「EMOTET」後のメール脅威状況:「IcedID」および「BazarCall」が3月に急増
マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。
この数年、メール経由で拡散するマルウェアの代表格だった「EMOTET」は1月にテイクダウンされたため、メール経由の脅威全体も取るに足らないものになったように思っている方も多いかもしれません。しかし、マルウェアスパムを送信するサイバー犯罪者は別のマルウェアを拡散させるメールの送信を続けています。トレンドマイクロは、2021年3月にマルウェア「BazarCall」と「IcedID」の活動がグローバル全体で急増したことを確認しました。この2つのキャンペーンはどちらも、スパムメールを使用してユーザに不正なファイルをダウンロードさせるよう誘導します。BazarCallはコールセンターを使用するなど、より婉曲的な方法を採用しています。一方、IcedIDは昨年流行したEMOTETと同様に、スパムメールをより本物らしく見せるために実際にやりとりされた電子メールを窃取し再利用します。外部の複数のリサーチャーからもBazarCallとIcedIDが3月にスパムメールキャンペーンで積極的に拡散されていたことが報告されており、トレンドマイクロの調査結果と合致しています。一般的に、グローバル全体で活発化が確認された攻撃キャンペーンは後に日本を攻撃対象として同様の手法で展開されることがあるため注意が必要です。実際、一昨年から国内でのメール拡散が拡大した「EMOTET」も、グローバル全体でキャンペーンの活発化が確認された後に日本を攻撃対象とした日本語のスパムメールが拡散されるようになりました。
図1:「BarzarCall」を拡散させるマルウェアスパムの例
無料お試し期間が終了し支払いが発生するという内容で連絡先電話番号に電話するよう誘導する
BazarCall
BazarCallは、テレフォンオペレータを用いて、当初のペイロード「BazarLoader」を感染させる不正なファイルをダウンロードするようユーザに指示する手口が確認されていたことから、この名前が付けられました。Webの表示やメールの文面で利用者を騙し、電話をかけさせる手口はいわゆる「サポート詐欺」と同じと言えます。BazarLoader自体は2020年に初めて確認されたマルウェアであり、「Trickbot」の開発者が関連しているとされ、悪性高いランサムウェア「Ryuk」の配布にも利用されています。
BazarCallを拡散するスパムメールの検出数を見ると、3月に活動が活発化していることが分かりました。標的となるユーザの多くが米国に在住しており、次いでドイツ、インドであることも確認されています。
図2: BazarCallを配布するスパムメールを受信した国
(期間:2021年3月23日~25日)
図3:BazarCall感染チェーン
BazarCallの活動は、「Medical Reminder Service」という架空の会社が提供するサービスの無料お試し期間がもうすぐ終了する、という内容のスパムメールから始まります。この社名は、BazarCallのキャンペーンで確認された会社名として「Bleeping Computer」が報告したものと同じで、弊社で観測したキャンペーンは彼らが確認した活動パターンと類似しています。冒頭に示したように、メールには月額料金の請求を避けるためには、記載された番号に電話をかけ、解約手続きをするよう指示されています。
ユーザが提供されている番号に電話をかけると、テレフォンオペレータから解約するためのWebページにアクセスするよう指示されます。このページは、マルウェアのダウンロードページです。ユーザがサブスクリプション番号を入力すると、自動的にExcel文書がダウンロードされます。ダウンロードされた文書は普通の入力フォームのように見えますが、実際にはマルウェアが埋め込まれたファイルです。
図4:解約のためのWebサイトにある不正ファイルのダウンロードページ
図5:不正なExcel文書
テレフォンオペレータは、続いてコンテンツを有効化するよう指示します。ユーザは気づかずにマクロを有効にし、これにより不正なバイナリがC:Users\Publicフォルダにドロップされます。
埋め込まれたマルウェアは、まず、第1段階のコマンド&コントロール(C&C)サーバに「ping」コマンドを送信します。そして多くの場合第2段階のダウンロードURLが返信され、最終的にBazarLoaderのペイロードが送信されます。残念ながら、弊社の解析の時点で活動中のC&Cサーバが存在せず、ペイロードの確認ができませんでした。
BazarCallはまた、最終的なペイロードであるBazarLoaderを送信するために、「サービスとしてのマルウェア(Malware-as-a-Service、MaaS)」と考えられる「Campo Loader」を利用していることが特徴的です。トレンドマイクロは、引き続きBazarCallの動向を監視していきます。現在のところ、3月に急増した活動は4月に入って減っているようです。
IcedID
IcedIDは、2017年に初めて発見されたバンキングトロジャンです。2020年には、サイバー犯罪者グループ「Shathak(別名TA551)」によって利用されています。このグループは、不正なマクロを利用しパスワード保護されたWord文書を添付したスパムメールを使用します。過去の事例として、トレンドマイクロでは2020年10月末頃にIcedIDを拡散させる日本語マルウェアスパムを確認しています。
今回、トレンドマイクロではBazarCallと同様に2021年3月に急増するIcedIDの活動を確認しました。IcedIDのキャンペーンは、実際のメールのやりとりを盗用してZIP形式の不正なファイルを添付することで知られていますが、トレンドマイクロが観測した活動でも同じ手口が使用されていました。
図6:IcedIDの配布に使用されたスパムメールの例
(盗用されたメール文章と圧縮された添付ファイルが確認できる)
添付のZIPファイルを開封すると、XLSMファイルが含まれています。このファイルには単純な隠蔽技術が使用されています。白抜きのテキストで書かれた不正な数式が含まれる列が非表示になっており、ユーザがその列を再表示して文字をハイライトしない限り、見えないようになっています。ユーザがマクロコードを実行すると、64ビットの.dllファイルがダウンロードされますが、これはバイナリのIcedIDです。
図7:IcedIDのダウンロードに使用されるExcelファイル
(列が非表示となっている左側と、再表示して文字列が選択された右側)
検出台数の監視によりIcedIDが4月に入っても継続して活動していることを確認していますが、BazarCallと同様にその数は減少しています。
被害に遭わないためには
スパムメールは、マルウェアの配布に利用される伝統的かつ定番の手法です。スパムメールを用いた攻撃は、虚偽の指示やメッセージをより説得力のあるものにする新しい手口が考案されるたびに活発化する場合があります。また、攻撃者は、ユーザがこのような手口に欺かれやすくなる状況にも目を光らせています。例えば、テレワークが続く状況や、時宜にかなった話題を利用し、ユーザの隙を突きます。
このようなシナリオはBazarCallとIcedIDの両方に如実に表れています。BazarCallではコールセンターを使い、普通の会社を偽装することによって、ユーザに偽物のサービスと解約手続きを信じ込ませました。一方、IcedIDは、実際に使われたメールを盗用し継続的に利用することで、悪意のある電子メールかどうかを判別するための通常の指標を回避しています。IcedIDは、最近では新型コロナウイルス(COVID-19)のパンデミックを利用したメールを使ってユーザを欺いています。
BazarLoaderとIcedIDは、悪名高いランサムウェアなど他のペイロードの拡散にも使用されているため、ユーザは特に注意する必要があります。前述のとおり、BazarLoaderはすでにRyukの配布に利用されました。IcedIDはごく最近、「Sodinokibi」の配布や「Egregor」による攻撃にも使用されました。
以下は、BazarCallやIcedIDなどの脅威から身を守るために、法人や個人が採用できるベストプラクティスです。
- メールの添付ファイルをダウンロードしたり開封したりする前に、メールの送信者、件名、本文に不審な点がないかを必ず確認する。差出人不明の迷惑メールには特に注意する
- 添付ファイルの拡張子を確認し、想定されるファイル形式であることを確認する
- 添付のMicrosoft Officeファイルにマクロが使用されている場合、必要な場合にのみマクロを有効化する。開かれたファイルの画像を使ってマクロの有効化を要求するメールや、何も表示されないメールには特に注意する
- 偽装ドメインが埋め込まれていないか注意して開封し、メールに記載されている会社やWebサイトを簡易検索して、正規の会社であるか確認する
今回見られたOfficeファイルのマクロを悪用する攻撃手口は、EMOTET収束後も引き続き多用されており注意が必要です。この手口の場合、仮に正規のメールと誤解して添付ファイルを開いてしまった場合でも、Officeのマクロ機能が有効化されなければ不正活動は開始されません。マクロ無効化のセキュリティ警告表示があった場合にはいったん立ち止まり、けして「コンテンツの有効化」ボタンは押さないでください。いったんファイルを閉じてから、メールとファイルの正当性を再確認してください。
図8:セキュリティ警告の日本語表示例
(「コンテンツの有効化」ボタンをクリックしなければマクロは実行されない)
現在のMicrosoft Officeの標準設定ではマクロ機能は無効になっていますが、上記のような確認メッセージが表示されるため、「コンテンツの有効化」ボタンを押してしまうケースも少なくないものと考えられます。現在、多くのメール経由の攻撃が不正マクロ入りのOffice文書ファイルを悪用しています。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。
トレンドマイクロの対策
個人向けのエンドポイント製品「ウイルスバスター クラウド」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「ファイルレピュテーション(FRS)」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御で既知の検体だけでなく、継続して登場する新たな亜種に対しても対応します。
メールが起点となる攻撃では、当社のメールセキュリティ製品「Trend Micro Email Security™」や「Deep Discovery Email Inspector」が有効です。
今回のIcedIDの攻撃では、セキュリティ対策製品回避のためパスワード付き圧縮ファイルが使用されていますが、「Trend Micro Email Security™」および、「Deep Discovery Email Inspector」ではパスワード付き圧縮ファイルのパスワードを特定して内部のファイルを検索する機能があります。これにより、利用者の手元に届く前にフィルタリングすることが可能です。
また、多くのトレンドマイクロ製品に実装されている「Web レピュテーション(WRS)」技術により、関連する不正サイトへのアクセスのブロックに対応しています。
侵入の痕跡(Indicator of Compromise、IoC)
今回の記事に関する侵入の痕跡はこちらを参照してください。
参考記事:
• 「A Spike in BazarCall and IcedID Activity Detected in March」
By: Raphael Centeno, Don Ovid Ladores, Lala Manly, Junestherry Salvador, Frankylnn Uy
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)