threat-research

偽の津波警報が日本にマルウェアを送り込む

FortiGuard Labsによる脅威分析レポート

FortiGuard Labsは11月、日本国民に向けた津波警報を悪用するスパム攻撃を発見しました。このスパムメールには、気象庁(JMA:Japan Meteorological Agency)への偽のリンクが含まれており、クリックするとトロイの木馬「Smoke Loader」がダウンロードされるようになっていました。この偽サイトを監視したところ、Smoke Loaderをダウンロードするリンクは、11月末に侵入先のシステムからデータを抜き取る別の高性能なトロイの木馬「AZORult」をインストールするリンクに置き換えられました。

これらのマルウェアは、どちらもロシアのアンダーグラウンドフォーラムでのみ販売されています。偽の気象庁サイトは、現在もユーザーを正規の気象庁サイトにリダイレクトするAZORultのC&Cサーバーとして機能しています。偽の気象庁サイトのドメイン情報をさらに調査した結果、同じ攻撃者が関与している別の攻撃を発見しました。

本記事では、偽の気象庁サイトからダウンロードされたマルウェアの分析と、同じ攻撃者による別の攻撃についての調査の結果を報告します。


偽の津波警報

2018年11月、気象庁は2度にわたり、日本の東北地方の人々を標的にした偽の津波警報メールが横行していると発表しました。気象庁からの公式発表は以下のリンクでご覧いただけます。

これらのスパムメールで使用されている日本語は、明らかにネイティブのものではありません。文法に問題があることから、外国人によって書かれたか、機械翻訳されたものと考えられます。どちらのスパムメールも、受信者が悪意のあるファイルをダウンロードするように誘導します。ダウンロードリンクは以下のとおりです。

hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scr

図1. 偽の津波警報メールの例

図1. 偽の津波警報メールの例

ドメイン名は正規の気象庁のドメイン(https://www.jma.go.jp)のように見えますが、ドメイン名の文字に「.」(ピリオド)ではなく「 - 」(ハイフン)が含まれていることがわかります。気象庁は、この違いに注意するようTwitterを通じてユーザーに警告しました。

図2.本物の気象庁のドメインと偽物との違い

図2.本物の気象庁のドメインと偽物との違い


時間の経過とともに変化するWebサイトのペイロード

フォーティネットは、このマルウェアのダウンロードリンクを1か月間監視し、ダウンロードされるマルウェアに加えられた以下の変更を記録しました。

表1.hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scrのマルウェアダウンロード用リンクに加えられた変更

表1.hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scrのマルウェアダウンロード用リンクに加えられた変更

表2.hxxp://jma-go[.]jp/jma/tsunami/1.exeのマルウェアダウンロード用リンクに加えられた変更

表2.hxxp://jma-go[.]jp/jma/tsunami/1.exeのマルウェアダウンロード用リンクに加えられた変更

ファイル「1.exe」は、11月下旬にWebサイトから削除されました。

11月25日以降、ダウンロードされるマルウェアがSmoke LoaderからAZORultに変更されました。どちらのマルウェアも、jma-go[.]jpドメインをC&Cサーバーとして使用しています。

Smoke LoaderのC&Cサーバー:

hxxp://jma-go[.]jp/js/metrology/jma.php

AZORultのC&Cサーバー:

hxxp://www.jma-go[.]jp/java/java9356/index.php

Smoke Loader

Smoke Loaderファミリーに属する4つのサンプルは、すべて同じシェルコードローダーと最終ペイロードを使用しています。これらのサンプルは、ダウンロードされると追加のプラグインDLLまたは次の段階のマルウェアをダウンロードしようとします。残念ながら、この攻撃キャンペーンでは次の段階の攻撃は確認できませんでした。CERT.PLによって書かれたSmoke Loaderについての詳細な報告は、こちらをご覧ください。次のセクションでは、これらのマルウェアの機能の一部について解説します。

分析への対策

Smoke Loaderは、最終ペイロードを実行する前に、複数の分析回避技術を使用します。

この攻撃では、PEBフラグやジャンプチェーンをチェックするデバッグ対策機能をはじめとする基本技術など、さまざまな技術が使用されていることがわかっています。

Smoke Loaderは、sbiedllの使用状況をチェックし、サンドボックス内で実行されているかどうかを検知します。

図3.サンドボックス対策技術によるsbiedllのモジュールハンドルの確認

図3.サンドボックス対策技術によるsbiedllのモジュールハンドルの確認

また、次のレジストリエントリの値を比較する際に、有名な仮想マシン名を使用して仮想マシンの使用状況を確認します。

  • HKLM\System\CurrentControlSet\Services\Disk\Enum
  • HKLM\System\ControlControlSet\Enum\IDE
  • HKLM\System\ControlControlSet\Enum\SCSI

図4.VM対策技術によるレジストリエントリ内の特定の文字列の検索

図4.VM対策技術によるレジストリエントリ内の特定の文字列の検索


キーボード配列の確認

また、被害者のキーボードの言語をチェックして、ロシアおよびウクライナのユーザーに感染しないようにしています。

図5.キーボード配列の確認

図5.キーボード配列の確認


PROPagateの手法を用いたコードインジェクション

このインジェクション手法は2017年に初めて発見されたもので、Smoke Loaderでは2018年7月から使用されていることが確認されました。この手法について解説した技術レポートは、こちら(英文)をご覧ください。

最後の部分に次のコードを発見しました。このコードは、explorer.exeを実行するコールバック関数を使用してUxSubclassInfo構造体を構成し、注入されたコードをトリガーします。トリガーされたコードによって、ウィンドウにメッセージが送信されます。コールバック関数をトリガーした後、このコードは注入されたAZORultの復号ペイロードを実行します。

図6.PROPagateの手法を用いたコードインジェクション

図6.PROPagateの手法を用いたコードインジェクション


プロセスの監視

C&Cサーバーに接続する前に、プロセスおよびウィンドウを監視する2つのスレッドをもう1つの分析回避機能として作成します。これらのスレッドでは、プロセス名とウィンドウ名のハッシュを計算し、ペイロード内のハードコーディングされた名前のハッシュと比較します。該当するプロセスまたはウィンドウを発見すると、そのプロセスまたはウィンドウを直ちに終了します。

図7.プロセスとウィンドウを監視するスレッドの作成

図7.プロセスとウィンドウを監視するスレッドの作成


C&Cサーバー

この攻撃キャンペーンのすべてのSmoke Loaderサンプルは、次のURLをC&Cサーバーとして使用しています。

hxxp://jma-go[.]jp/js/metrology/jma.php

このURLは、図8に示した構造から復号されたものです。これは文字列を復号するための簡単なアルゴリズムです。これらのサンプルの復号アルゴリズムを以下に示します。

decrypted_byte = not (encrypted_byte xor 0x36 xor 0x04 xor 0xAE xor 0xB8)

図8.Smoke Loaderの暗号化されたURL構造

図8.Smoke Loaderの暗号化されたURL構造


第2段階のマルウェア実行

ダウンロードされた第2段階のマルウェアまたはそのプラグインをSmoke Loaderがインストールする方法は次の3つです。

  1. ファイルレス方式:ダウンロードしたペイロードをメモリにマッピングしてから、すぐに実行します。
  2. DLLをダウンロードして、すぐにロードします。
  3. DLLまたはEXEファイルをダウンロードし、そのファイルをサービスとしてregsvr32に登録します。

AZORult

この攻撃キャンペーンで使用されているAZORultはバージョン3.3です。このバージョンが最初に発見されたのは2018年10月です。この攻撃キャンペーンのAZORultは同じ特性を持っており、以前発見されたAZORultバージョン3.3のサンプルと何も変わっていません。このセクションでは、それらの特性の要点を説明します。


情報窃取機能

AZORultには、被害者のシステムで以下のアプリケーションの情報を検索する機能が含まれています。

  1. ブラウザ履歴
  2. 暗号通貨ウォレット
  3. Skype
  4. Telegram
  5. Steam

C&Cサーバー

この攻撃キャンペーンでは、ドメイン「jma-go[.]jp」がマルウェアのC&Cサーバーとして使用されています。

hxxp://www.jma-go[.]jp/java/java9356/index.php

AZORultバージョン3.3では、暗号化されたURLを復号する目的で、キーバッファとキーバッファ要素に指定された重みが使用されます。

表3.キーバッファとそれに対応する重み値の配列(どちらも16進数)

表3.キーバッファとそれに対応する重み値の配列(どちらも16進数)

図9は、ドメインの最初の文字を復号する例を示しています。

図9.AZORultの暗号化されたURLと最初の文字の復号例

図9.AZORultの暗号化されたURLと最初の文字の復号例


第2段階のマルウェア実行

続いて、C&Cサーバーに接続し、第2段階のマルウェアのダウンロードを試みます。その実行方法は、CreateProcessWまたはShellExecuteExWの2種類です。.exeであるかどうかに関係なく、どちらが使用されるかはURI拡張子によって決まります。

図10.AZORultにおける第2段階のマルウェアの実行

図10.AZORultにおける第2段階のマルウェアの実行


さまざまな拡散ルート

この攻撃キャンペーンでは、AZORultを拡散するためにさまざまなルートが使用されます。

  1. hxxp://thunderbolt-price[.]com/Art-and-Jakes/Coupon.scr

    このサイトは、日本で商品を宣伝する目的でアフィリエイトプログラムを使用しています。またフォーティネットは、AZORultに属するマルウェアであるCoupon.scrをダウンロードするためのアドレスが存在していることを発見しました。これは前述のファイルと同じで、ハッシュ値は次のとおりです。

    748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9.

  2. hxxp://bite-me.wz.cz/1.exe

    これは前述のファイルと同じで、ハッシュ値は次のとおりです。70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3


他のアクティビティの検出

この攻撃の実行者を発見するため、フォーティネットはこの件をさらに調査することにしました。

まず、悪意のあるドメイン「jma-go[.]jp」の分析を開始しました。この悪意のあるWebサイトに直接アクセスすると、そのユーザーは気象庁の正規サイトにリダイレクトされます。

Webサイトのリダイレクトスクリプトを確認したところ、キリル文字で書かれたコメントがいくつか発見されました。

図11.悪意のあるWebサイトで発見されたリダイレクトスクリプト

図11.悪意のあるWebサイトで発見されたリダイレクトスクリプト

このようなコメントが、実際の攻撃で使用されたものに残されているのは非常に興味深かったため、インターネットでコメントを検索してみました。すると、1つのコメントがヒットしました。「vladvo」というニックネームのユーザーが、リダイレクトとiframeについての質問をロシアのフォーラムに投稿していました。vladvoが自分で作成し、解決策として提供したコードは、悪意のあるWebサイトで使用されているリダイレクトコードと完全に一致します。コメントやスペースまでまったく同じです。

図12.「vladvo」が投稿した同一のスクリプト

図12.「vladvo」が投稿した同一のスクリプト

攻撃者が唯一変更したのは、「window.location」引数のリンクでした。残念ながら、ユーザーvladvoがこの事件に関係しているという確証はありません。vladvoがこのメッセージを投稿したのは2012年10月20日ですから、6年前の投稿ということになります。別の誰かがこのコードを攻撃に再利用した可能性は十分にあります。

スクリプトを分析した結果、悪意のあるドメインのWHOIS情報を確認することにしました。すると、興味深い情報が見つかりました。それは、同じ攻撃者が実行した可能性のある他の攻撃キャンペーンの発見につながる詳細情報でした。

図13.jma-go[.]jpのWHOIS情報

図13.jma-go[.]jpのWHOIS情報

最初に、WHOIS情報で参照されている電子メールアドレス(lixiaomraz[@]gmail.com)を使用して登録されている、他のWebサイトを発見しました。

  • hxxp://www.montepaschi-decreto-gdpr[.]net
  • hxxp://www.posteweb-sicurezza[.]com

その後、前者のWebサイトが、銀行を騙るMPSフィッシングですでに使用されていることがわかりました。

図14.MPS銀行フィッシング攻撃を示したVTグラフ

図14.MPS銀行フィッシング攻撃を示したVTグラフ

Webサイトhxxp://www.posteweb-sicurezza[.]comは、現在実行されている攻撃または今後の攻撃でも使用される可能性があると考えられます。

次に、WHOIS履歴を検索したところ、2018年2月9日に同じ攻撃者が登録した他の5つのドメインが見つかりました。

  • hxxp://www.3djks92lsd[.]biz
  • hxxp://www.38djkf92lsd[.]biz
  • hxxp://www.38djks92lsd[.]biz
  • hxxp://www.348djks92lsd[.]biz
  • hxxp://www.38djks921lsd[.]biz

古いWHOISエントリに記載されているすべてのデータは、jma-go[.]jpの登録機関情報と一致します。

図15.発見されたドメインのWHOIS履歴

図15.発見されたドメインのWHOIS履歴

いずれのWebサイトも、音楽、ビデオストリーミング、TorrentのWebサイトを装っています。しかし、実際の挙動は全く異なります。

図16.lixiaomraz[@]gmail.comで登録されたWebサイトのスクリーンショット

図16.lixiaomraz[@]gmail.comで登録されたWebサイトのスクリーンショット

ユーザーが上記のサイトからファイルをダウンロードしようとすると、別のWebサイトにリダイレクトされ、最終的に正規の7zip 16.02(1f662cf64a83651238b92d62e23144fd)ソフトウェアインストーラがダウンロードされます。どうやら、これらのWebサイトにペイロードが存在しないか、すでに変更されているようです。機能をテストするためのスタブとして、攻撃者が7zipパッケージを使用している可能性があります。

図17.ユーザーによるペイロードのダウンロードと起動を支援

図17.ユーザーによるペイロードのダウンロードと起動を支援

攻撃で使用されたリダイレクトホストの一部(下記)を取得することができました。

  • hxxp://writingspiders[.]xyz
  • hxxp://catsamusement[.]xyz
  • hxxp://oatmealtheory[.]xyz
  • hxxp://canvasporter[.]pw

いずれのドメインも、メインの.bizドメインよりもはるかに新しいものです。つまり、攻撃者が現在も新しい攻撃キャンペーンの開発中であり、発見された5つのWebサイトに関連する別の悪意のあるアクティビティが近々見つかる可能性があることを意味しています。残念ながら、リダイレクトドメインに関するWHOIS情報からは、所有者が同じ攻撃者であるのか、それともマルウェア拡散技術をテストするために新たに組まれた「パートナーシップ」であるのかについての手掛かりは得られませんでした。

マルウェア拡散機能だと思われるもの以外に、興味深いアクティビティがWebサイトのバックグラウンドで行われていることがわかりました。ページのソースコードをチェックしたところ、ステルス性の高いiframeオブジェクトを発見しました。このオブジェクトのサイズは1x1で、左下に隠されています。

図18.hxxp://www.38djks92lsd[.]bizの隠しiframe

図18.hxxp://www.38djks92lsd[.]bizの隠しiframe

上図からわかるように、iframeオブジェクトにはYouTubeのビデオプレーヤーへのリンクが含まれています。それに加えて、自動再生機能がオンになっています。つまり、ビデオはバックグラウンドでステルス再生されています。この手法は、ビデオの宣伝や再生回数稼ぎのための「ブラック」な方法として頻繁に使用されます。YouTubeへのリンクの他に、TwitterとFacebookへの複数のiframeも確認されました。

発見された5件のWebサイトは、明らかにユーザー数が少なく、このような宣伝手法が使用されるのは大変奇妙です。そのようなアクティビティが行われる理由として考えられるのは、攻撃キャンペーンが始まって間もないということです。あるいは、攻撃者がテスト環境としてドメインを使用している可能性もあります。

前述したドメインとは別に、「Kupriushin Anton」によって登録された次の2つのWebサイトが発見されました。

  • hxxp://Craigslist[.]business
  • hxxp://Craiglist[.]news

上記のWebサイトは現在利用できませんが、人気のWebサイトであるCraigslistの名前を攻撃者が偽装しようとしたことは明らかです。

つまり、攻撃者は短期間で独自のツールを開発および変更し、さまざまな悪意のあるアクティビティを通じて利益を得ようとしています。


結論

FortiGuard Labsは、11月からこの偽の津波警報を使った攻撃キャンペーンの監視を続け、実行者の可能性がある1人または複数の人物を調査しました。

その結果、ダウンロードされ、ユーザーへの感染と情報の窃取のために攻撃で使用されたマルウェアが、より効率的な攻撃を実現するために、Smoke LoaderからAZORultに変更されたことがわかりました。

同時に、偽の気象庁サイトの登録者が、別のフィッシングなどの攻撃用にさまざまなサイトを作成していることも明らかになっています。

FortiGuard Labsは引き続き、これらすべてのドメインを監視し、その背後にいる攻撃者を調査します。


ソリューション

フォーティネットを採用のお客様は、以下のソリューションによって前述の悪意のある脅威から保護されています。

  • マルウェアはFortiGuardアンチウイルスによって検出されます
  • 悪意のあるURLおよびフィッシングURLは、FortiGuard Webフィルタリングサービスによってブロックされます

IOC

サンプル:

27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b - W32/Kryptik.GMMP!tr
42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85 - W32/Kryptik.GMOP!tr
fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f - W32/Kryptik.GMVI!tr
70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3 - W32/GenKryptik.CSCS!tr
a1ce72ec2f2fe6139eb6bb35b8a4fb40aca2d90bc19872d6517a6ebb66b6b139 - W32/Generik.CMTJTLW!tr
7337143e5fb7ecbdf1911e248d73c930a81100206e8813ad3a90d4dd69ee53c7 - W32/GenKryptik.CSIZ!tr
748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9 - W32/Generik.JKNHTRB!tr

ダウンロードされるURL:

Hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scr : マルウェア
Hxxp://jma-go[.]jp/jma/tsunami/1.exe : マルウェア
hxxp://thunderbolt-price[.]com/Art-and-Jakes/Coupon.scr : マルウェア
hxxp://bite-me.wz[.]cz/1.exe : マルウェア

C&CのURL:

hxxp://jma-go[.]jp/js/metrology/jma.php : 悪意のあるURL
hxxp://www.jma-go[.]jp/java/java9356/index.php : 悪意のあるURL

その他のURL:

hxxp://montepaschi-decreto-gdpr[.]net/ : フィッシング
hxxp://montepaschi-decreto-gdpr[.]net/procedura-per-sblocco-temporaneo-decreto/conferma_dati.html : フィッシング
hxxp://certificazione.portalemps[.]com/ : フィッシング
hxxp://certificazione.portalemps[.]com/verifica-conto/ : フィッシング
hxxp://Craigslist[.]business : フィッシング
hxxp://Craiglist[.]news : フィッシング
hxxp://www.3djks92lsd[.]biz : フィッシング
hxxp://www.38djkf92lsd[.]biz : フィッシング
hxxp://www.38djks92lsd[.]biz : フィッシング
hxxp://www.348djks92lsd[.]biz : フィッシング
hxxp://www.38djks921lsd[.]biz : フィッシング
hxxp://writingspiders[.]xyz : 悪意のあるURL
hxxp://catsamusement[.]xyz : 悪意のあるURL
hxxp://oatmealtheory[.]xyz : 悪意のあるURL
hxxp://canvasporter[.]pw : 悪意のあるURL

-= FortiGuard Lionチーム =-


FortiGuard LabsおよびFortiGuardセキュリティサービスのポートフォリオの詳細についてはこちらをご覧ください。また、FortiGuard Labsは、脅威インテリジェンス情報(英文)を毎週お届けしています。ぜひご購読ください。

セキュリティ監査とベストプラクティスを提供するFortiGuard セキュリティレーティングサービスについてはこちらをご参照ください。