防衛関連のファイルを装うマクロマルウェアの新しい手口
マクロを悪用するマルウェアは、バラマキ型/標的型攻撃にて多く使われており特別珍しいものではありません。最近では金銭窃取が主目的であるバンキングマルウェアが、マクロからPowerShellを起動して外部から新たなマルウェアをダウンロードするのを目にする事が多いです。
今回、弊社が解析したマクロを悪用するマルウェアでは、過去見られなかった新しい手口が使われているのを観測しました。ここでその特徴について解説したいと思います。
マクロを悪用するマルウェアは、バラマキ型/標的型攻撃にて多く使われており特別珍しいものではありません。最近では金銭窃取が主目的であるバンキングマルウェアが、マクロからPowerShellを起動して外部から新たなマルウェアをダウンロードするのを目にする事が多いです。
今回、弊社が解析したマクロを悪用するマルウェアでは、過去見られなかった新しい手口が使われているのを観測しました。ここでその特徴について解説したいと思います。
攻撃者が、インターネット上で利用可能なブログやコードレポジトリサービスに、暗号化したC2サーバのIPアドレスを掲載し、マルウェアがその情報を読み取ってC2サーバへ接続する手口は、デッド・ドロップ・リゾルバー(Dead Drop Resolver)として知られています。
その手法を使う代表的なマルウェアは、Elirks、Winnti等があります。
先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。
先月、複数の情報ソースから同様のフィッシングメールの報告を受けました。メール本文は日本語、おとりのファイルも受信組織の業種に関連するものでした。そして、添付ファイルはPowerShellスクリプトを含むショートカットでした。
以下に、概要および解析結果を記します。
標的型攻撃において、攻撃者はフリーメールサービスをよく使うことが知られています。Backdoor.Emdiviのケースでも、*****@excite.co.jp や *****@yahoo.co.jp などのフリーメールアドレスが差出人となっている攻撃メールを多数確認しています。
一方、差出人メールアドレスで取引先ドメインを詐称した標的型攻撃メールや詐欺メールもよく見られます。多くの方がご存じのように、メールヘッダの偽装は極めて簡単なため、詐称メールを送る技術的な敷居は低く、そのためツール類も出回っておりますが、弊社では、ここ最近、一部の攻撃者/犯罪者が“フリーメールサービス”を使って、取引先メールアドレスを詐称していることを、標的型攻撃や詐欺の事案で確認しました。ここで言う「詐欺」とは、取引先になりすまして、送金先口座の変更を依頼する旨のメールを送り金銭を横取りする犯罪などです。以降、読者の皆様の組織における防衛強化のための知見として、詐称の具体的な手口を共有させて頂きます。
世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。
去年8月に米国AlienVault社のブログ(*1)で報告されたScanboxという偵察ツールがあります。これは、JavaScriptだけで書かれた偵察ツールで、Webサイトへ訪問しただけで、OS、ブラウザ、ウイルス対策ソフトを含む各種ソフトウェアの種別やバージョン情報が収集されてしまうものですが、弊社では、去年の秋くらいから、このツールが日本でも使われたことを数件確認しています。
昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。
ここ数日の間に、多くの日本企業宛に、健康保険組合になりすまし、医療費通知を装った不審なメールが送られています。メールに添付されたマルウェアは、図1のようにWordドキュメントを装った実行ファイル(exe)で、実行後に図2のデコイファイルが表示され、RAT本体がドロップされます。
先月、米国で病院経営を手掛けるCommunity Health Systemsが、中国からのサイバー攻撃を受け、450万人分の患者情報が流出したとのニュースは記憶に新しいところです。有識者の見解によると、攻撃グループは、Dynamite Panda(Mandiant社の呼称ではAPT18)と見られています。報道内容によると、侵入の発端は、VPN装置のOpenSSLの脆弱性(Heartbleed)を突き、認証情報を盗み、VPNでリモートログインしたようです。
さて、ここで一つ疑問があります。攻撃者は、どのようにしてVPN装置の存在、そのIPアドレスを知ったのでしょうか。
政本 憲蔵
セキュリティ研究
センター センター長
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。
凌 翔太
セキュリティ研究
センター
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。