FortiGuard Labs 脅威リサーチ

マルウェアの配信:2022年第3四半期におけるフィッシング攻撃

投稿者 Erin Lin | 2023年1月12日

2022年の下半期に入ってからも、フィッシング攻撃は依然として組織を標的とする最大の脅威であり、ユーザーや組織を感染させるさまざまな手法を駆使しています。FortiGuard Labsでは、第2四半期に観測結果を発表したあとも、Emotet、Qbot、Icedidを始めとする多数のマルウェアファミリーの追跡調査を続けています。FortiGuard Labsは、フィッシングメールを介して配信される不正なファイルを継続的に検知しています。これらの攻撃では、Microsoft Excelファイル、Microsoft Word文書、Windowsショートカットファイル、ISO画像ファイルなどを使ってマルウェアが拡散されています。

このブログでは、組織がフィッシング攻撃や感染をより適切に特定して阻止できることを目的に、これらの不正なファイルがマルウェアの配信に使用している最も一般的な方法と技術を解説します。

影響を受けるプラットフォーム: Microsoft Windows
影響を受けるユーザー:     Windowsユーザー
影響:             被害者のデバイスを制御、機密情報の収集、他のマルウェアの配信
深刻度:            クリティカル

フィッシングメール

フィッシングメールとソーシャルエンジニアリングは、依然として最も一般的なマルウェア攻撃の戦略です。FortiGuard Labsが2022年第3四半期に調査したフィッシングメールには、第2四半期と同じく、悪質な添付ファイルや、悪意あるファイルをダウンロードする不正なサイトへのリンクが含まれていました。FortiGuard Labsは、HTMLスマグリングと呼ばれる手法も観測しました。これは、広く利用されているセキュリティ回避型のマルウェア配信手法であり、パスワードで保護されたZIPファイルを作成し、それを被害者のデバイスに保存することができます。使用されるのはHTMLスマグリング用の添付ファイルまたはリンクです。どちらもブラウザーで開くことによって、1つ以上の不正なファイルがダウンロードされます。

図1は、Eメールに添付されたHTMLスマグリングファイルを示しています。このファイルを開くと、パスワードで保護されたZIPファイルがドロップされ、それを解凍するにはEメールに記載されたパスワードが必要です。

図1:HTMLスマグリングファイルが添付されたEメール

図2は、別のHTMLスマグリング添付ファイルです。このファイルはAdobe PDF文書のダウンロードページを偽装しており、単純な罠を使って被害者にローカルのダウンロードファイルを開かせようとしています。ダウンロードしたZIPファイルを解凍するためのパスワードは、Eメールの本文ではなくダウンロードページに表示されています。

図2:HTMLスマグリングファイルが添付されたEメール

サンプルとその動作の分析

2022年の7月から9月までにFortiGuard Labsがキャプチャした3種類のサンプルは、マルウェア攻撃で実際に使用されており、私たちが観測してきたマルウェアの実例として非常に参考になります。サンプルの多くはよく知られていますが、新しいものや、古い攻撃に新機能が追加されたサンプルもあります。1つ目のサンプルはExcel 4.0マクロが含まれたExcelファイルで、このマクロと動作は、第2四半期の新たな動きで紹介したサンプルと同じです。2つ目は新しいサンプルで、VBAマクロが含まれたWord文書です。3つ目のサンプルは、第2四半期のブログで発表したISOファイルです。ただし今回のサンプルは、挿入されているファイルや使用する手法が変更されています。

Excel 4.0マクロが含まれたExcelファイル

不正なExcel添付ファイルを使用したEmotet攻撃は、2021年11月から観測されています。検知を回避するために、Excelファイルの外観とマルウェアのペイロードは絶えず変更されています。FortiGuard Labsは7月に最新のサンプルをキャプチャしました。以前のブログ記事の分析結果が示しているように、このサンプルはマルウェアペイロードをダウンロードして実行するマクロを使用しています。

図3はExcel 4.0マクロシートの「シート7」で、不正な数式が含まれています。このマクロシートのセルF2は、「Auto_Open」という名前が付けられており、ファイルが開かれると自動的に数式を実行します。このマクロを有効にすると、複数の数式が実行のためセルF2に書き込まれます。そして、APIの「URLDownloadToFileA」が呼び出されてマルウェアファイルをダウンロードし、「regsvr32.exe」を使用してマルウェアペイロードが実行されます。

図3:マクロシートの不正な数式

VBAマクロが含まれたWord文書

2番目のサンプルはVBAマクロを使用したWord文書で、IcedidマルウェアのDLLファイルをドロップします。図4は、このWord文書を開いたときのスクリーンショットです。不鮮明な文書画像の前面にイタリア語の文が表示されており、[Security Warning(セキュリティ警告)] バーの [Enable Content(コンテンツを有効にする)] ボタンをクリックするよう要求しています。

図4:Word文書を開いたときのスクリーンショット

図5に示すVBAコードは、「customXml/item1.xml」のカスタムXMLファイルからテキストを取得する関数です。取得したテキストは「4d5a」で始まる長い文字列で、これがPEファイルであることを示しています。図6は「Document_Open()」関数です。Word文書が開かれると、この関数がテキストをbyteデータ型に変換し、「c:\ProgramData\xxx.dll」というファイルに書き込みます。続いて「rundll32.exe」が呼び出され、この不正なDLLファイルを読み込みます。

図5:カスタムXMLファイル内のテキスト取得に使用されるVBAコード

図6:不正なDLLファイルの実行に使用されるVBAコード

ISOファイル

今年の夏には、マルウェアの配信手段としてISOファイルが広く使われるようになりました。関与していたマルウェアファミリーはQbot、Icedid、Bumblebeeです。次に示すように、FortiGuard Labsはさまざまなファイルが格納された複数の不正なISOファイルをキャプチャしました。

ISOファイルに含まれるLNKファイルとPNGファイル

このISOファイルのコンテンツを図7に示します。PNGファイルとLNKファイルは画像アイコンで偽装されています。このLNKファイルのターゲットはコマンドラインです。画像ファイルが開かれると、そのコマンドラインが「curl.exe」を使用してマルウェアのDLLファイルをダウンロードし、「rundll32.exe」を使ってそれを実行します。

図7:ISOファイルに含まれるLNKファイルのターゲット

ISOファイルに含まれるLNKファイルとフォルダ

このISOファイルには、LNKファイルと「one」という名前のフォルダが格納されています。oneフォルダにはBATファイル、JSファイル、TXTファイル、および空のフォルダが保存されています。このサンプルは、複数のスクリプトファイルを使用してマルウェアDLLの実行をわかりにくくしています。図9に示すように、LNKファイルは「one」フォルダにある「alsoThing.bat」を実行します。次に、このBATファイルが4つの引数を指定して「weTo.js」を実行します。JSファイルでは、「rundll32.exe」を使用して「thenTake.txt」が実行されます。この「thenTake.txt」こそが、.txt拡張子の付いたマルウェアDLLファイルです。

図8:ISOファイルに含まれているファイル

図9:ISOファイル内のスクリプトファイル

ISOファイルに含まれるCHMファイルとDLLファイル

図10に示すように、このISOファイルにはCHM(Compiled HTML Help)ファイルとDLLファイルが格納されています。CHMファイルの末尾にはスクリプトスニペットが挿入されています。CHMファイルを起動するとこのスクリプトが実行され、「rundll32.exe」を使用して不正なファイル「app.dll」が実行されます。

図10:ISOファイルに含まれているファイル

ISOファイルに含まれるLNKファイル、2つのDLLファイル、およびcalc.exe

図11のISOファイルには、1つのLNKファイルと3つの隠しファイル(「WindowsCodecs.dll」、「102755.dll」、「calc.exe」)が格納されています。まず、LNKファイルが正当なファイルである「calc.exe」を実行します。「calc.exe」は、起動時に複数の依存するファイルを読み込みます。これには「WindowsCodecs.dll」という名前のファイルが含まれています。ご覧のとおり、このISOファイルにも同じ名前のファイルがあります。

次に、calc.exeはDLL検索順乗っ取りという手法を使用します。ファイルの完全なパスを指定せずにDLLファイルを読み込む場合は、標準的な検索順序を使用してファイルを検索します。

この図では、ISOファイル内の「WindowsCodecs.dll」は、実行可能アプリケーションと同じフォルダにあります。したがって、Windowsディレクトリにある有効なバージョンではなく、こちらのバージョンが読み込まれます。こうして読み込まれたライブラリは不正なコピーであり、図12のように、マルウェア「102755.dll」を実行するプロセスを作成します。

図11:ISOファイルに含まれているファイル

図12:マルウェア「102755.dll」を実行するプロセスの作成

図13のスクリーンショットは、「calc.exe」がISOファイルから不正な「WindowsCodecs.dll」を読み込むプロセスを示しています。このあと、calc.exeはコマンドライン「C:\Windows\SysWOW64\regsvr32.exe 102755.dll」を使用して「regsvr32.exe」用のプロセスを作成します。

図13:「calc.exe」のプロセス

まとめ:配信チェーン

FortiGuard Labsはマルウェア配信の概要を示すために、マルウェアの実行フローを図にしました。下の図はEmotet、Qbot、Icedidの各マルウェアファミリーの配信チェーンを示しています。

どの配信もフィッシングメールから始まっており、そのメールには不正なファイルが添付されているか、ダウンロードリンクが含まれています。Emotetは、Excelファイルをタウンローダーとして使用してEmotetマルウェアペイロードをドロップし、それを実行します。

図14:Emotetの配信チェーン

図15はQbotの配信チェーンを示しています。不正なISOファイルは、HTMLスマグリングファイルから抽出されるか、不正なリンクからダウンロードされます。マルウェアの実行方法は、ISOファイルに格納されているファイルによって異なります。各実行ファイルは、ISOファイルに格納されたLNKファイルをクリックするとトリガーされます。このプロセスの次のステップでは、ダウンロード、スクリプト難読化などの仕掛け、DLL検索順乗っ取りなどが実行されます。最終的に、これらのどの方法を用いてもQbotマルウェアペイロードを実行することができます。

図15:Qbotの配信チェーン

図16に示すように、Icedidの実行チェーンはQbotとよく似ています。このチェーンでは、ISOファイルが非常に重要な役割を果たします。両者の違いは、Icedidマルウェアペイロードの実行にCHMファイルを使用するというQbot独自の方法にあります。さらに、ペイロードのドロップと実行には不正なWord添付文書が使用されます。

図16:Icedidの配信チェーン

結論

FortiGuard Labsはこの3ヵ月間で、マルウェア攻撃が今年の上半期と比べて大幅に減少したことを確認しました。7月中旬にEmotet攻撃が発見されたあと、マルウェア攻撃は確認されていません。Qbot攻撃も7月中旬に停止したのち、9月に拡散が再開されました。Icedidマルウェアの配信は続いていますが、その頻度は低下しています。

FortiGuard Labsが最近観測したところでは、マルウェアの配信で最も活発に使用されているファイルは、このレポートで解説したISOファイルなどのディスクイメージファイルです。これらのファイルは、Mark-of-the-Webの信頼制御を迂回することで、ウイルス対策ソフトウェアによる検知を回避します。さらに、これらのファイルはダブルクリックするだけで、Windowsの最新バージョンで簡単にマウントしたり開いたりすることができます。組織は上記のISOファイルに加えて、IMGやVHDなど、マルウェアの配信に使用可能なその他の形式の画像ファイルにも注意する必要があります。

HTMLスマグリングの手法では、ローカルでファイルを作成することによって、インターネットからのファイル受信制限を回避します。実行トリガーにはLNKファイルやCHMファイルが利用されます。これらのファイルはダブルクリックするだけで起動できるからです。

一方、マクロが含まれたMicrosoft Officeファイルの配信は、数が少ないながらも続けられています。興味深いことに、Microsoftがマクロの使用制限を強化しているにもかかわらず、脅威アクターはWord文書やExcelファイルの悪用をやめていないようです。

マルウェアの配信方法は、新しい機能や技術が定期的に追加されて絶えず変化しているとはいえ、FortiGuard Labsが観測した攻撃はすべてフィッシングメールで始まっています。したがって、これらの脅威を防止するには、エンドユーザーのトレーニングなどを実施して、ソーシャルエンジニアリングへの意識を高めることが肝要です。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuardのWebフィルタリング、アンチウイルスFortiMailFortiClientFortiEDR、コンテンツ無害化(CDR)サービスによって、このレポートで解説したマルウェアの配信から以下のように保護されています。

FortiGuard CDRサービスは、不正なファイルが添付されたフィッシングメールを無害化します。

マルウェアに関連するファイルは、FortiEDRが振る舞いに基づいて「不正ファイル」として検知します。

フォーティネットのお客様は、FortiMailに含まれるFortiGuardアンチウイルスによって、これらの不正ファイルおよびマルウェアから保護されています。FortiMailではフィッシングメールの検知や、添付ファイルのブロックまたは無害化も可能です。

このレポートで解説したすべての不正なサンプルは、FortiGuardアンチウイルスによって以下のように検知されます。

VBA/Agent.CSH!tr
XF/CoinMiner.Z!tr
HTML/Agent.6123!tr
HTML/QBotDrop.A!tr
LNK/Agent.A8FC!tr.dldr
W32/QBotEXE.A!tr
W32/QBot.F!tr
W32/PossibleThreat

マルウェアペイロードは、FortiGuardアンチウイルスによって以下のように検知されます。

W64/GenKryptik_AGen.EE!tr
W64/Kryptik.DJT!tr
W64/GenKryptik.FYWZ!tr
W32/PossibleThreat
W32/Emotet.FTN!tr

フォーティネットのデジタルリスク保護サービスであるFortiReconは、脅威アクターがダークウェブで販売し、ネットワークの侵害にも利用可能なスティーラー(Redlineなど)による認証情報の窃取を常時監視しています。FortiReconのトライアルにお申し込みいただくと、お客様のネットワークやデータへの差し迫った脅威を早期に警告する方法をご確認いただけます。

上記の機能に加えて、フォーティネットではフィッシング攻撃の理解 / 検知に関するユーザートレーニングを目的とした複数のソリューションを用意しています。

フォーティネットのターンキーSaaSサービスであるセキュリティ意識向上トレーニングにより、組織はサイバーセキュリティへの脅威(エンドユーザーへのフィッシングなど)に関する定期的でタイムリーなトレーニングを実施できます。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションして、継続的な追加トレーニングを実施します。組織はフィッシング攻撃に対するユーザーの認識や警戒をテストでき、ユーザーはフィッシング攻撃の標的にされた場合の適切な対処を学び、強化することができます。

組織においては、フォーティネットが無償で提供しているNSEトレーニングNSE 1 – 情報セキュリティ意識向上の受講をエンドユーザーに奨励することもお勧めします。このトレーニングには、インターネットの安全性やフィッシングに関するモジュールが含まれています。

IOC(Indicators of Compromise:侵害指標)

不正なサンプル(SHA256):

ca15f68eb58e61313dda1d34c4d20f1582b8506481436c1bfd5c354922ddf7e0
84e281b7755da1f89e3ed2b109556002c40547292deed3f7a7754707c69396fd
9ce84380614d0eb61fd657c42593e5cd91d122f614c00c5edea6514241951854
d3b3627a34b3738327449653acfc5509be290722648fd1f55ee09bd0a6ff941f
37663652d075edfbbd48085c787ba12bc95b6492863d21f334850d78e203b12b
97ef6f319bf880412459655f70a32801241e551c6cf51c85ceb9f39eb86054e6
f5c16248418a4f1fd8dff438b26b8da7f587b77db9e180a82493bae140893687
6e3661049bde832369781afa1d9034315442b1e4b87aa92d571cbe73186997c5

マルウェアペイロード(SHA256):

84197619db6a80282ae8d96e40e107de9596a020cd9397f780c07fab3c4576d7
2c87388d5f2eba48cd479c05c837a5e4a661927fc0ade00b986489a449ad0e3c
f2b8c976c683e0e00377b393a817ff5aae6ead4751e984767a477c60045cf135
effc431f13997a896d07082c4c018a77feee075097fd80de167c20c7515d1516
f39deb0e0acbd4738ece9a5e0075a580cb7be6090b070fa2b3299a13effd833d
38efd88227ca093b3b1d9b10de3ba3e6f27a4b837155741cc776b1212e0f70b1