フィッシング
RedLine Stealerによるホスピタリティ業界を標的にしたスピアフィッシング攻撃
トレンドマイクロのManaged XDRチームは、ホスピタリティ業界を標的にしたRedLine Stealerの検知回避型スピアフィッシング攻撃を発見しました。
トレンドマイクロのManaged XDRチームでは、とあるホスピタリティ業界の顧客企業が受信する電子メールの数に急激な増加がみられることを確認しました。さらなる調査を進めたところ、同業界の他の顧客3社も同様の影響を受けていることが明らかになりました。受信したほとんどのメールの件名は、被害者の関心を引こうとするものであり、具体的には、help、requesting for assistance、route map、this is me from booking.com、booking reservation 等の件名でした。また、一部の電子メールでは、件名にRe:を含め、あたかも被害者が以前受信したメールの返信を読んでいるかのように錯覚させる試みが確認されています。
これらの電子メールには、標的(主にホテルの従業員)を誘導し、マルウェアが仕込まれたDropboxへのリンクをクリックさせるように構成された文が含まれていました。また、不正なファイルを含むDropboxへのリンクにリダイレクトされるようにBitlyにより短縮されたURLが使用されていました。
残念ながら一部のユーザは、これらの不正な電子メールに誘導され、知らずにマルウェアをダウンロードしていました。トレンドマイクロは、解析過程において抽出されたマルウェア検体のファイルサイズに着目しました。マルウェアのファイルサイズは通常1キロバイトから数メガバイトの範囲です。しかし、今回入手した検体は、494.7メガバイトから最大929.7メガバイトと極端に大きいサイズとなっていました。
テクニカル解析
トレンドマイクロは、攻撃者が送信したスピアフィッシングメールの検体を解析しました。この電子メールでは、高齢者になりすました攻撃者がホテルへのルートが正しいか否かを確認するためにホテルの従業員に助けを求めています。この電子メールには、あたかもホテルへの経路の画像へのリンクであるかの如く見せかけた「短縮されたリンク」が含まれていました。これは一見、マルウェアを組み込むための短縮されたURLを含む典型的な単発のスパムメールのように見えます。
トレンドマイクロは、この手口は特にホスピタリティ業界関係者を標的にしたスピアフィッシング攻撃であると考えています。図3では、攻撃者は高齢者を装い、あくまで慇懃な態度を保ちつつ自身の行動の覚束なさを強調し、被害者をリンクへ誘導しています。このリンクは、実際はホテルへの経路の画像ではなく、マルウェアのペイロードに繋がっています。
上記事例において対応した従業員は、残念ながらこのスピアフィッシング攻撃の被害に遭ってしまいました。従業員が outlook.exe を使用してリンクを開き、Christian-Robinson-Route.zip という名前の Zip ファイルをダウンロードしたことをTrend Vision One™により確認しました。このZipファイルには、Christian-Robinson-Route.jpg.exe という二重拡張子を有するファイルが含まれていますが、これは攻撃者が被害者を騙し不正なファイルをダウンロードさせ、実行するために用いられます。
抽出され起動したChristian-Robinson-Route.jpg.exeファイルは、そこから連鎖して発生するイベントの引き金となります。図5は、Trend Vision Oneにより観測された実行チェーンの全体像です。
攻撃は、4つのステージに分けることができます。
第1ステージ:Christian-Robinson-Route.jpg.exeがsetupsoftwarefile_v7.7.exeを作成
Christian-Robinson-Route.jpg.exeは、多くのパディングを含むキャビネットファイルです。これは、アンチウイルスによる検出、サンドボックス解析、そしてYARAルールを回避するためにマルウェアの作成者が使用する古い手口です。トレンドマイクロが観測したパディングは、ランダムなバイトもしくは反復する文字列であり、これらは大型のオーバーレイを追加するために使用されたビルダまたはパッカーに起因していると推測されます。前述の通り、入手した検体は494.7メガバイトから最大929.7メガバイトと大きなサイズのものでした。
Christian-Robinson-Route.jpg.exeは、MSILファイルsetupsoftwarefile_v7.7.exeを作成し、cmd.exe経由で実行します。その後、当ファイルは復号化され、PowerShellスクリプトを実行します。
第2ステージ:PowerShell スクリプトがhxxp://45.93.201[.]62/docs/から暗号化されたファイルを抽出
PowerShellスクリプトは、以下に接続し Ferriteswarmed.exe という名前の別のMSILファイルを取得します。このファイルをAESにより復号化し、GZIP圧縮を行ったうえで.NETリフレクティブローディングを用いてPowerShellにロードします。ここでは、デバッグチェックがありバグが見つかった場合には終了します。
hxxp://45.93.201[.]114/docs/fzLJerifqJwFtnjbrlnJPNrfnupnYg [.]txt
トレンドマイクロが入手した検体によると、他の暗号化されたファイルは以下でホストされています。
hxxp://45.93.201[.]114/docs/
第3ステージ:Ferriteswarmed.exe MSILファイルがRedline Stealerペイロードを形成するイメージファイルを復号化
Portable Executable(PE)ファイルのリソースセクションは、モジュールのリソースに関する情報を含んでいます。多くの場合、ファイルのリソースの一部であるアイコンや画像が含まれます。今回の検体では、新しいMSILファイルFerriteswarmed.exeは、そのリソースの一部である暗号化された画像に扮した別のペイロードRedLine Stealerを復号化します。その後、RedLine Stealerはaspnet_compiler.exeに組み込まれます。
第4ステージ:RedLine Stealerは窃取した情報をC&Cサーバへ送信
RedLine Stealerは、Windows Management Instrumentation(WMI)を介してオペレーティングシステム、ビデオコントローラ、プロセッサ、アンチウイルス、プロセス、そしてディスクドライブのデータを収集していることが、Trend Vision Oneにより判明しました。これらの情報は、C&Cサーバ77.73.134[.]13:12785に送信されます。
また、RedLine Stealerは、ブラウザ、暗号資産のウォレット、VPNアプリケーション、またはDiscord等のインストール済みのアプリからデータを収集することが可能です。
Security Scorecardは、RedLine Stealerに関する詳細なレポートを発表し、このinfostealer(情報窃取型マルウェア)が収集するデータのリストを掲載しました。Security Scorecardが解析したRedLine Stealerの検体と、トレンドマイクロが解析した検体とでは明確な違いが見られました。前者の検体では、C&CサーバにSOAPメッセージを送信するために、HTTPを使用するBasicHttpBindingオブジェクトを作成していました。一方、後者の検体では、メッセージの送信にNetTcpBindingを用いていました。なお、後者の検体で使用されるコマンドには、名前が付けられていません。
セキュリティに関する推奨事項とトレンドマイクロのソリューション
電子メールを使った攻撃手法は、ますます巧妙になり、検知することが難しくなっています。かつては、文法的な間違いの目立つ文章や、緊急性が誇張された文面などから、比較的容易に不正な電子メールを見分けることができました。しかし近年、攻撃者はなりすまそうとする人物の文脈や特徴を真似るように進化しており、時として長い期間を通して詐欺を仕組む場合もあります。
スパムメールやフィッシング攻撃に備えるためには、データ漏洩やランサムウェア攻撃に繋がる不正な電子メールに対し適切に対処できるよう、従業員に必要なツール、リソース、トレーニングを提供することが大切です。トレンドマイクロのフィッシングシミュレーション診断を利用することで、実際のフィッシング攻撃を模したシミュレーションの実施を自動化したり、各組織に合わせてカスタマイズされたトレーニングを行うことができ、企業や組織は効果的にセキュリティ対策を強化することができます。
トレンドマイクロのXDRは、企業や組織全体から収集された様々なデータセットに対して高度に専門的な解析を適用し、攻撃を特定し阻止します。優れた人工知能(AI)とセキュリティ解析を用い、お客様の環境から取得されるデータとトレンドマイクロのグローバル脅威インテリジェンスから得られるデータの相関を的確に導き、必要最小限の信頼性の高いアラートを提供します。そのため、攻撃の早期発見が可能です。また、アラートは優先度に従って最適な形で集約され、1つのコンソールで閲覧できます。これにより、攻撃経路や組織への影響の全体像も容易に把握できます。
Trend Service One™は、24時間365日の迅速なサポート、Managed XDR、インシデントレスポンスサービスにより、企業や組織のレジリエンスを向上させます。このサービスでは、ソリューションの自動アップデート及びアップグレード、オンデマンドトレーニング、ベストプラクティスガイドを提供します。また、お客様の環境を理解した専任のエキスパートが、セキュリティ体制の最適化に向けたアドバイスを提供します。
Trend Micro Apex One™は、ファイルレス攻撃やランサムウェアなど、増え続けるさまざまな脅威に対する高度な自動脅威検出と対処を提供し、脅威から企業や組織を保護します。また、高度な EDR機能、強力な SIEM統合、オープンAPIの実装により、対処に必要なインサイト、拡張された調査機能、一元化された可視性を得ることができます。
Trend Micro Cloud One™ - Endpoint Security及びWorkload Securityは、一元化された可視性、管理、役割ベースのアクセス制御を通じて、エンドポイント、サーバ、クラウドワークロードを保護します。また、それぞれのお客様の多様なエンドポイントやクラウド環境に対応した専門的なセキュリティを提供し、複数のセキュリティ対策にかかるコストや複雑さを解消します。一方、Trend Micro Cloud One™ - Network Securityは、従来の侵入防止システム(IPS)機能を超えて、強力なハイブリッドクラウドセキュリティプラットフォームの一部として仮想パッチおよび侵害後の検出と阻止を提供します。
Trend Micro™ Deep Discovery™ Email Inspectorは、電子メールの不正な添付ファイルを検知、ブロック、そして解析します。ランサムウェアに感染したスパムメールは、従業員のメール受信箱に届く前段階で阻止することができます。また、メールに埋め込まれた不正なURLも検知し、ブロックします。さらに、カスタムサンドボックス技術により、マクロを装ったランサムウェアも検知し、ブロックします。更に、ハードウェアアプライアンスであるDeep Discovery Email Inspectorをネットワークの途中にインライン型で配置し、不正なメールをブロックします。パターンファイルとレピュテーション分析により、ランサムウェアと標的型メールを検出します。
IOC(痕跡情報)
IOC(痕跡情報)の全リストは、こちらをご覧ください。
参考記事
Managed XDR Exposes Spear-Phishing Campaign Targeting Hospitality Industry Using RedLine Stealer
By: Ryan Soliven, Abraham Camba, Byron Gelera, Catherine Loveria
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)