概要
2015年に行われた大規模なDridexキャンペーンがランサムウェアや他のペイロードに取って代わられるようになったにも関わらず、バンク型トロイの木馬は進化し続け、脅威アクターは新しい方法でこれを使うようになっています。 ごく最近、弊社はKronosのバンキング型トロイの木馬を配信する比較的規模の大きい電子メールキャンペーンをいくつか確認しました。 このようなキャンペーンでKronosは、第2のペイロードとしてScanPOSと呼ばれる新しいPOS(ポイントオブセールス)マルウェアのローダーとして動作しました。
このようなキャンペーンは、弊社が観察したKronosバンク型のインスタンスの増加を表すだけでなく、2014年6月に初めて登場し、かつ弊社がごく最近カナダを標的にしたキャンペーンに関連する特徴があるとしたマルウェアの新しいアプリケーションをも表しています[1]。
メールによるキャンペーン
11月10日と14日に、Proofpointは大規模なメールキャンペーンを何件か確認しました。各々に数万件のメッセージが使われ、病院、高等教育機関、金融サービス機関、ヘルスケアなど、バーティカルな範囲をターゲットとしていました。 関連するバーティカル市場ごとの量を図1に示しています。
図1: 複数のキャンペーンのターゲットとなるバーティカル市場
これらのキャンペーンは世界的なオーディエンスに到達しましたが、主にターゲットになったのはイギリスと北アメリカでした。
メールには添付文書やこのようなリンクがついています。hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[base64 encoded e-mail address]. このドメインは攻撃者のコントロール下にありますが、Microsoft SharePointに関連しているように見せかけます。 リンクをクリックすると、ターゲットになっているユーザーが悪意のあるドキュメントをダウンロードしてしまいます(図2と図3)。
図2: 悪意のある添付のみがついているメール
図3: 悪意のある添付やドキュメントへのリンクがついているメール
弊社が確認したドキュメントは、次のようなURLからKronos [2]をダウンロードするマクロがついていました。hxxp://info.docs-sharepoint[.]com/officeup[.]exe KronosのペイロードはこのようなC&C(指令と制御)がついていました。hxxp://www.networkupdate[.]club/kbps/connect[.]php Kronosペイロードは、次のURLから少なくとも3つの異なるペイロードをダウンロードするというタスクを受け取ります。
- hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe - Smoke Loader
- hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe - Smoke Loader
- hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe - ScanPOS
図4:「Enable Content」(コンテンツを有効にする)というおとりがついた悪意のあるマクロドキュメント
Some Loader [3] ペイロードはどちらもC&Cに、hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php を使うように設定されています。現在のところは、この2つのSmoke Loaderのサンプルに関連する別のペイロードを弊社では確認していません。 しかしながら、次の項目に記しますが、ZeuSの変種のペイロードが異なるSmoke Loaderのサンプルにより同じC&Cを使ってダウンロードされたことを弊社は確認しています。
弊社が観察した3番目のペイロードは、ScanPOSと呼ばれる新しいPOS(ポイントオブセールス)マルウェアです。HTTP経由(図5)でクレジットカード番号を盗み取ることができ、実行プロセスのメモリを検索して発見されました。 この新しいPOSの変種は、単一のハードコード化されたC&Cのみを持っています。hxxp://invoicesharepoint[.]com/gateway[.]php ここに記述したドメイン以外でも、Microsoft SharePointに関連があるように見せかけますが、実際は独立していて攻撃者のコントロール下にあります。
盗み取られたデータは、base64エンコードが使われ、次を含みます。
- 盗み取られた追跡データ
- データが見つかったプロセス
- ユーザー名
この新しいPOSの変種に関するさらなる技術分析は、Morphickのメンバーによる発見記録をご参照ください [4]。
図5: HTTPを介してCCデータを盗み取るScanPOS
その他のアクティビティ
このアクティビティに先立って11月8日のキャンペーンでは、弊社はKronosの配信に使われたものと同じパターンに則した同様のメールとURLを確認しました。 しかしながら、このキャンペーンでは弊社はRIG-vエクスプロイトキット(EK)に繋がるリンク、さらにその後にZIP圧縮された.pifファイル、Smoke LoaderとZeuSへリダイレクトするリンクを確認しました。 リンクはごく最近のキャンペーンに酷似したパターンに則していました。hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[base64 e-mail address] これらのリンクはiframeを利用して、可能性のある被害者を、add.souloventure[.]orgに置かれたRIG-vインスタンスにリダイレクトし、またオリジナルのリンクと同じサーバーの/download.phpにもリダイレクトします(図6)。
図6: RIG-vとペイロードダウンロードにリダイレクトするiframe
残念ながら、弊社はこの特定のリダイレクトチェーンを介して配信されたペイロードは確認しませんでした。 /download.phpは、EmployeeID-47267.zipペイロードを返し、C&Cにこちら(hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php)を使ったSmoke Loaderの変種、あるいは、C&Cにこちら(hxxps://feed.networksupdates[.]com/feed/webfeed[.]xml)を使ったZeuSの変種を確認しました。Smoke Loaderを確認したインスタンスでは、Smoke Loaderが同一(同じハッシュ値)のZeuSの変種をダウンロードしていました。
結論
ScanPOSを配信するキャンペーンは、北アメリカとイギリスの接客業を特にターゲットにしています。他の国ではクリスマスと感謝祭の休暇時期に確認されています。 ホリデーシーズンが近づいており、旅行やショッピングが盛んになる時期です。組織は特に潜在的なPOSマルウェア、バンク型トロイの木馬、その他の季節的に傾向の高いセキュリティ上の弱点をついてくるマルウェアなどの影響に用心深くなるべきです。 弊社は引き続き、Kronosキャンペーン、ScanPOS配信、およびその他の脅威が現れることを監視します。
参考
- https://www.proofpoint.com/us/threat-insight/post/banking-trojans-dridex-vawtrak-others-increase-focus-on-canada
- https://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/
- https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
- http://www.morphick.com/resources/lab-blog/scanpos-new-pos-malware-being-distributed-kronos
攻撃されたことを示す痕跡(IOC)
| IOC | IOCのタイプ | 詳細 |
|---|---|---|
| hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[base64 e-mail address] | URL | 11月8日のフィッシングリンク |
| hxxp://invoice.docs-sharepoint[.]com/profile/download[.]php | URL | 11月8日のフィッシングリンクからのリダイレクト |
| 4b5f4dbd93100bb7b87920f2f3066782a8449eb9e236efc02afe570c1ce70cf5 | SHA256 | 11月8日の /download.php からダウンロードされたSmokeLoaderを含むEmployeeID-47267.zip |
| 90063c40cb94277f39ca1b3818b36b4fa41b3a3091d42dfc21586ad1c461daa0 | SHA256 | SmokeLoader EmployeeID-47267.pif |
| 711431204071b1e6f5b5644e0f0b23464c6ef5c254d7a40c4e6fe7c8782cd55c | SHA256 | 11月8日に /download.php からダウンロードされたZeuSを含むEmployeeID-47267.zip |
| 4ba3913d945a16c099f5796fdeef2fda5c6c2e60cb53d46a1bfae82808075d74 | SHA256 | ZeuS EmployeeID-47267.pif |
| hxxps://feed.networksupdates[.]com/feed/webfeed.xml | URL | 11月8日のZeuS C&C |
| add.souloventure[.]org | ドメイン | 11月8日のRIG-vドメイン |
| hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[base64 e-mail address] | URL | 11月10日のフィッシングリンク |
| a78b93a11ce649be3ca91812769f95a40de9d78e97a627366917c4fcd747f156 | SHA256 | 11月10日のフィッシングリンクからダウンロードされたEmployeeID-847267.doc |
| hxxp://info.docs-sharepoint[.]com/officeup[.]exe | URL | 11月10日のペイロード(Kronos)をダウンロードするEmployeeID-847267.doc |
| e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 | SHA256 | 11月10日のKronos |
| hxxp://www.networkupdate[.]club/kbps/connect[.]php | URL | 11月10日のKronos C&C |
| hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe | URL | 11月10日のKronosによるペイロードダウンロード |
| hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe | URL | 11月10日のKronosによるペイロードダウンロード |
| hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe | URL | 11月10日のKronosによるペイロードダウンロード |
| d0caf097ea0350dc92277aed73b0f44986d7d85b06d1d17b424dc172ce35a984 | SHA256 | c1c06f7d.exe - SmokeLoader |
| d9d1f02c8c4beee49f81093ea8162ce6adf405640ccacd5f03ce6c45e700ee98 | SHA256 | 1f80ff71.exe - SmokeLoader |
| hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php | URL | SmokeLoader C&C |
| 093c81f0b234c2aa0363129fdaaaf57551f161915da3d23f43a792b5f3024c1e | SHA256 | a8b05325.exe - ScanPOS |
| hxxp://invoicesharepoint[.]com/gateway[.]php | URL | ScanPOS C&C |
| hxxp://intranet.excel-sharepoint[.]com/doc/employee[.]php?id=[base64 e-mail address] | URL | 11月14日のフィッシングリンク |
| fd5412a7c71958ecdffa7064bf03c5f1931e561a1e71bc939551d5afb8bf7462 | SHA256 | 11月14日のフィッシングリンクからのダウンロード |
| hxxp://profile.excel-sharepoint[.]com/doc/office[.]exe | URL | 11月14日のペイロード(Kronos)をダウンロードするEmployeeID-6283.doc |
| 269f88cfa9e9e26f3761aedee5d0836b5b82f346128fe03da28a331f80a5fba3 | SHA256 | 11月14日のKronos(前のC&Cと同じ) |
ETおよびETPRO Suricata/Snortの範囲
2018125 ET CURRENT_EVENTS SUSPICIOUS .PIF File Inside of Zip
2020077 ET TROJAN Kronos Checkin M2
2020080 ET TROJAN Kronos Checkin
2022124 ET TROJAN Win32.Sharik Microsoft Connectivity Check
2022550 ET CURRENT_EVENTS Possible Malicious Macro DL EXE Feb 2016
2023196 ET CURRENT_EVENTS RIG EK Landing Sep 12 2016 T2
2023401 ET CURRENT_EVENTS RIG EK URI struct Oct 24 2016 (RIG-v)
2816808 ETPRO CURRENT_EVENTS RIG EK Flash Exploit Mar 29 2016
2823254 ETPRO TROJAN ScanPOS Exfiltrating CC Data
2823288 ETPRO TROJAN Zeus Variant CnC SSL Cert