脅威リサーチ

新しいSTRRAT RATフィッシングキャンペーン

投稿者 James Slaughter | 2022年1月31日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Windows
影響ユーザー受けるユーザー:  Windowsユーザー
影響:             感染したエンドポイントから機密情報を収集
深刻度:            

輸送業は現代の生活に欠かせません。輸送業はグローバル経済の生命線であり、多数の大企業(およびそれらの企業が持つ巨大なコンテナ船)が絶えず地球の隅々まで商品を運搬し、消費者や産業に生活や活動の必需品を届けています。

多くの企業にとって商品の出荷や受け取りは非常に重要なことです。そのため、脅威アクターはしばしば輸送情報を餌に、偽の請求書、輸送の変更、架空の購入に関する通知などのフィッシングメールを使用して、受信者が不正な添付ファイルを開いたり不注意にマルウェアをダウンロードするよう仕向けます。

FortiGuard Labsは最近、このようなEメールの例に遭遇し、その後、STRRATマルウェアの亜種が添付ファイルに含まれているケースを発見しました。

このブログでは、フィッシングメールと悪意のあるペイロードを詳細に分解して説明します。

フィッシングメールの調査

STRRATは少なくとも2020年中頃に登場した複数の機能を持つリモートアクセス型のトロイの木馬です。珍しいJavaベースのトロイの木馬で、通常はフィッシングメールを介して被害者に配信されます。

従来のSTRRATは、大半のフィッシング攻撃と同様にEメールに添付され、開かれた際に最終的なペイロードをダウンロードする中間ファイルのドロッパー(不正なExcelマクロなど)を使用していました。このサンプルはそのような手口を省略する代わりに、フィッシングメール上に最終的なペイロードが直接添付されています。

図1:偽装されたEメールの送信者と件名

図1に示すとおり、このサンプルはMaersk Shipping社のものでないことは明らかです。この脅威アクターは受信者が注意深く確認しないことを期待しています。このEメールのヘッダーを詳しく見ると、このEメールの発信元の詳細な追跡情報がわかります。

図2:Eメールのヘッダー

このメッセージは、送信者の現地のインフラから送信された後、「acalpulps[.]com」を介して転送され、最終的な受信者に配信されます。このドメインは2021年8月に登録されたばかりで、不審なドメインだと思われます。また、「返信先」アドレスに使用されるドメインの「ftqplc[.]in」も最近登録されており(2021年10月)、同様に非常に不審に思われます。

このEメールの本文では、受信者は予定出荷に関する添付ファイルを開くよう促されます。

図3:Eメールの本文

レターの本文に含まれているドメインの「v[.]al」は、このブログの公開日の時点で名前解決ができませんでした。

図4:Eメールの添付ファイル

サンプルのEメールには、PNG画像と2つのZIPファイルが直接添付されています。図4に示すとおり、「maersk.png」は単なる画像ファイルです。ただし、2つのZIPファイル「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip」と「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip」にはSTRRATのコピーが埋め込まれています。

STRRAT添付ファイルの調査

「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip」と「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip」は、それぞれSHA256ハッシュ値から確認したところまったく同じファイルです。
図5:「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip」のSHA256ハッシュ

図6:「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF (2)[.]zip」のSHA256ハッシュ

これらのアーカイブのいずれかのZIPを解凍すると「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar」が存在します。しかし、このファイルをJar Explorerで開くと、いくつかのことがすぐに分かります。

図7:Jar Explorer上の「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar」の初期ビュー

まず、このパッケージには、多数のJavaクラスファイルが含まれています。次に、「FirstRun」クラスの文字列が難読化またはエンコードされているように見えます。「ALLATORIxDEMO」が追加されているラインは、Allatori Java Obfuscatorが存在することを示しています。

このことは、jarファイルの実行を試みると確認できます。

図8:「SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar」を実行時に表示されるスプラッシュ画面

Allatoriにはjarファイル内の実際のコンテンツをロールバックし取得できるオープンソースのツールが利用可能なため、このファイルがAllatoriを使って難読化されていることが確認されたことは、分析プロセスに役立ちました。Java Deobfuscator(https://github.com/java-deobfuscator/deobfuscator)はAllatoriに対して特に効果的であり、以下に示すように元の文字列の内容を正確に復元することができました。

図9:難読化された「FirstRun」クラスの同じビュー

このコンフィグファイル(config.txt)は、STRRATのクラスファイルから独立してエンコードされています。図10に示すように、一見するとbase 64でエンコードされています。

図10:Base 64でエンコードされた「config.txt」

ファイルをデコードしても、残念ながら難読化されたままです。

図11:「デコード」したコンフィグファイル

「config.txt」に使用されているコードを検索する中、このコンフィグファイルはAESを使用して暗号化されており、パスフレーズ「strigoi」を使用していることが確認できました。これで、コンフィグファイルの暗号を解除できるようになりました。

図12:暗号を解除したコンフィグファイル

このサンプルはLog4Shellの脆弱性の件が最盛期のときに現れたため、図12のラインの最後の項目は特に興味深い部分です。Khonsariとは、特にこの脆弱性を悪用しているランサムウェアの亜種の名前です。一方で、ここでは、この単語はソフトウェアキーの役割であり、2つのマルウェア間に関係性の証拠はありません。

マルウェアの種類の多くは、設定されたタスクを実行するために再起動やセッションを跨いで持続性を維持できる必要があります。STRRATはこの持続性を実現し、システム起動時に実行するために、自分自身を新しいディレクトリにコピーし、エントリをWindowsレジストリに追加します。

図13:レジストリを変更するコード

図14:変更されたレジストリ

STRRATは起動時にホストに問い合わせて、ホストのアーキテクチャとアンチウイルスの能力を判断します。また、実行中のプロセス、ローカルストレージ、ネットワーク機能も問い合わせます。

機能に関しては、STRRATはキーストロークを記録して、HTMLベースでログを管理して対象の項目を保存します。

図15:キーストロークのログファイルを作成するコード

図16:記録されるキーボードログファイル

また、STRRATは感染したシステムのリモート制御を容易にするために、リモートアクセスツールのHRDPをドロップします。

図17: HRDP

さらに、Chrome、Firefox、Microsoft Edgeなどのブラウザ、およびOutlook、Thunderbird、FoxmailなどのEメールクライアントからパスワードを吸い上げる機能も備えています。

STRRATに存在する最も奇妙なモジュールの1つは疑似ランサムウェア機能です。

図18:疑似ランサムウェアモジュール

このコードは、ユーザーのホームディレクトリのファイルを巡回し、それらに「.crimson」というファイル拡張子を付加します。ファイルの暗号化は行われないため、この機能はおとりとして、または知識のないユーザーに対する脅し戦略としてのみ有効です。コード内に、身代金の通知テンプレートは見つかりませんでした。

ネットワーク面では、STRRATは起動時に複数のJavaの依存関係に接続してプルを試みていることわかりました。

図19:Javaの依存関係

図12に示すように、このサンプルはC2(コマンド&コントロール)に対して198[.]27.77.242のIPアドレスを使用します。Wiresharkでこのトラフィックを調べると、STRRATは極端にノイズが多いことがわかりました。これはおそらく、この調査を実施時、C2チャネルがオフラインだったことが原因と考えられます。詳細な命令内容を取得するため、このサンプルでポート1780と1788を利用して1秒間隔で(場合によりそれ以上の間隔で)通信を試みました。

図20:WiresharkにC2との通信の試行が表示

また、図12は、ドメイン「jbfrost[.]live」を含むURLを示しています。これは、マルウェアに使用されるC2インフラの一部と思われますが、使用されてないように見えます(少なくともこの時点では)。このドメインは現在、名前解決ができません。 

結論

脅威アクターは、企業の日々の基本的なオペレーションを悪用したキャンペーンを行うために、膨大な労力をかけています。これには、海運ネットワークや輸送ネットワークにおける原材料の受け入れや最終製品の出荷などが含まれます。このタイプの脅威は今後数ヵ月から数年にかけて増加すると考えられており、企業や組織はこのようなオペレーション妨害への試行に対して警戒する必要があります。

このキャンペーンはこのような試行の1つです。STRRATは、マルウェアのエコシステムに広範囲に見られるトロイの木馬ほど注目はされていませんが、遭遇した場合、能力と持続性が高い脅威となっています。

フォーティネットのソリューションおよび減災

FortiGuard Labsは、この攻撃で使用されるファイルに対して次のアンチウイルスを提供しています。

Java/Agent.X!tr

FortiMailは、フィッシングメールをブロックし、FortiGuardのWebフィルタリング、アンチウイルス、CDR(コンテンツ無害化)テクノロジーを利用することで、お客様を保護します。

Webフィルタリングクライアントは、すべてのネットワークIOC(Indicators of Compromise:侵害指標)をブロックします。

FortiEDRは、評価情報や振る舞いによって不正なファイルを検知します。

IOC(Indicators of Compromise:侵害指標)

Eメール 

アドレス

shipping@acalpulps.com

exports@ftqplc.in

トロイの木馬

SHA256ハッシュ

409ad1b62b478477ce945791e15e06b508e5bb156c4981263946cc232df89996 (SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]zip)

3380d42b418582b6f23cfd749f3f0851d9bffc66b51b338885f8aa7559479054 (SHIPMENT_DOCUMENTS_INV-PLIST01256_BL PDF[.]jar)

URL

hXXp://jbfrost[.]live/strigoi/server/?hwid=1&lid=m&ht=5

IPアドレス

198[.]27.77.242 (C2)