxxps://images2.imgbox[.]com/ca/88/A2ZSlW6S_o[.]png
- hxxps://oaril[.]com/auth/ (BEBLOH の C&C サーバ)
- hxxp://lersow[.]com/images/beckky[.]exe (URSNIF)
※調査協力:秋保陽介(Regional Trend Labs)
参考記事:
- 「Spam Campaign Targets Japan, Uses Steganography to Deliver the BEBLOH Banking Trojan」
by Jaromir Horejsi, Loseway Lu, and Marshall Chen
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)