FortiGuard Labs 脅威リサーチ
(またもや)クリスマスを盗もうとしている
世界の多くの人々は毎年12月になると、クリスマスを祝い、友人や家族と交流し、1年を振り返っています。マルウェアを運用する犯罪者もまた、このように休暇を祝ってお祭り騒ぎで油断しているユーザーのシステムを侵害しようと、しばしば行動を起こしています。
影響を受けるプラットフォーム: Windows
影響を受けるユーザー: Windowsユーザー
影響: マルウェアがバックドアを開いて、感染したマシンから情報を漏洩させる
深刻度: 高
FortiGuard Labsは、人々のホリデーに対する関心事を利用し、マルウェアの感染やさらなる悪用につながる、ホリデーシーズンをテーマにした2つのフィッシングの事例に出会いました。
AgentTeslaのクリスマスプレゼント
FortiGuard Labsは、AgentTeslaのアフィリエイトが、早くもクリスマスの活動を開始したことを発見しました。彼らのEメールは、ドバイの宝石店から送信されたように偽装されています。チリの水処理を専門とする会社にEメールが送信されました。このEメールでは、受信者にクリスマスに贈る宝石の価格と在庫の見積もりを提供するよう依頼するものです。警戒すべき明らかにおかしな点は、(水処理を専門とする会社に宝石の価格を問い合わせる以外に)「Dubai」のスペルが間違っている点です。
図1:メールのスクリーンショット
メールには2つファイルが添付されています。すなわち、「new designs.gz」には「new designs.exe」が含まれており、「Inquiry lists.gz」には「Inquiry lists.exe」が含まれています。埋め込みファイルの名前は異なりますが、同じファイルハッシュ(SHA 2:c 94 eac 21 e 05336 aa 64 ccbc 1726 d 0 a 2961880627973 dae 4 c 5483 aaaed 33150 eec 5)を共有しています。
図2:「new designs.gz」に含まれる「new designs.exe」
図3:「Inquiry lists.gz」に含まれる「Inquiry lists.exe」
実行されると、c94eac21e05336aa64ccbc1726d0a2961880627973dae4c5483aaed33150eec5は、fkkvzetzm.exe、jfwxswcu.au3、igqyivch.prc、kywyozha.xを、%usertemp%ディレクトリにドロップします。そして、jfwxswcu.au3を引数としてfkkvzetzm.exe(AutoIt3の正規のコピー)を起動し、AutoItスクリプト(jfwxswcu.au3)を呼び出します。
jfwxswcu.au3ファイルは、シェルコードを含むigqyivch.prcを読み込んで難読化するように設計された難読化AutoItスクリプトです。次に、シェルコードがVirtualAllocを介してメモリに読み込まれます。その後、シェルコードがkywyozha.xをメモリに読み込みます。読み込みが完了すると、kywyozha.xは、実行中のプロセスのコピーを起動し、64ビットプロセス内で実行されているか確認するなどのタスクを実行します。
アンチウイルスやEDRなどのシステムモニターに検知されないように、ntdll.dllをメモリにコピーし、ディスク上のntdll.dllの代わりに使用できるようにします。次に、ntdll.dllの特定のAPIが変更されているか、trampolineでフックされているかを確認します。そして最後に、kywyozha.xを実行中のプロセスのコピーにインジェクションします。
kywyozha.xファイルは実行ファイルです。自身を、8845e90c-374f-4f68-a7a8-4bc7bad7be20.exe (SHA2: 0FCAE5DB73D10B022E86F7E0799073623FA5063A29054807E1F93A4016D8FC99)と呼びます。8845e90c-374f-4f68-a7a8-4bc7bad7be20.exeはAgentTeslaの情報窃盗マルウェアであるトロイの木馬の亜種で、コマンド&コントロール(C2)サーバーにTelegram(hxxps://api.telegram[.]org/bot5018340186:AAFKw8ktzY7O_6e1fhgEWq27H2aE-rsBGjA/)を利用するものです。このマルウェアは、ファイルのダウンロードや削除、ブラウザやFTP、Eメールアプリケーションからの認証情報の窃取、キーログの実行などを行うことができます。
幸いなことに、このEメールを受け取った会社は宝石業を営んでおらず、AgentTeslaを開封して実行した可能性は低いと思われます。
「パーティーへようこそ!」
さらに、最近、クリスマス映画の視聴者にはおなじみの、あるテーマの奇妙なメールに遭遇しました。このEメールは、映画「ダイハード」に登場する架空の人物、Klaus Hans GruberからJohn McClaneに送られたように見せかける演出が施されていました。Eメールには、長い間の確執を解消するよう求める心のこもったメッセージが綴ってあり、受信者(この場合はJohn McClane)に添付ファイル「good_time.zip」を開くように求めています。
図4:「ダイハード」のEメール
このアーカイブファイルには、JPEG画像ファイルと思われる一連のファイルが含まれています。しかし、よく見ると「image6」は実際にはJPEGファイルではないことが判明しました。
図5:「ダイハード」のEメールに含まれる画像一覧
image6は写真ではなく、「image7.jpg.jpg」(下図)を表示するバッチファイルで、さらにhxxps://pastebin[.]com/raw/PeJLUFC4からPowerShellコードを読み込んで実行するものです。これらのPowerShellコマンドは、「教育目的」をうたっていますが、Eメール送信者にリバースシェルバックドアを作成します。
このバックドアにより、任意のPowerShellコマンドを実行できます。Eメールに添付されている一連の面白い画像を受信者に見せて、誤って悪意のあるバッチファイルを実行させるというのが、ここで攻撃者が用いている明らかな戦術です。
図6:image7.jpg.jpgのスクリーンショット
このEメール自体はジョークの体裁をとっていますが、添付ファイルは感染したマシンのバックドアを開くことで、ユーザーに大きな被害を与える可能性があります。
結論
このブログで取り上げた攻撃は決して新しいものではありませんが、このような攻撃が毎年繰り返されるのは、脅威アクターが「多くのシュートを打っていれば、必ずゴールを決めることができる(努力を続けることで最終的に成功する)」と考えているからです。クリスマスやワールドカップなど、休日や大きなイベントを悪用した攻撃では、この傾向が顕著です。注意散漫な受信者を利用する戦略は今でも成功を収めており、ユーザーはホリデーシーズン中も警戒を怠らないよう注意が必要です。
このため、CISA(Cybersecurity and Infrastructure Security Agency)は、オンラインの安全性とEメールの添付ファイルの処理についてユーザーを支援するいくつかのヒントを作成しています。
FortiGuard Labsは、皆様が安全なホリデーシーズンを過ごされることを祈っています。
フォーティネットのソリューション
Fortinet Antivirusエンジンは、以下のアンチウイルスシグニチャを使用して、このブログで取り上げたすべてのバイナリを検知します。
- MSIL/AgentTesla.919C!tr
- AutoIt/Agent.WKO!tr.
- PowerShell/Agent.0D84!tr
- PowerShell/Agent.36F7!tr
FortiGuard Webフィルタリングサービスは、AgentTesla C2サーバーと悪意のあるPowerShellスクリプトがホストされている場所を「悪意のある」場所と分類し、適宜ブロックしています。
FortiMailとFortiSandboxは、この攻撃の不正な添付ファイルを検知して隔離し、フォーティネットのCDR(コンテンツ無害化)サービスがそれを無効化します。
これらの保護機能に加えて、フォーティネットはフィッシング攻撃の検知 / 理解に関するユーザートレーニングも支援します。
フォーティネットが無償で提供するNSEトレーニングプログラム:NSE 1 – 情報セキュリティ意識向上には、インターネットの脅威に関するモジュールが含まれ、エンドユーザーはフィッシング攻撃を識別して自らを保護する方法を学習できます。
FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションし、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、フィッシング攻撃を受けた場合の適切な対処方法を訓練および強化できます。
ファイルIOC(Indicators of Compromise:侵害指標)
- c94eac21e05336aa64ccbc1726d0a2961880627973dae4c5483aaed33150eec5 (Inquiry lists.exe)
- 0FCAE5DB73D10B022E86F7E0799073623FA5063A29054807E1F93A4016D8FC99 (8845e90c-374f-4f68-a7a8-4bc7bad7be20.exe)
- 1f4118f5e843334e23e325784b5c4a8249315da7211c7c69d94d7a5a60d00d84 (image6.jpg.bat)
- 5e715ff174547e66f9566232bc7edccebd93ae7f99e5cd3818040c13acec36f7 (malicious PowerShell scripts hosted on pastebin[.]com/raw/PeJLUFC4)
- 543d26c5081bdcda693c8dc3586a874319413e8e8ab762b8ad99341f37c4b3fa (good_times.zip)
ネットワークIOC(Indicators of Compromise:侵害指標):
- api.telegram[.]org/bot5018340186:AAFKw8ktzY7O_6e1fhgEWq27H2aE-rsBGjA/
- pastebin[.]com/raw/PeJLUFC4
