マルウェア
暗号資産のウォレットを狙う新種情報窃取型マルウェア「Panda Stealer」の攻撃手口を解説
2021年4月上旬、トレンドマイクロは、新種の情報窃取型マルウェア「Panda Stealer」がスパムメールを介して拡散されていることを確認しました。Panda Stealerは情報窃取型マルウェア「Collector Stealer」が改変された亜種であり、改変前の手口と同様に検出機能を回避するために拡散手法にファイルレス活動を利用します。
2021年4月上旬、トレンドマイクロは、新種の情報窃取型マルウェア「Panda Stealer」がスパムメールを介して拡散されていることを確認しました。トレンドマイクロの調査では、主に米国、オーストラリア、日本、ドイツに対して、このマルウェアがスパムメールによる感染拡大活動で大きな被害を与えていることがわかりました。Panda Stealerは情報窃取型マルウェア「Collector Stealer」が改変された亜種であり、改変前の手口と同様に検出機能を回避するために拡散手法にファイルレス活動を利用します。
■ 感染チェーン
Panda Stealerは、企業の見積もり依頼を装ったスパムメールを介して展開され、不注意なメール受信者を誘導して悪意のあるExcelファイルを開かせようと試みます。トレンドマイクロは2つの感染チェーンを確認しました。1つ目の感染チェーンには、スパムメールに添付された.XLSMファイルにローダをダウンロードするためのマクロ機能が含まれています(図1)。マクロ機能の有効化によりダウンロードされたローダは、感染活動の目的となるPanda Stealerをダウンロードして実行します。
図1:Panda Stealerのローダをダウンロードするためのマクロ・スクリプト
2つ目の感染チェーンは、PowerShellコマンド(図2)を悪用して、テキストデータを保存・公開するサービス「Pastebin」の代替サイトである「paste.ee」のURLにアクセスするためのExcelの数式を含んだ.XLSファイルが添付されています。PowerShellコマンドが実行されると、暗号化された2つ目のPowerShellコマンド(図3)にアクセスします。
図2:PowerShellコマンドを介してpaste.eeのURLにアクセスするためのExcelの数式
図3:paste.eeのURLがアクセスするエンコードされたPowerShellスクリプト(上)および弊社でデコードしたPowerShellスクリプト(下)
これらのPowerShellスクリプトをデコードすると、paste.eeのURLにアクセスするために悪用されていることが明らかとなりました。デコードしたスクリプトを調査した結果、Panda Stealerはファイルレス活動を利用してペイロードを簡単に実装できることがわかりました。Visual Basic内のCallByNameエクスポート関数は、paste.eeのURLからメモリ内の.NETアセンブリの読み込みを呼び出すために利用されます。読み込まれたアセンブリは、Agile.NET obfuscatorで難読化されており、正規のMSBuild.exeプロセスの一部をくり抜いて、別のperse.eeのURLからペイロードである16進数でエンコードされたPanda Stealerのバイナリに置き換えます。
Panda Stealerはインストールされると、被害者が利用する様々な暗号資産のウォレット(Dash、Bytecoin、Litecoin、Ethereum)から、秘密鍵や過去の取引記録などの詳細を収集することができます。さらにPanda Stealerは、暗号資産のウォレットだけでなく、NordVPN、Telegram、Discord、Steamなどの別のアプリケーションからも認証情報を窃取することができるほか、感染PC端末のスクリーンショットを撮影したり、クッキー、パスワード、カード情報など、ブラウザに保存されたデータを取得したりすることもできます。
Panda Stealerは、これらの詐取した情報を保存するためのファイル(ランダムなファイル名)を%Temp%フォルダに作成したのち、遠隔操作(C&C)サーバに送信します。
C&Cサーバをさらに分析した結果、このC&Cサーバは「Panda Stealer」を一部中国語訳した「熊猫 Stealer」のログインページ(図4)に誘導します。また、これと同じログインページを表示する別のドメインが複数確認されています(図5)。これらのサーバの1つのログから14人の被害者が発見されました。
図4:Panda StealerのC&Cサーバが誘導する「熊猫 Stealer」のログインページ
図5:Web検索結果に複数表示される「熊猫Stealer」のログインページ
さらに、調査の結果Panda Stealerに類似した別のファイル264個がVirusTotal上で発見されました。これらの検体によって、140台以上のC&Cサーバ(表1)および10ページ以上のダウンロードサイトが使用されていました。一部ダウンロードサイトは、メッセージングアプリ「Discord」からのもので、「build.exe」などのファイル名を含んでいることから、攻撃者はPanda Stealerのビルドを共有するためにDiscordを悪用している可能性があります。
一部ダウンロードサイトおよびC&Cサーバの一覧を以下に示します。
- hxxp://23.92.213.108/po/tai1.exe
- hxxp://83.220.175.66/build.exe
- hxxps://bingoroll2.net/chirik.exe
- hxxp://bingoroll2.net/chirik.exe
- hxxp://cryptojora.club/sosi.exe
- hxxp://f0522235.xsph.ru/build.exe
- hxxp://f0522235.xsph.ru/build2.exe
- hxxp://f0522235.xsph.ru/build.exe
- hxxp://micromagican.com/chirik.exe
- hxxp://repairyou.com/henry.exe
- hxxp://traps.ml/build.exe
- hxxp://tydaynsosi.ru/loader/23/1kwo.txt
- hxxp://tydaynsosi.ru/loader/23/1tgk.txt
| C&Cサーバ | 確認された一意のファイルの数 |
| hxxp://cocojambo.collector-steal.ga/collect.php | 73 |
| hxxp://f0522235.xsph.ru/collect.php | 4 |
| hxxp://guarantte.xyz/collect.php | 3 |
| hxxp://f0527189.xsph.ru/collect.php | 3 |
| hxxp://f0527703.xsph.ru/collect.php | 2 |
| hxxp://j1145058.myjino.ru/collect.php | 2 |
| hxxp://1wftyu121cwr24v3hswa1234g.tk/collect.php | 2 |
| hxxp://f0527262.xsph.ru/collect.php | 2 |
| hxxp://steammd0.beget.tech/collect.php | 2 |
表1:Panda Stealerに類似したファイルが使用した上位のC&Cサーバ
■ 「Panda Stealer」の背景
トレンドマイクロは、一台のアクティブなC&Cサーバ(図6)をきっかけに、攻撃者が利用したと考えられるIPアドレスを特定しました。このIPアドレスは、Webホスティング会社「Shock Hosting社」からレンタルした仮想プライベートサーバ(VPS)に割り当てられており、攻撃者がテスト目的で感染させたものと弊社は推測しています。この仮想プライベートサーバのレンタル料は追跡の手が及ばぬよう暗号資産を用いて支払われている可能性があります。また、攻撃者が検出回避オンラインサービス「Cassandra Crypter」を使用していることがわかりました(図7)。トレンドマイクロは、これらの情報をShock Hosting社に報告し、このIPアドレスに割り当てられたサーバに停止措置が取られたことを確認しました。
別の感染PC端末では、Googleドライブのリンクにアクセスした履歴が見つかりました。このリンクは、アンダーグラウンドフォーラム上で実施された情報窃取型マルウェア「AZORult log extractor」に関する議論でも言及されています。ログダンプおよびフォーラム上の両方で同じリンクと一意のクッキーが確認されたため、フォーラム上に投稿したユーザもこのログファイルにアクセスしているはずです。
図6:アクティブなC&Cサーバのコントロールパネル
図7:攻撃者がCassandra Crypterを使用している際に撮影されたスクリーンショット
■ Panda Stealerが持つ他のStealerとの類似性
先ほどご紹介した通り、Panda StealerはCollector Stealerが改変された亜種であることがわかっています。Collector Stealerは、一部のアンダーグラウンドフォーラムやメッセージングアプリケーション「Telegram」のチャネル上で販売されています(図8)。Collector Stealerはその後、ロシアの攻撃者「NCP(別称:su1c1de)」によってクラックされています。クラックされたCollector Stealerのコンパイル済み実行ファイルとPanda Stealerを比較すると、この2種は似たような動作を示しますが、C&CサーバのURL、ビルドタグ、および実行フォルダに違いがみられました(図9)。Panda Stealerと同様に、Collector Stealerは、侵害したPC端末からクッキー、ログインデータ、Webデータなどの情報を流出させ、SQLite3データベース内に保存します。Collector Stealerはこれらを実行した後、詐取したファイルやアクティビティログを削除して自身の痕跡を消し去ります(図10)。
図8:Collector Stealerを販売するTelegramチャネルの例
図9:クラックされたCollector Stealerのコンパイル済み実行ファイル(左)およびPanda Stealerの検体(右)の比較図
図10:Collector Stealer(左)およびPanda Stealer(右)のアクティビティログの比較図
クラックされたCollector Stealerビルダはインターネット上で公開されているため、サイバー犯罪グループやスクリプトキディはこれらの不正プログラムを利用して独自にカスタマイズしたバージョンのStealerやC&Cパネルを作成することができます。さらに攻撃者は、Collector Stealerの特定の機能を利用してマルウェアキャンペーンを強化することもできます。またトレンドマイクロは、Panda Stealerが拡散手法にファイルレス活動を利用してメモリベースの攻撃を実行する感染チェーンを備えていることを発見しました。これは、Phobosランサムウェアの亜種「Fair」が用いた拡散手法と同じもので、セキュリティツールによる検出をより困難なものにしています。
■ トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」(SPN)から提供されるさまざまな技術によって守られています。不正サイトへの対策は、SPNから提供される「Webレピュテーション」技術により不正な Web サイトへのアクセスをブロックします。マルウェア対策は、SPNから提供される「ファイルレピュテーション」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御が可能です。
これらの技術は個人向けのエンドポイント製品「ウイルスバスタークラウド™」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」などで提供されています。
スパムメールへの対策は、法人向けメールセキュリティ製品/サービスである「Trend Micro Email Security™」、「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などにより不審なメールやその添付ファイルをブロックすることができます。
参考記事:
by Monte de Jesus, Fyodor Yarochkin, Paul Pajares
翻訳:益見 和宏(Core Technology Marketing, Trend Micro™ Research)