Kronosバンク型トロイの木馬がPOSマルウェアの配信に使用される

Share with your network!
Proofpoint Staff

概要

2015年に行われた大規模なDridexキャンペーンがランサムウェアや他のペイロードに取って代わられるようになったにも関わらず、バンク型トロイの木馬は進化し続け、脅威アクターは新しい方法でこれを使うようになっています。 ごく最近、弊社はKronosのバンキング型トロイの木馬を配信する比較的規模の大きい電子メールキャンペーンをいくつか確認しました。 このようなキャンペーンでKronosは、第2のペイロードとしてScanPOSと呼ばれる新しいPOS(ポイントオブセールス)マルウェアのローダーとして動作しました。

このようなキャンペーンは、弊社が観察したKronosバンク型のインスタンスの増加を表すだけでなく、2014年6月に初めて登場し、かつ弊社がごく最近カナダを標的にしたキャンペーンに関連する特徴があるとしたマルウェアの新しいアプリケーションをも表しています[1]。

メールによるキャンペーン

11月10日と14日に、Proofpointは大規模なメールキャンペーンを何件か確認しました。各々に数万件のメッセージが使われ、病院、高等教育機関、金融サービス機関、ヘルスケアなど、バーティカルな範囲をターゲットとしていました。 関連するバーティカル市場ごとの量を図1に示しています。

複数のキャンペーンのターゲットとなるバーティカル市場

図1: 複数のキャンペーンのターゲットとなるバーティカル市場

これらのキャンペーンは世界的なオーディエンスに到達しましたが、主にターゲットになったのはイギリスと北アメリカでした。

メールには添付文書やこのようなリンクがついています。hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[base64 encoded e-mail address]. このドメインは攻撃者のコントロール下にありますが、Microsoft SharePointに関連しているように見せかけます。 リンクをクリックすると、ターゲットになっているユーザーが悪意のあるドキュメントをダウンロードしてしまいます(図2と図3)。

悪意のある添付のみがついているメール

図2: 悪意のある添付のみがついているメール

悪意のある添付やドキュメントへのリンクがついているメール

図3: 悪意のある添付やドキュメントへのリンクがついているメール

弊社が確認したドキュメントは、次のようなURLからKronos [2]をダウンロードするマクロがついていました。hxxp://info.docs-sharepoint[.]com/officeup[.]exe KronosのペイロードはこのようなC&C(指令と制御)がついていました。hxxp://www.networkupdate[.]club/kbps/connect[.]php Kronosペイロードは、次のURLから少なくとも3つの異なるペイロードをダウンロードするというタスクを受け取ります。

  • hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe - Smoke Loader
  • hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe - Smoke Loader
  • hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe - ScanPOS

「Enable Content」(コンテンツを有効にする)というおとりがついた悪意のあるマクロドキュメント

図4:「Enable Content」(コンテンツを有効にする)というおとりがついた悪意のあるマクロドキュメント

Some Loader [3] ペイロードはどちらもC&Cに、hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php を使うように設定されています。現在のところは、この2つのSmoke Loaderのサンプルに関連する別のペイロードを弊社では確認していません。 しかしながら、次の項目に記しますが、ZeuSの変種のペイロードが異なるSmoke Loaderのサンプルにより同じC&Cを使ってダウンロードされたことを弊社は確認しています。

弊社が観察した3番目のペイロードは、ScanPOSと呼ばれる新しいPOS(ポイントオブセールス)マルウェアです。HTTP経由(図5)でクレジットカード番号を盗み取ることができ、実行プロセスのメモリを検索して発見されました。 この新しいPOSの変種は、単一のハードコード化されたC&Cのみを持っています。hxxp://invoicesharepoint[.]com/gateway[.]php ここに記述したドメイン以外でも、Microsoft SharePointに関連があるように見せかけますが、実際は独立していて攻撃者のコントロール下にあります。

盗み取られたデータは、base64エンコードが使われ、次を含みます。

  • 盗み取られた追跡データ
  • データが見つかったプロセス
  • ユーザー名

この新しいPOSの変種に関するさらなる技術分析は、Morphickのメンバーによる発見記録をご参照ください [4]。

HTTPを介してCCデータを盗み取るScanPOS

図5: HTTPを介してCCデータを盗み取るScanPOS

その他のアクティビティ

このアクティビティに先立って11月8日のキャンペーンでは、弊社はKronosの配信に使われたものと同じパターンに則した同様のメールとURLを確認しました。 しかしながら、このキャンペーンでは弊社はRIG-vエクスプロイトキット(EK)に繋がるリンク、さらにその後にZIP圧縮された.pifファイル、Smoke LoaderとZeuSへリダイレクトするリンクを確認しました。 リンクはごく最近のキャンペーンに酷似したパターンに則していました。hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[base64 e-mail address] これらのリンクはiframeを利用して、可能性のある被害者を、add.souloventure[.]orgに置かれたRIG-vインスタンスにリダイレクトし、またオリジナルのリンクと同じサーバーの/download.phpにもリダイレクトします(図6)。

RIG-vとペイロードダウンロードにリダイレクトするiframe

図6: RIG-vとペイロードダウンロードにリダイレクトするiframe

残念ながら、弊社はこの特定のリダイレクトチェーンを介して配信されたペイロードは確認しませんでした。 /download.phpは、EmployeeID-47267.zipペイロードを返し、C&Cにこちら(hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php)を使ったSmoke Loaderの変種、あるいは、C&Cにこちら(hxxps://feed.networksupdates[.]com/feed/webfeed[.]xml)を使ったZeuSの変種を確認しました。Smoke Loaderを確認したインスタンスでは、Smoke Loaderが同一(同じハッシュ値)のZeuSの変種をダウンロードしていました。

結論

ScanPOSを配信するキャンペーンは、北アメリカとイギリスの接客業を特にターゲットにしています。他の国ではクリスマスと感謝祭の休暇時期に確認されています。 ホリデーシーズンが近づいており、旅行やショッピングが盛んになる時期です。組織は特に潜在的なPOSマルウェア、バンク型トロイの木馬、その他の季節的に傾向の高いセキュリティ上の弱点をついてくるマルウェアなどの影響に用心深くなるべきです。 弊社は引き続き、Kronosキャンペーン、ScanPOS配信、およびその他の脅威が現れることを監視します。

参考

  1. https://www.proofpoint.com/us/threat-insight/post/banking-trojans-dridex-vawtrak-others-increase-focus-on-canada
  2. https://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/
  3. https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
  4. http://www.morphick.com/resources/lab-blog/scanpos-new-pos-malware-being-distributed-kronos

攻撃されたことを示す痕跡(IOC)

IOC IOCのタイプ 詳細
hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[base64 e-mail address] URL 11月8日のフィッシングリンク
hxxp://invoice.docs-sharepoint[.]com/profile/download[.]php URL 11月8日のフィッシングリンクからのリダイレクト
4b5f4dbd93100bb7b87920f2f3066782a8449eb9e236efc02afe570c1ce70cf5 SHA256 11月8日の /download.php からダウンロードされたSmokeLoaderを含むEmployeeID-47267.zip
90063c40cb94277f39ca1b3818b36b4fa41b3a3091d42dfc21586ad1c461daa0 SHA256 SmokeLoader EmployeeID-47267.pif
711431204071b1e6f5b5644e0f0b23464c6ef5c254d7a40c4e6fe7c8782cd55c SHA256 11月8日に /download.php からダウンロードされたZeuSを含むEmployeeID-47267.zip
4ba3913d945a16c099f5796fdeef2fda5c6c2e60cb53d46a1bfae82808075d74 SHA256 ZeuS EmployeeID-47267.pif
hxxps://feed.networksupdates[.]com/feed/webfeed.xml URL 11月8日のZeuS C&C
add.souloventure[.]org ドメイン 11月8日のRIG-vドメイン
hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[base64 e-mail address] URL 11月10日のフィッシングリンク
a78b93a11ce649be3ca91812769f95a40de9d78e97a627366917c4fcd747f156 SHA256 11月10日のフィッシングリンクからダウンロードされたEmployeeID-847267.doc
hxxp://info.docs-sharepoint[.]com/officeup[.]exe URL 11月10日のペイロード(Kronos)をダウンロードするEmployeeID-847267.doc
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 SHA256 11月10日のKronos
hxxp://www.networkupdate[.]club/kbps/connect[.]php URL 11月10日のKronos C&C
hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe URL 11月10日のKronosによるペイロードダウンロード
hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe URL 11月10日のKronosによるペイロードダウンロード
hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe URL 11月10日のKronosによるペイロードダウンロード
d0caf097ea0350dc92277aed73b0f44986d7d85b06d1d17b424dc172ce35a984 SHA256 c1c06f7d.exe - SmokeLoader
d9d1f02c8c4beee49f81093ea8162ce6adf405640ccacd5f03ce6c45e700ee98 SHA256 1f80ff71.exe - SmokeLoader
hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php URL SmokeLoader C&C
093c81f0b234c2aa0363129fdaaaf57551f161915da3d23f43a792b5f3024c1e SHA256 a8b05325.exe - ScanPOS
hxxp://invoicesharepoint[.]com/gateway[.]php URL ScanPOS C&C
hxxp://intranet.excel-sharepoint[.]com/doc/employee[.]php?id=[base64 e-mail address] URL 11月14日のフィッシングリンク
fd5412a7c71958ecdffa7064bf03c5f1931e561a1e71bc939551d5afb8bf7462 SHA256 11月14日のフィッシングリンクからのダウンロード
hxxp://profile.excel-sharepoint[.]com/doc/office[.]exe URL 11月14日のペイロード(Kronos)をダウンロードするEmployeeID-6283.doc
269f88cfa9e9e26f3761aedee5d0836b5b82f346128fe03da28a331f80a5fba3 SHA256 11月14日のKronos(前のC&Cと同じ)

 

ETおよびETPRO Suricata/Snortの範囲

2018125          ET CURRENT_EVENTS SUSPICIOUS .PIF File Inside of Zip
2020077          ET TROJAN Kronos Checkin M2
2020080          ET TROJAN Kronos Checkin
2022124          ET TROJAN Win32.Sharik Microsoft Connectivity Check
2022550          ET CURRENT_EVENTS Possible Malicious Macro DL EXE Feb 2016
2023196          ET CURRENT_EVENTS RIG EK Landing Sep 12 2016 T2
2023401          ET CURRENT_EVENTS RIG EK URI struct Oct 24 2016 (RIG-v)
2816808          ETPRO CURRENT_EVENTS RIG EK Flash Exploit Mar 29 2016
2823254          ETPRO TROJAN ScanPOS Exfiltrating CC Data
2823288          ETPRO TROJAN Zeus Variant CnC SSL Cert