threat-research

Black Lives Matter運動を悪用したグローバルなスパム攻撃

FortiGuard Labsによる脅威分析
影響を受けるプラットフォーム: Windows 10およびWindows Server 2019
影響を受けるユーザー: Windows 10バージョン1809およびWindows Serverバージョン1903以降
影響: 権限昇格とユーザープライバシー設定の違反
深刻度: 重要

2020年6月10日、FortiGuard Labsは、米国で始まったBlack Lives Matter運動に賛同するユーザーを標的にしたグローバルなスパム攻撃を発見しました。この攻撃は、COVID-19(新型コロナウイルス感染症)パンデミックをはじめとする2020年に起こった災害や、米国などで広がる抗議運動を報じるグローバルなニュースサイクルを悪用するものであり、悪意のある添付ファイルのダウンロードと開封を誘導します。

この攻撃では、細工したMicrosoft Wordドキュメントが添付されたEメールを使用します。Eメールには、ユーザーが添付ファイルを開きそうな件名が付けられています。Eメールの本文は雑で文法に誤りのある文章ですが、Black Lives Matterを件名に使用することで、添付ファイルが開封されやすくなります。

[Black Lives Matterについてのさまざまな内容]に関する極秘レビュー
内容は添付ファイルを参照

スパムフィルターの迂回や、単に混乱させることを目的に、件名と送信者の名前を少しずつ変えて使用しています。以下に、件名と送信者の例を示します。

図1:Black Lives Matterスパムと件名のバリエーション

図1:Black Lives Matterスパムと件名のバリエーション


Black Lives Matterを悪用したスパム攻撃の技術的な詳細

添付ファイルは標準的なMicrosoft Wordドキュメントであり、マクロの有効化を誘導する画像が含まれています。

図2:マクロの有効化を誘導するWordドキュメント内の画像

図2:マクロの有効化を誘導するWordドキュメント内の画像

マクロを調査したところ、多くの悪意のあるドキュメントと同様に、パスワードで保護されていることがわかりました。これにより、万が一Eメールの解析が行われても、発見を阻止できます。また、マクロを抽出したところ、難読化によってペイロードが隠蔽されていることも判明しました。

図3:難読化によるペイロードの隠蔽

図3:難読化によるペイロードの隠蔽

難読化を解除すると、悪意のあるペイロードのインジェクションが行われていることがわかりました。この例では、ステージ1ダウンローダーをロードしています。

図4:Trickbotのダウンロードと実行を指示するインジェクション命令を含むVirtualProtectExの呼び出しの後、スレッドを生成

図4:Trickbotのダウンロードと実行を指示するインジェクション命令を含むVirtualProtectExの呼び出しの後、スレッドを生成

VirtualProtectExの呼び出しによってメモリ領域が生成されると、スレッドが生成され、実行されます。この新しいスレッドには、メモリ内のアセンブリ命令を実行する実際のペイロードが含まれています。さらに、自己解凍の後、Trickbotをダウンロードして実行するために、C2サーバーにアクセスします。

この攻撃の戦略は、過去に発生したTrickbot攻撃と同じです。Trickbotを使う攻撃者は、話題のトピックでユーザーの関心を引き、感染被害を拡大しています。今回のBlack Lives Matter運動を悪用した攻撃の前には、COVID-19を悪用した攻撃が発生しています(分析結果はこちらをご覧ください)。OSINTリサーチを行った結果、この攻撃で使用されるコマンド&コントロールサーバーは、2つのサイトに感染しています。1つは、東南アジアをベースにする地方自治体のWebサイト(Joomla CMSを使用)、もう1つは米国の製造メーカーのWebサイト(CMSとしてWordPressを使用)です。

この分析で使用されたサンプルを検知していたベンダーは、FortiGuard Labsを含め、ほんの数社でした。

ファイル名:e-vote_form_78211.doc
[SHA256 - 35E1F022861474407246F0C66218A83019381E8745E4C6B294CF150F401C16DC
検知:VBA/Agent.KJMLBSB!tr

図5:検知時のカバレッジは限定的

図5:検知時のカバレッジは限定的


世界的な拡大

攻撃で使用されたドメインとインフラストラクチャを分析した結果、すべてチェコ共和国(CD-Telematika a.s.)でホストされていることが判明しました。ここから攻撃者を特定できるわけではありませんが、この最新のTrickbot攻撃で攻撃者がこのISPを選択したことは興味深い点です。仮想プライベートサーバーとオンデマンドのクラウドインフラストラクチャは簡単に稼働できるため、このようなサーバーが攻撃に悪用されるケースが増えていますが、パッシブDNSレコードを調査したところ、特定されたサーバーが過去に攻撃の発生元になった形跡はありませんでした。

また、攻撃が検知された日(6月10日)、非常に大きな急増が発生しています。この攻撃に関連したドメインでは、すべて同じ現象が発生しています。

図6:攻撃に使用されたすべてのドメインで新たなスパイクが発生:6月10日

図6:攻撃に使用されたすべてのドメインで新たなスパイクが発生:6月10日

主な標的は米国とカナダですが、他の国を標的にした亜種も検出されています。以下に、検出結果の簡単な内訳を示します。

名前:mnjcszrh.monster
アドレス:82.202.65.177

図7:ドメイン名 - mnjcszrh.monster

図7:ドメイン名 - mnjcszrh.monster

我々のテレメトリによると、この攻撃の標的となった上位5カ国は、カナダ(48%)と米国(46%)、フランス、キプロス、イタリアとなっています。ただし、フランス、キプロス、イタリアは平均で1%に達していません。

名前:shmbidgp.monster
アドレス:82.202.65.178

図8:ドメイン名 - shmbidgp.monster

図8:ドメイン名 - shmbidgp.monster

この攻撃の標的となった上位5カ国は、カナダ(48%)と米国(46%)です。今回、フランス、タイ、キプロスは1%未満に留まっています。

名前:ygzggxeh.monster
アドレス:82.202.65.125

図9:ドメイン名 - ygzggxeh.monster

図9:ドメイン名 - ygzggxeh.monster

現在、パターンが変化しています。最も攻撃を受けているのは米国(46%)とカナダ(45%)であり、イタリア、キプロス、オマーンは平均で1%未満です。米国とカナダが主な標的となっているのは明らかであり、これが常にキプロスに波及しています。

名前:vmrriktf.monster
アドレス:89,203,251.79

図10:ドメイン名 - vmrriktf.monster

図10:ドメイン名 - vmrriktf.monster

我々のテレメトリによると、この攻撃の標的となっているのは4カ国に限定されます。米国(49%)とカナダ(48%)に加えて、ルワンダと英国も標的になっていますが、平均1%未満に留まっています。

名前:copsbiau.monster
アドレス:89.203.248.175

図11:ドメイン名 - copsbiau.monster

図11:ドメイン名 - copsbiau.monster

我々のテレメトリによると、最も攻撃を受けているのは米国(61%)とカナダ(36%)であり、イタリアとキプロス、さらにドイツも攻撃対象となっています。ただし、この3カ国は平均1%未満に留まっています。


スパム攻撃の減災

FortiGuard Labsは、すべてのAVシグネチャとIPSシグネチャ定義を継続的に更新すること、ならびにベンダーのアップデートが公開されたタイミングでプロアクティブにパッチを適用する習慣を継続することを推奨します。パッチの適用が不可能であると判断される場合は、IPSを使った仮想パッチや、環境への追加の減災策を特定する目的でリスク評価を実施することをお勧めします。

当面実行できる対策として、継続的なトレーニングセッションの実施、最新のフィッシング / スピアフィッシング攻撃に関する従業員の教育、情報提供を強くお勧めします。また、知らない人から送信された添付ファイルは絶対に開かないこと、および、心当たりのない / 信頼できない送信者からのメールは常に慎重に扱うことを従業員に呼び掛ける必要があります。

初期アクセスの制限:FortiMailまたはその他のセキュアメールゲートウェイソリューションを使用することで、このブログで概説したような特定のファイルタイプをブロックできます。FortiMailは、オンプレミスまたはクラウドのいずれかでFortiSandboxソリューション(ATP)に添付ファイルを送信し、ファイルが悪意のある動作を実行するかどうか判定する構成にもできます。有効なサブスクリプションと併せて、アンチウイルスを有効にしたFortiGateファイアウォールもまた、適切な設定を行うことでこの脅威を検出およびブロックできます。

教育とトレーニングの実施:この脅威は、ソーシャルエンジニアリングを用いた拡散メカニズムで配信されることが報告されています。したがって、ソーシャルエンジニアリングを介して配信されるさまざまな種類の攻撃について、組織内エンドユーザーの認識を高めることが重要です。具体的には、組織内での定期的なトレーニングセッションを行い、セキュリティ部門が事前作成したテンプレートに基づく抜き打ちテストを実施します。セキュリティ意識向上トレーニングで、悪意のある添付ファイルやリンクを含んだメールの特定方法をユーザーに教えることにより、ネットワークへの初期アクセスを阻止できる可能性が高まります。

フォーティネットのソリューション:意識向上トレーニングが功を奏さず、ユーザーが悪意のある添付ファイルまたはリンクを開いてしまった場合には、FortiEDRがTrickBotの実行を阻止します。また、最新のウイルスシグネチャを実行するFortiClientは、問題のファイルと関連ファイルを検出し、ブロックします。レポートで強調表示されているファイルは現在、次のシグネチャで検出されています。

78.072(2020年6月10日)

情報流出とC&C:Webフィルタリングサービスを有効化したFortiGateをすべての出入口に配備し、最新のシグネチャを使用またはボットネットセキュリティを有効化する場合、正しく構成されていれば、観測可能なアウトバウンド接続を検出してブロックできます。

Webフィルタリング:本レポートに記載されているすべてのネットワークIOCは、FortiGuard Webフィルタリング用サービスのブロックリストに登録されています。

悪意あるWordドキュメントへの対策:FortiMailおよびFortiGateがサポートするFortiGuard CDR(Content Disarm & Reconstruction:コンテンツ無害化)は、すべての受信ファイルを処理および分解し、あらゆるアクティブコンテンツをリアルタイムでファイルから除去して、フラットで無害なファイルを作成します。CDRを利用して、ファイルに不正コンテンツが含まれる可能性をプロアクティブに排除することで、ゼロデイに対する保護戦略を強化できます。

フォーティネットが講じるその他の対策:攻撃の高度化が進み、セキュリティ対策を回避する可能性がある点に留意してください。したがって、多層型のセキュリティ戦略に加えて、不審な活動を検出する機能が重要な役割を果たします。

また、フォーティネットのEnterprise Bundleは、この攻撃や類似した攻撃に対処することができます。Enterprise Protectionには、IoTデバイスを含むエンドポイントからクラウドまで、あらゆるサイバー攻撃チャネルからの保護と防御に必要なサイバーセキュリティサービスが幅広く統合されています。このソリューションは、以下に示す今日の高度な脅威を阻止し、困難なリスク、コンプライアンス、管理、可視化、運用セキュリティ(OT)の不安への対処に必要な統合型防御機能を提供します。


MITRE ATT&CK

スピアフィッシングの添付ファイル

ID: T1193
戦術:初期アクセス
プラットフォーム:Windows

スクリプティング

ID: T1064
戦術:防衛の回避、実行
プラットフォーム:Windows

防御の回避

ID:T1064
戦術:防衛の回避、実行
プラットフォーム:Windows

標準アプリケーション層プロトコル

ID: T1071
戦術:コマンド&コントロール
プラットフォーム:Windows

標準暗号化プロトコル

ID: T1032
戦術:コマンド&コントロール
プラットフォーム:Windows


IOC(Indicators of Compromise:侵害指標)

ファイル名:e-vote_form_78211.doc
[SHA256 - 35E1F022861474407246F0C66218A83019381E8745E4C6B294CF150F401C16DC
検知: VBA/Agent.KJMLBSB!tr

ネットワークIOC:

copsbiau.monster
vmrriktf.monster
ygzggxeh.monster
mnjcszrh.monster
shmbidgp.monster


この攻撃に関連するその他のサンプル

VBA/Agent.KJMLBSB!trとして検知:
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CTAへの支援

FortiGuard Labsは、ファイルのサンプルや侵害指標など、本レポートの調査結果をCyber Threat Allianceの他のメンバーと共有しています。CTAメンバーは、顧客に保護機能を迅速に提供し、サイバー攻撃を体系的に阻止するために、このインテリジェンスを活用しています。Cyber Threat Allianceの詳細については、cyberthreatalliance.orgをご覧ください。


FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオについて、詳細をご覧ください。FortiGuard Labs Weekly Threat Brief(英文)の購読は、こちらからお申込みいただけます。

フォーティネットの無償サイバーセキュリティトレーニングについて、またフォーティネットのネットワーク セキュリティ エキスパート プログラムネットワーク セキュリティ アカデミーについて、詳細をご覧ください。

現在の環境に存在する脆弱性など、ネットワークセキュリティの実情を把握することが重要です。フォーティネットのサイバー脅威評価サービスを活用することで、セキュリティと脅威の防止、ユーザーの生産性、ネットワークの使用状況とパフォーマンスに対する理解が深まります。