脅威リサーチ

偽装の請求書でIcedIDをドロップ

投稿者 James Slaughter | 2022年4月22日

FortiGuard Labs Research

この記事はVal Saengphaibul並びにFred Gutierrezの協力により作成されました。

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             侵害されたマシンが脅威アクターの制御下に置かれる。
深刻度:            

スピアフィッシングは、情報収集技術から派生した業界固有の用語から生まれた言葉で、受信者をだましてファイルを開かせるように誘導するものですが、特定が困難なのが特徴です。攻撃者に事業内容や関連するプロセスについての知識があればなおさらのことです。こうした知識があれば、燃料価格の取引をまとめるなど、日常的なプロセスをうまく利用して詐欺を行うことができるようになるからです。

今回、FortiGuard Labsが遭遇したシナリオは、ウクライナのキーウ(キエフ)にある燃料会社がフィッシングメールを受信したことから始まりました。送信元は別の燃料供給業者を思わせるもので、請求書が添付されていましたが、これがなりすましだったのです。添付ファイルはトロイの木馬「IcedID」を含むZipファイルです。

IcedIDは、遡ること2017年に確認されているものでした。銀行口座情報と個人情報を盗むことが主な機能です。さらに、同じグループやパートナー組織から追加的にマルウェアを配信することもできます。

また、このインスタンスで使用される展開方法も特徴的で、ISOフォーマットが使用されています。ISOフォーマットは、Windowsのディスクとして自動的にマウントされます。ISOファイルは、ブート可能なCD-ROMを作成したり、OSや仮想マシンをインストールしたりすることにも使用することができます。また、DLL(ダイナミックリンクライブラリ)の起動で使用するLNK(ショートカットファイル)も含まれています。

今回のブログでは、感染プロセスと、IcedIDの背後にいる脅威アクターによる感染後のマルウェア展開について詳しく説明します。

フィッシングメール

メールは元々BelizeのIPアドレス179[.]60[.]150[.]96から送信されたものでした。その送信元アドレスを偽装して、ウクライナ国内の別の燃料供給業者から送信されたように見せかけているのです。メール文には英語とウクライナ語の両方が含まれ、さらに、添付ファイルに関する特別なセキュリティ対策についても記載があるので、本物のように見えます。

図1:フィッシングメール

メールには、「invoice 15.zip」という名前のファイルが添付されています。Zipファイルを解凍すると、「invoice 15.iso」がドロップされ、感染の第1段階が開始されます。

ISO

Windowsでは、ISOファイルを外部ディスクとしてマウントすることができます。これにより、「document」というショートカットがユーザーに表示されます。ほとんどの場合、ユーザー側ではファイル拡張子が非表示になるので、本物のドキュメントのように見えます。

図2:内容が非表示になっているISOファイル

ISOコンテナの内容を全表示すると、DLLファイルも表示されます。

図3:ISOファイルの全表示内容

LNK

図4:ショートカットの詳細

図4のとおり、ショートカットファイルはフィッシングメールの送信前に作成されていました。また、ハイライト箇所では、ユーザーがショートカットをクリックした場合の動作が示されています。

この場合では、Regsvr32で「main.dll」をWindowsレジストリに登録し、Regsvr32に含まれるコードを起動することになっています。この操作により、次の感染段階が開始されます。

ドロッパー

「main.dll」はIcedIDのドロッパーとして機能します。ファイルの静的解析により、興味深い点が明らかになりました。

図5:「main.dll」に埋め込まれた文字列の例

一見すると、ドメインやIPアドレスが含まれているため、IOC(Indicators of Compromise:侵害指標)としては非常に簡単に見えますが、実際のところはもう少し複雑であることがわかります。

図6:図5の情報を示すIDA Proで表示されているコード

図5の文字列が格納されているコード領域を比較すると、この領域は「main.dll」内の関数によって呼び出されていないことがわかります。これを示すものとして、図6の最初の行の右側に「Data XREF:」があります。これは、コード内の他の場所で参照されていることを示しています。ただし、図5の文字列にはこの情報は含まれていないので、この文字列が参照されていないことがわかります。

さらに調べてみると、話はさらに興味深くなっていきます。このコードは、約10年前、StackOverflowというQ&Aサイトに投稿された、HTTP(https://stackoverflow.com/questions/9389183/downloading-a-picture-with-http-get-only-downloads-a-small-part-of-it)で画像をダウンロードすることに関する質問に登場しているのです。投稿したコンテンツに悪意がないことに留意してください。

そのコードが今は「main.dll」の一部として使われていますが、それはリサーチャーを騙し、実際の侵害指標をブロックされないようにするための囮です。

図7:IcedIDが収集した情報

図7のとおり、マルウェアは実行後、複数のWindowsコマンドラインツールでローカル環境に関する情報を取得します。これには、ローカルIPアドレス(ipconfig)のキャプチャ、ドメイン信頼の列挙(nltest)、ドメイン管理者(net group)のリストのキャプチャなどが主に挙げられます。

次に、サンプルではコマンド&コントロール(C2)サーバーへのアウトバウンド通信を試みます。マルウェアが接続できるアドレスは複数あるので、宛先の1つが使用不能になった場合でも、接続が確保されるようになっています。

図8:ネットワーク通信

図9:HTTP GET要求

C2サーバーへの接続が確立されたら、マルウェアは永続性を確保するために次のステップへ移行します。ユーザーの一時ディレクトリ「%APPDATA%\local\temp」に、自身のコピーをインストールします。

図10:「Arur.exe」をTempディレクトリにドロップ

結論

脅威アクターが標的者に精通していると、組織内にインプラントをインストールする機会が増える可能性があります。さらに、我々の調査に基づき、IcedID攻撃で見られた活動は集団の組織的活動であることが明らかになっています。これは、ウクライナの小売燃料業界の調査でも裏付けられています。また、足がかりを確立したり最終的に組織内での永続性を確保したりするために、Zip圧縮されたISOファイルのような一般的でない展開方法が使用されています。これは、不正にアクセスするために攻撃者がいかに巧妙になっているかを示していると言えます。

フォーティネットのソリューション

次の(AV)シグネチャでは、このブログに記載されているIcedIDサンプルをすべて検知します。

W32/Kryptik.HOTN!tr
W64/Kryptik.CXY!tr
W64/Kryptik.CXY!tr
W64/Kryptik.CXY!tr
LNK/IceID.AW!tr
W64/Kryptik.CXY!tr

Webフィルタリングクライアントでは、URIベースのネットワークをすべてブロックします。

フォーティネットでは、ユーザーがフィッシング脅威を理解し検知するトレーニングができるソリューションを複数用意しています。

FortiPhishのフィッシングシミュレーションサービスでは実環境のシミュレーションを使用するので、組織がフィッシング脅威に対するユーザーの認識や警戒をテストできるようになり、さらに、標的型フィッシング攻撃に遭遇した場合の適切な手法をトレーニングしたり強化したりすることもできます。

これらの保護に加えて、組織においてはフォーティネットが無償で提供しているNSEトレーニングNSE 1 – 情報セキュリティ認識をエンドユーザーに受講させることをお勧めします。このトレーニングには、インターネットの脅威に関するモジュールが含まれ、エンドユーザーがさまざまなタイプのフィッシング攻撃を識別して防御する方法を学習できるようになっています。

IOC(Indicators of Compromise:侵害指標)

ファイル名

SHA256

invoice_15.zip

83bd20009107e1f60479016046b80d473436d3883ad6989e5d42bc08e142b5bb 

invoice_15.iso

3542d5179100a7644e0a747139d775dbc8d914245292209bc9038ad2413b3213 

document.lnk

a17e32b43f96c8db69c979865a8732f3784c7c42714197091866473bcfac8250

main.dll

698a0348c4bb8fffc806a1f915592b20193229568647807e88a39d2ab81cb4c2 

Arur.exe

283d5eea1f9fc34e351deacc25006fc1997566932fae44db4597c84f1f1f3a30 

ネットワークIOC:

160[.]153[.]32[.]99

160[.]90[.]198[.]40

yourgroceries[.]top

ssddds1ssd2[.]com

ip-160-153-32-99[.]ip[.]secureserver[.]net