本日(7月24日)、Cybereasonは日本のお客様へのバラマキ型のフィッシングメールによる攻撃を多数確認しました。 以前から確認されている日本郵政を名乗る偽メールで、Ursnif/Goziバンキングトロージャンへの感染を目的としています。

 

Ursnif(別名「Gozi」「Snifula」「Papras」など)とは、オンラインバンキング等の不正送金により金銭を入手することを目的としたマルウェアであるバンキングトロージャンの一種です。

バンキングトロージャンに感染したまま、銀行や決済サービスのサイトにログインすると偽の入力画面が表示されパスワードが盗まれたり、送金情報を改ざんされ意図しない口座に送金したりして、不正送金が行われます。

 

Ursnifへの感染を目的とした、同様の内容のバラマキメールの配布は直近で既に確認されているものの、今回確認した攻撃のペイロードや攻撃手法はこれまで確認されたものと一部異なりました。(参考リンク)

 

また、本日時点、Cybereasonで確認した攻撃の感染初期のペイロードはVirusTotalのアンチウィルスベンダーにより一切検知されませんでした。

 

この記事では、今回確認したUrsnifの感染ステップとCybereasonによるUrsnifの振る舞いによる検知をご紹介します。

 

【フェイズ1: フィッシングメール】

メール本文は日本郵政を名乗る以下の内容でした。

picture1s

 

【フェイズ2: 悪質なWord文書】

攻撃メールにはJSEファイル(JScript Encoded Script)が含まれた悪質なWord文書が添付されていました。Wordから実行されるJSEファイルにより、Ursnifの一つ目のバイナリのダウンロードを行います。最近ではメールのフィルタリングなどのセキュリティ製品によりマクロを利用したダウンローダーの検知が容易になっていることから、このような手法が多く見られるようになっています。

 

日本のお客様環境で確認されたWord文書:

 

文書名: 日本郵便追跡サービス_[RANDOM-NUMBER].docx

SHA-1:

80117ac955f7d92b7c7fe5b6544266826b843155

508DDC3CF24EAD7D40EF55AAFF1A1C364F895984

 

picture2s

難読化された.JSEファイルを抽出

 

picture3s

 

お客様端末の感染を確認した当時、確認された悪質なWord文書とJSEファイルはVirusTotalのアンチウィルスベンダーによる検知実績がありませんでした。

 

悪質なWord文書

SHA-1: 80117ac955f7d92b7c7fe5b6544266826b843155

https://virustotal.com/en/file/f55861269d1c4a3530424ba974144b4ffd3eaed235940aca0d547b1e1c89b16c/analysis/

picture4s

 

 

悪質なJSEスクリプト(ダウンローダー)

SHA-1: 495d0d92dee60cfd9097c7876ecc3ed476e64862

https://virustotal.com/en/file/15385ae5593b19f67eb0a03b12dc3e9e807e3fdb89baf1657a28715f22793ce5/analysis/

picture5s

 

【Cybereason による検知】

Cybereasonはプロセスツリー、シェル、スクリプトの実行など、ダウンローダーとしての振る舞い自体を検知するため、今回のUrsnifダウンローダーも問題なく検知出来ました。

 

picture6s

picture7s

【フェイズ3: Ursnifバイナリの取得】

 

picture9s

 

 

ダウンローダーのスクリプトはUrsnifのバイナリをC&Cサーバーからダウンロードし、%TEMP%フォルダに書き込みます。

 

Majorka.exe (SHA-1: 5ca7d2902054f0272f01252b4b5f4163521fd86c)

 

【実行環境の確認】

ダウンロードされたUrsnifのバイナリは、本命のペイロードを更に別ディレクトリに書き込むドロッパーでした。このドロッパーは感染端末の情報を収集し、問題なく実行出来、解析される恐れがない状態であることを事前に確認します。

 

仮想化対策:

Ursnifは仮想環境で実行されていないことを確認するために、システム内にそれを示唆する特定のストリングがないことを確認します:

(例)VBox, Qemu, Vmware, Virtual HD 

 

他の確認するシステム情報の一部:

  • システム時間
  • OS バージョン
  • ユーザー、マシン名
  • ドライブ

自動実行設定、痕跡の消去

 

環境内のチェックが終了すると、以下を行います:

・バッチファイル(.bat)を生成

・%APPDATA%内に新しくフォルダーを生成

・新しいフォルダ内にランダムな名前でペイロードをドロップ

・バッチファイルを実行し、先にダウンロードされたドロッパーを消去

・新たなペイロードの自動実行を設定するレジストリを生成

 

自動実行キー:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run

値:

C:\Users\[REDACTED]\AppData\Roaming\Microsoft\{RANDOM}\{RANDOM}.exe

 

ドロッパーを消去するバッチファイル:

picture11s

 

ドロップされたペイロード: Avicbrkr.exe, adprtext.exe

SHA-1: CA2CC7A954D989AD653559FCE6A7D1CF125282E2

 

【フェイズ4:Explorer.exeに対するコードインジェクション】

 

Ursnifは、Windowsの正規のプロセスであるexplorer.exeに対してコードインジェクションを行うことで自身を隠蔽します。Ursnifが利用するコードインジェクションの手法は特徴的なもので、Githubでソースコードを確認することが出来ます。

https://github.com/gbrindisi/malware/blob/master/windows/gozi-isfb/AcDll/image.c

https://github.com/gbrindisi/malware/blob/eb9659ae063fbf3b930583d69cdc7a83e6bcfe3f/windows/gozi-isfb/AcDll/activdll.c

 

picture12s

 

 

【Cybereasonから確認できるexplorer.exeへのコードインジェクション:】

 

picture13s

 

【インターネット接続の確認】

Ursnifは本格的に活動を開始する前に、インターネットへの接続、自身のグローバルIPの確認を行います。

その一環として、Ursnifは以下のサービスとの通信を確認しました。:

 

222.222.67.208.in-addr.arpa

curlmyip.net

resolver1.opendns.com

myip.opendns.com

 

picture14s

 

疎通確認が終わると、UrsnifはC&Cサーバーと通信し、活動を開始します。

 

  picture15s

 

【主な振る舞い】

Ursnifが実行されると銀行の口座情報等をはじめとした、機密情報等の窃取を試みます:

Ursnifにモジュールとして存在している機能の一部:

  • キーロガー (キーボード入力の摂取)
  • ブラウザに入力したパスワード、ブラウザ履歴、メールアカウント情報の窃取
  • マルウェアに設定された銀行やPayPalのサイトにアクセスした際の改ざん
  • Tor クライアント
  • VNC クライアント(リモート操作)

 

【IOC: Indicators of Compromise】

メール:

SHA-1: 58045411236751f0d627eeec8185090cb53b1ef

メールアドレス:日本郵便追跡サービス <magicmunke@mail[.]com>

 

メールの添付ファイル:

SHA-1:80117ac955f7d92b7c7fe5b6544266826b843155

 

日本郵便追跡サービス_72397-20348103 (002).docx

日本郵便追跡サービス_55278-84832536.docx

日本郵便追跡サービス_40220-58509793.docx

日本郵便追跡サービス_81306-65780443.docx

日本郵便追跡サービス_65543-81849028.docx

日本郵便追跡サービス_09839-67964279.docx

日本郵便追跡サービス_97444-98794708.docx

 

ファイル名(.jse):

SHA-1: 495d0d92dee60cfd9097c7876ecc3ed476e64862

C:\Users\Username\AppData\Local\Temp\HT15T~.jse

 

ファイル名(.bat):

SHA-1: C56C4A2F42FECD9EE6D5A1DEC81BD52882BF9B6A

 

C:\Users\Username\AppData\Local\Temp\BAB8\30.bat

C:\Users\Username\AppData\Local\Temp\5600\AB00.bat

D:\Users\Username\AppData\Local\Temp\7D2\3E9.bat

 

ファイル名(実行ファイル):

SHA-1: 5ca7d2902054f0272f01252b4b5f4163521fd86c

C:\Users\Username\AppData\Local\Temp/go983509.exf

C:\Users\Username\AppData\Local\Temp/led748915.vrd

C:\Users\Username\AppData\Local\Temp/led918361.vrd

C:\Users\Username\AppData\Local\Temp/led709535.vrd

C:\Users\UsernameAppData\Local\Temp/led322150.vrd

C:\Users\Username\AppData\Local\Temp/eog980930.jz

C:\Users\Username\AppData\Roaming\MICROS~1\Dmdstore\aclering.exe

C:\Users\Username\AppData\Roaming\MICROS~1\Deskrint\acletdll.exe

C:\Users\Username\AppData\Local\Temp/go867754.exf

C:\Users\Username\AppData\Local\Temp/go940669.exf

C:\Users\Username\AppData\Local\Temp\go940669.exf

C:\Users\Username\AppData\Local\Temp/go992082.exf

C:\Users\Username\AppData\Local\Temp\UAX253~1.IUB

C:\Users\Username\AppData\Local\Temp/uax253132.iub

C:\Users\Username\AppData\Roaming\MICROS~1\ClicDEML\apssprop.exe

C:\Users\Username\AppData\Roaming\MICROS~1\CHxR9_41\Apphtyle.exe

majorka.exe

arabescue.exe

fedora.exe

jma553426.vvu

entropay.exe

 

ペイロード:

Avicbrkr.exe

adprtext.exe

SHA-1: CA2CC7A954D989AD653559FCE6A7D1CF125282E2

Unpacked payload: BB8BB880A9DF115D1F853E6BB494FDEDD6C0FEB8

 

悪質なドメイン:

sil[.]company > 110.232.64.148

zhangtianli[.]com > 50.87.248.109

derdederman[.]net

buildindustryastana[.]com > 93.89.224.95

その他感染した国内企業のサイト

 

悪質なURL:

hxxp://zhangtianli[.]com/majorka.exe

hxxp://sil[.]company/wp-content/themes/themify-music/builder-layouts/majorka.exe

hxxp://derdederman[.]net/wp-content/themes/twentysixteen/inc/majorka.exe

hxxp://monroeroadways[.]net/arabescue.exe

hxxp://selvinkamal.com[.]au/wp-content/themes/uncode/arabescue.exe

hxxp://amaztoy[.]com/fedora.exe

hxxp://thorhammer[.]international/entropay.exe

 

レジストリ(自動実行):

HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\avic9_32

Apphtyle.exe

HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\batt9_39

apssprop.exe

HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\E_L1mifs

aclering.exe

HKU\[REDACTED]\Software\Microsoft\Windows\CurrentVersion\Run\dot3prop

acletdll.exe

 

 以上