threat-research

COVID-19(新型コロナウイルス)に便乗した標的型攻撃で情報を窃取するマルウェア

FortiGuard Labsによる脅威分析
影響を受けるプラットフォーム: Windows プラットフォーム
影響を受けるユーザー: 全世界のユーザー
影響: 情報窃取マルウェア
深刻度: Medium(中)

FortiGuard Labsは最近、[159.69.16[.]177] から送信された、COVID-19(新型コロナウイルス)の警告を装った新しいスピアフィッシングメールを確認しました。このメールでは、受信者を信頼させる目的で世界保健機関(WHO)のマークが使用されています。メールの件名は「Coronavirus disease (COVID-19) Important Communication.(新型コロナウイルス(COVID-19)の重要なお知らせ。)」となっています。また、「COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj」というタイトルの添付ファイルも含まれています。このファイルには、詳しい情報が含まれているように見えますが、実際はおとりです。

メールの本文には、感染症対策の注意点やその他の提言と推奨事項が書かれていますが、これが受信者にメールを読ませるためのおとりであることは明らかです。さらには、新型コロナウイルス(COVID-19)関連の誤った情報に対処するふりまでしています。

図1:電子メールの本文

図1:電子メールの本文

この文書は英語を十分理解している人によって書かれているようですが、文法、句読点、およびスペルの問題がいくつかあることから、作成者は英語が第一言語ではないと考えられます。もう1つのはっきりとした間違いは、「Centre for Disease Control」の「Centre」の用法です。これは、米国のCDC(疾病管理予防センター)とは一致していません。CDCは米国のスペル(Centers for Disease Control and Prevention)を使用しています。また、所在地はスイスではなく、WHOから完全に独立した組織です。

図2:電子メールの本文

図2:電子メールの本文


詳細

メールの添付ファイルには、7-Zipで解凍することができる圧縮ファイル「COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj」が含まれています。ARJは、非常に効率的な圧縮アーカイブを作成するための圧縮形式です。一般のユーザーも.exeなどの不審な拡張子のファイルを開かないように訓練されています。そこでこの最新の攻撃に関与している攻撃者は、ARJ形式であれば未知の添付ファイルを開くことに対するユーザーの懸念が和らぐと期待した可能性があります。このARJ添付ファイルの情報の一部を以下に示します。

"COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj"
サイズ:370.68 KB
[SHA256- 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe]

図3:圧縮されたARJファイル

図3:圧縮されたARJファイル

7-zipで解凍すると、ファイルの拡張子が「Doc.zip.arj」ではなく「DOC.pdf.exe」になっていることがわかります。おそらく攻撃者は、ここまでの段階で標的ユーザーが判断を誤るか、.exe拡張子に気付かずに最終的に実行ファイルをクリックすることを期待しています。解凍後のPEファイルの詳細情報は次のとおりです。

"COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.pdf.exe"
サイズ:664.50 KB
[SHA256- f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e]

図4:解凍後のPEファイル

図4:解凍後のPEファイル

実行されると、標的ユーザーは情報窃取マルウェアであるLokibotに感染します。Lokibotは、FTP認証情報、保存されている電子メールのパスワード、ブラウザに保存されているパスワード、およびその他の認証情報を不正に取得します。抜き取られた情報は、次のURLに渡されます。

hxxp://bslines[.]xyz/copy/five/fre.php

Lokibotはさまざまな形式で配布されており、過去にはMicrosoft WordおよびExcelの中の悪意のあるマクロと一緒に圧縮ファイルで配布されていました。また、悪意のあるRTFファイルを介してエクスプロイトCVE-2017-11882(Officeの数式エディタ)を悪用することも確認されています。かつてはLokibotが地下フォーラムで販売されていたことにも留意する必要があります。しかし、ソースコードが流出したため、現在は複数のバージョンのLokibotが存在しているようですが、いずれのバージョンも元のコードを変更したものです。

Lokibotについてはすでにこちらこちらで詳しく解説しており、技術的な詳細については十分に文書化されているため本記事では割愛します。

図5:世界的な拡大

図5:世界的な拡大

このキャンペーンが初めて確認されたのは3月27日で、フォーティネットのテレメトリによると現在は世界中に拡散しています。この特定のキャンペーンを分析した結果、標的となった上位10サイトを構成しているのが次の国であることがわかりました。トップ10の上位を占めていたのはトルコ(29%)、ポルトガル(19%)、ドイツ(12%)、オーストリア(10%)、および米国(10%)で、その後にそれぞれ1%未満のベルギー、プエルトリコ、イタリア、カナダ、スペインが続きます。


解決策

セキュリティ対策:この脅威に対抗するため、FortiGuard Labsは、すべてのAV定義とIPS定義を継続的に更新することを推奨します。また、ベンダーのアップデートが公開されたタイミングでプロアクティブにパッチを適用する習慣を継続することも求められます。デバイスへのパッチの適用が不可能であると判断される場合は、追加の緩和策を決定する目的でリスク評価を実施することをお勧めします。

トレーニング:継続的なトレーニングセッションを実施して、最新のフィッシング/スピアフィッシング攻撃について従業員を教育し、情報提供することをお勧めします。また、知らない送信元からの添付ファイルは絶対に開かないこと、および、心当たりのない/信頼できない送信者からのメールに対して常に慎重になることを従業員に呼び掛ける必要があります。さらに、この脅威の配布方法を踏まえると、トレーニングやセキュリティチームからの電子メールによる抜き打ちテストを通じて、エンドユーザーがソーシャルエンジニアリング攻撃を特定できるようになるための教育が重要です。

初期アクセスの制限:FortiMailまたはその他のセキュアメールゲートウェイソリューションを使用することで、特定のファイルタイプ(フィッシング攻撃など)をブロックしたり、ユーザーが被害を受ける前に脅威をブロックしたりできます。FortiMailの構成を変更することで、オンプレミスかクラウドかに関係なく、FortiSandboxに添付ファイルを送信して、ファイルが悪意のある動作をするかどうかを判定できます。有効なサブスクリプションと併せてアンチウイルスが有効になっているFortiGate次世代ファイアウォールもまた、この脅威を検出およびブロックできます。

フォーティネットの対応:意識向上トレーニングが功を奏さず、ユーザーが悪意のある添付ファイルやリンクを開いてしまった場合には、最新のウイルスシグネチャを実行しているFortiClientが、問題のファイルとその関連ファイルを検出してブロックします。FortiEDRも、標的となったエンドポイントセキュリティデバイスが影響を受ける前にこの攻撃を検知して鎮圧することができます。


減災策

アンチウイルス:

本レポートで強調表示されているファイルは現在、次のアンチウイルス定義で検出されています。

ファイル名:"COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj"
[SHA256: 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe]
検出名:W32/Fareit.FRQ!tr

ファイル名:"COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.pdf.exe"
[SHA256: f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e]
検出名:W32/Fareit.FRQ!tr

Webフィルタリング:

次のネットワークIOCは、現在FortiGuardのWebフィルタリング機能によってブラックリストに登録されています。
C2:hxxp://bslines[.]xyz/copy/five/fre.php

スパムリレー:

159[.]69[.]16[.]177

持ち出し情報流出とC&C:すべての出入口に配備されたFortiGateにWebフィルタリングサービスと最新の定義が搭載されている、あるいはボットネットセキュリティが有効になっている場合、構成が適切であれば観測可能なアウトバウンド接続を検出してブロックします。

悪意あるWord文書への対策:FortiGuard CDR(Content Disarm & Reconstruction:コンテンツ無害化)は、すべての受信ファイルを処理して分解し、あらゆるアクティブコンテンツをリアルタイムでファイルから除去して、フラットな無害のファイルを作成します。CDRを利用して、ファイルに不正コンテンツが含まれる可能性をプロアクティブに排除することで、ゼロデイファイルに対する保護戦略が強化されます。この機能はFortiMail、FortiGateなどの製品でサポートされています。


MITRE ATT&CK

スピアフィッシングの添付ファイル

ID:T1193
戦術:初期アクセス
プラットフォーム:Windows、macOS、Linux

スクリプト

ID:T1064
戦術:防衛回避、実行
プラットフォーム:Linux、macOS、Windows

防御の回避

ID:T1064
戦術:防衛回避、実行
プラットフォーム:Linux、macOS、Windows

標準アプリケーション層プロトコル

ID:T1071
戦術:C&C(コマンドアンドコントロール)
プラットフォーム:Linux、macOS、Windows

標準暗号化プロトコル

ID:T1032
戦術C&C(コマンドアンドコントロール)
プラットフォーム:Linux、macOS、Windows

IOC(Indicators of Compromise:侵害指標)

Lokibot

ファイル名:"COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj"
[SHA256: 9e17f5e70c30ead347b68841fa137015d713269add98f0257fb30cc6afdea4fe]
検出名:W32/Fareit.FRQ!tr

ファイル名:"COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.pdf.exe"
[SHA256: f8e041bed93783bbd5966bfba6273fe7183464035ea54fe1d59ff85a679b3e3e]
検出名:W32/Fareit.FRQ!tr

ネットワークIOC:hxxp://bslines[.]xyz/copy/five/fre.php

スパムリレー:159[.]69[.]16[.]177


CTAへの支援

FortiGuard Labsは、ファイルのサンプルや侵害指標など、このレポートに記載されている調査結果をCyber Threat Allianceの他のメンバーと共有しています。CTAメンバーは顧客への迅速な保護機能の導入とサイバー攻撃の組織的妨害のためにこのインテリジェンスを活用しています。Cyber Threat Allianceの詳細については、cyberthreatalliance.orgをご覧ください。


FortiGuardセキュリティサービスのポートフォリオの詳細をご覧いただき、毎週お届けしている脅威インテリジェンスブリーフ(英語)をぜひご購読ください。

FortiGuardセキュリティレーティングサービスは、セキュリティ監査とベストプラクティスを提供することで、お客様に最適なセキュリティ態勢の設計、実装、維持を支援します。