« DEF CON 22で仕入れた悪意のあるUSBデバイス | メイン | 脆弱性を突かないエクスプロイト-マクロウィルス再び- »

2014年11月 7日 (金)

健康保険組合になりすました不審なメールについて

ここ数日の間に、多くの日本企業宛に、健康保険組合になりすまし、医療費通知を装った不審なメールが送られています。メールに添付されたマルウェアは、図1のようにWordドキュメントを装った実行ファイル(exe)で、実行後に図2のデコイファイルが表示され、RAT本体がドロップされます。

Attachment_3

図1 Wordドキュメントを装ったドロッパ

Decoy

図2 ドロッパ実行後に表示されるデコイファイル

弊社で確認している検体のIndicatorは下記の通りです。

ドロッパ(Wordファイルに偽装した実行ファイル)
MD5 - 3b2b36edbf2934c7a872e32c5bfcde2a

デコイファイル
File path - %TEMP%\kptl.doc
MD5 - b91c9731736573e3e277031f87deed70

Implant/RAT
File path - %TEMP%\leassnp.exe
MD5 - 8bf944283987de847851d3d2279b8cf8

類似のImplant/RAT検体
MD5 - e4fc0ce4d1fd8c91eed4748721f279a8
MD5 - dccc63cd649b439d31afd0674bcab1a1

これらのRATに感染すると、下記のC2サーバへ接続します。
弊社が確認する限り、ほとんどのC2サーバが正規サイトが改ざんされたものなので、既存のブラックリストを利用したURLフィルターの類では検知することができません。下記リストでは、一部をアスタリスク「*」でマスキングしていますが、URLパスはそのまま表記させて頂きます。プロキシサーバのログ等から、感染事実を確認する際にご利用下さい。

【C2サーバのURL一覧】

www.ar***-**ll.jp/blog/tokuhan/book/index.php
www.d10103**.****ing-sv.jp/www.al****.jp/book/index.php
www.i**.gr.jp/100.html
www.kaer*****.com/_module/book/index.php
www.www.nish***.gr.jp/info/yougo/book/index.php
www.sakura*****.com/blog/index[.]php
www.seki***.biz/wp-content/plugins/akismet/state/index.php

RATから発生するCallback通信は、図3のように、POSTメソッドでパラメータを渡したり、Cookieで渡しているパターンも見られます。

C2_3

図3 RATから発生するCallback通信


VirusTotal Intelligenceで上記RATを確認すると、いずれも一か月前の10月前半にアップロードされており、うち2つがTOR経由でアップロードされています。推測ではありますが、今回の攻撃キャンペーンを行う前に、攻撃の準備段階において、攻撃者がテストのために検体をVirusTotalへアップロードしていた可能性が考えられます。

Vt2_3

図4 VirusTotalにて確認したRAT

また、いずれの検体も難読化されていない割に、VirusTotalへの初回アップロード時のAV検知率が低めです。

Av_detect_3

図5 VirusTotalでの検知率の推移

最後に、かなり粗いですが、上記RATを検出するためのYaraルールです。

rule Macnica_APT_20141106 : implant
{
    meta:
        author = "Macnica Networks Corp."
        date = "2014-12-03"
        version = "1.1"
        actor = "Unknown"
        description = "Spearphishing disguised as an medical bill from health insurance association"
    strings:
        $string00 = "HTTP/1.0" wide
        $string01 = "CAB File Extract Utility" wide
        $string02 = "omni callsig"
        $string03 = "SERVER ERROR"
        $string04 = "ncsi.txt"
        $string05 = "a5j_5W"
        $string06 = "tR99u2"
        $string07 = "dynamic atexit destructor for"
        $string08 = "vbtable"
    condition:
        all of them
}

#Emdivi #CloudyOmega #クラウディオメガ #医療費通知のお知らせ #エムディヴィ

« DEF CON 22で仕入れた悪意のあるUSBデバイス | メイン | 脆弱性を突かないエクスプロイト-マクロウィルス再び- »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat