税理所員は眠らない

米国時間2022年12月21日に掲載されたフォーティネットブログの抄訳です。

ほとんどの人にとって、税金とは疑いのないものです。通常、アメリカやカナダでは、春に個人や企業が納税申告書を提出します（ただし、新型コロナウイルス感染症の影響で、希望者には延長が認められました）。そのため、11月初旬に国税庁（IRS）から送られてきたと思われる納税申告書を含むEメールを目にしたとき、私たちは興味をそそられました。

影響を受けるプラットフォーム：　Windows
影響を受けるユーザー：　　　　　Windowsユーザー
影響：　　　　　　　　　　　　　さらなる目的を達成するために追加のマルウェアを展開する可能性
深刻度：　　　　　　　　　　　　中

FortiGuard Labsが発見したEメールは、当然のことながら悪意のあるものでした。ただ興味深いのは、このメールが最近復活したEmotetグループによって送信されたものであったという点です。Emotet（別名：GeodoおよびHeodo）は、金融機関を標的にするトロイの木馬として誕生しましたが、その後、複数の脆弱性を悪用して被害者を危険にさらす可能性のある万能ツールに変貌を遂げました。一度システムに感染すると、その後は通常、追加のペイロードが送り込まれます。また、モジュール型であるため、ユーザーが簡単にカスタマイズできます。この柔軟性と回復力は、少なくとも一度、2021年に業界と法執行機関が協調して取り締まりを行った際にもEmotetがなんとか持ちこたえた理由の1つです。

フィッシングメール

このフィッシングメールは、「IRS.gov」を名乗っているが、パキスタンのある組織の不正なEメールアカウントから発信されたものです。件名と本文には、受信者のIRS K-1フォームが、パスワード「0440」で暗号化されたZipアーカイブに添付されていると記載されています。

Schedule K-1とは、企業や金融機関のパートナー、または小規模会社の株主の収入、損失、配当を国税庁に報告するための米国連邦税の書類です。このフォームの内容は、個人の年間納税申告書に追加しなければならないため、個人所得税の提出期限である4月15日の1ヵ月前（3月15日）に提出しなければなりません。このため、11月8日にSchedule K-1フォームがメールに添付されているのを見たときには、注意が必要でした。

Eメールには、Zipアーカイブである「K-1 form.zip」と国税庁のロゴ画像が添付されています。

K-1 form.zip

この「K-1 form.zip」ファイルは、暗号化されたZipアーカイブで、解凍にはパスワードが必要です。Eメールの本文に、パスワード「0440」が記載されています。これにより、「K-1 form.xls」を開くことができます。

K-1 form.xls

ファイルを開くと、興味深いバナーとともにExcelのスプレッドシートが表示されます。このバナーでは、「セキュリティポリシーの要件に従って」、使用しているMicrosoft Officeのいずれかのバージョンの「Templates」ディレクトリにファイルをコピーし、ファイルを再起動するようにユーザーに促しています。

このファイルには複数のワークシート（合計7つ）が含まれています。そのうち6つのシートは保護されているため、変更できず、ユーザーはその内容を直接見ることはできません。

ご推察のとおり、このスプレッドシートには悪意のあるExcel 4.0マクロが含まれています。「Manage Names」の「Excel_BuiltIn_Auto_Open」エントリは、ブック内で保護されていない唯一のシートのセルで、コマンドを実行するように設定されています。

Sheet6を詳しく見ると、G列が非表示になっていることがわかります。

Pythonスクリプトにより、この悪意のあるファイルがどのように機能するかについて、詳細が明らかになります。

Pythonライブラリ「openpyxl」を使用することで、各ワークシートで非表示になっている詳細を表示することができました。図6に示すように、いくつかの行と列に非表示のコンテンツがあります。

たとえば、「Sheet4」のデータを掘り下げると、いくつかのURLの断片が明らかになります。

さらにスクリプトが実行され、これらの断片がつなぎ合わせられます。

これにより、次段階のペイロードの4つのダウンロード場所が明らかになります。

ダウンロードしたペイロードは、使用されるURLに応じて、oxnv1.ooccxxからoxnv4.oocccxxとして保存されます。次に、「C:\Windows\System32\regsvr32.exe /S ..\oxnv[n].ooccxx」コマンドで、このペイロードを「regsvr32.exe」経由で呼び出し、起動しようとします。

この実行ファイルはEmotetです。

oxnv[n].ooccxx

Emotetのペイロードは、Windows Dynamic Link Library（DLL）ファイルです。分析の結果、このキャンペーンのEメールが送信される直前に編集されたことがわかりました。

珍しいことに、このDLLには270を超えるエクスポート関数があります。

図11に示すように、関数名はランダム化されています。大半は呼び出し元への返送を提供します。これは、分析対策、デバッグ対策の手法と思われます。

「oxnv[n].ooccxx」が実行されると、「C:\Windows\System32」の下のランダムな名前のディレクトリにコピーされ、その後同じくランダムな名前に変更されます。regsvr32.exeのプロセスが再起動され、名前が変更されたファイルが新しい場所で使用されます。

Emotetが起動すると、Command and Control（C2）サーバーノードの1つに接続を試みます。この例では、20個のIPが使用されます（以下のIOC（Indicators of Compromise：侵害指標）セクションに示されています）。マルウェアは、つながるまで順にループします。マルウェアは、試行が失敗すると一時停止してから、必要なだけもう一度サイクルします。

結論

国税庁が与える恐怖ほど、特に納税の季節においては、新しいフィッシングの誘い文句に騙されてしまいそうです。国税庁が納税者にメールで連絡することはないとはいえ、国税庁から連絡があったと考えることほど、受信者に行動を起こさせる（結果的に警戒心をなくさせる）ものはないでしょう。この脅威は、税金に関連して行われるフィッシングの通常の期間外に配信されたため、特に興味深いものです。また、Emotetや他に類似する脅威アクターは、恐怖によって受信者の警戒心が麻痺してしまうことを狙っているため、このような通常とは異なるEメールを受け取った場合、慎重に扱うことが最善であるという警告にもなります。

フォーティネットのソリューション

フォーティネットのお客様は、以下のように、FortiGuardのWebフィルタリング、アンチウイルス、FortiMail、FortiClient、FortiEDRサービスを通じて、このマルウェアからすでに保護されています。

以下の（アンチウイルス）シグネチャは、このブログで紹介したマルウェアサンプルを検知します。

MSExcel/Agent.DKF!tr.dldr

W32/Emotet.PACA!tr

Webフィルタリングクライアントは、ネットワーク上のすべてのURLをブロックします。

フォーティネットは、ユーザーがフィッシングの脅威を理解し、検知するためのトレーニングを支援するように設計された複数のソリューションを提供しています。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。

組織ではこれらの保護に加え、フォーティネットが無償で提供するNSEトレーニング：NSE 1 – 情報セキュリティ意識向上の受講をお勧めします。このトレーニングには、インターネットの脅威に関するモジュールが含まれ、エンドユーザーは各種のフィッシング攻撃を識別して自らを保護する方

IOC（Indicators of Compromise：侵害指標）

ファイルベースIOC：

ネットワークベースIOC:

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / グローバルインテリジェンス部門、およびFortiGuardのAIを活用したセキュリティサービスのポートフォリオを参照してください。