詐欺の連鎖:新たな攻撃の発見

FortiGuardでは、ビットコインのユーザーを標的とする一連の攻撃の調査を継続しています。我々は以前の調査で、2017年後半にこれらの攻撃者によって登録された、いくつもの偽のWebサイトを発見しました。そして、これらのWebサイトが近い将来、別の一連の攻撃に使用されるだろうとその記事で予想していましたが、今回、これに該当する攻撃の証拠が見つかりました。また、今回の新しい調査の過程で、犯罪者が不正文書を作成する目的で使用する、いくつかのツールも発見しました。

この記事では、2018年2月にこれらの犯罪者が開始した攻撃を解説します。また、この調査で明らかになった、攻撃者の開発プロセスの一端もご紹介し、将来の同じ攻撃の発生の可能性についても考察します。


スパムメール

FortiGuard Labsのある研究者が、個人のメールボックスに多数のスパムメールが送られてくるようになったことを不思議に思いました。それらの電子メールを調べたところ、以前に我々が実施したある調査と関連性があることがわかりました。受け取ったスパムメールは、いずれもビットコイン取引に関連するものだったのです。

Gunbot広告メール

1件目の電子メールは、Gunbotの広告のようでした。電子メールの表示名が実際のmailtoリンクnoreply[@]bltcolntalk.orgとは異なる点に注目してください。

この電子メールには、いくつもの異なるハイパーリンクが含まれているように見えますが、実際には、すべてがqunthy.orgというまったく同じ場所に転送されます。bltcolntalk.orgqunthy.orgという不正ドメインとその攻撃経路については、以前の記事で詳しく説明したとおりです。

画像内テキスト訳:

Gunbot - 最高の仮想通貨自動取引ボットです!
GunBos AIを使って、寝ている間にマシンに大金を稼いでもらいましょう!
GUNBOTを期間限定で提供します!
Bittrex、Polonlex、Kraken、Bitfinex、Cryptopiaをサポートしており、Wexも近日中にサポート予定!

図1:Gunbotの偽広告付きスパムメールの一部

この電子メールのいずれのハイパーリンクも、プロキシサーバー - mailpaths.orgを使用して転送されます。このmailpaths.orgドメインは最近登録されており(2017年10月26日)、Webインタフェースは現状ではありません。犯罪者がこのドメインを実際に所有し、管理しているのか、あるいは、単に間違えて使用してしまったのかは不明です。FortiGuard Labsは今後も、このドメインの監視を継続することにしています。

「パスワードのリセット」メール

今回の第2弾のスパム攻撃で、新たな事実も明らかになりました。我々は2つの異なる種類の電子メールを登録しましたが、その例を図2に示します。

どちらのメールも、「パスワードのリセット」の攻撃方法を使ってユーザーを騙し、リンクをクリックさせようとします。これらのリンクは、2つの異なる攻撃経路にユーザーを誘導するものの、どちらの経路でもbitcointclk.orgという新しいドメインが使用されています。

図2:「パスワードのリセット」スパム攻撃で送られてくるメールの例

最初の電子メールのリンクの場合は、ユーザーを誘導する攻撃経路が以前の記事で説明したものとほとんど同じであるため、今回は簡単な説明に留めます。

bitcointclk.org/index.php?action=login -> desfichiers.com/?b4ufv8mg9q -> flashplayer28_ka_install.vbs -> github.com.sb/flashplayer.jpeg

github.com.sb/flashplayer.jpeg - 名前が変更された実行可能ファイルで、圧縮形式のWindows用Orcusリモート管理ツールが含まれています。このファイルの役割は以前に説明したサンプルとほぼ同じであるため、今回は説明を省略します。

2つ目のメールのリンクは、(「Authorize」または「Deauthorize」のどちらのリンクがクリックされた場合も)偽のログインページに移動します。このログインページは、最初のbitcointalk.orgのものにとてもよく似ています。ただし、今回の場合もフィッシングが唯一の攻撃ベクトルというわけではなく、前回と同様、不正バナーのポップアップが使用されます。

図3:不正バナーのポップアップを含む偽のログインページ

バナーをクリックすると、以下の順番でリダイレクトされます。

bitcointclk.org -> github.com.sb/Flashplayer28pp_ka_install.exe -> desfichiers.com/?j5xf39acp5

この記事の執筆日現在、この連鎖の最後のリンクがdesfichiers.comですでに削除されてしまっているため、最終的な目的が何であったのかを我々が知ることはできません。

github.com.sb

どちらの攻撃経路でも新しいドメインgithub.com.sbが使用されていますが、我々の調査によれば、このドメインは以前には使用されていなかったものです。このドメインは、以下の異なるメールアドレスで登録されています。

aldoshinanluf94[@]mail.ru(以前のドメインはcobainin[@]yandex.comで登録されていました)。

これらの犯罪者は何らかの理由で、ロシアのメールサービスに登録されている電子メールアドレスを使用する傾向があるようです。登録者の電子メールは異なるものの、今回の犯罪と前回の犯罪者とを結び付ける証拠が見つかりました(攻撃パターンの明らかな類似性も認められます)。

このドメインのGoogle検索の結果を調べてみたところ、別の.DOCMファイルへのリンクを発見しました。

hxxps://github.com.sb/AdobeFlashPlayer28pp_ka_install.exe.docm

このAdobeFlashPlayer28pp_ka_install.exe.docmというファイルは、埋め込まれたVBSマクロをユーザーに実行させるために使用する、未完成のおとり文書のようです。ユーザーにマクロを有効にするよう要求するメッセージが埋め込まれているものの、この文書にマクロは含まれていません。

画像内テキスト訳:

この文書の内容を表示するには、マクロを有効にする必要があります。上記の[コンテンツを有効にする]を押して、この文書を表示してください。

図4:AdobeFlashPlayer28pp_ka_install.exe.docmの一部

興味深いことに、このメッセージの文字も実際には1つの画像の一部です(ぼやけたテキストと画像が含まれます)。さらに、この画像は新しいものではなく、2016年に遡り、フォーティネットのテレメトリシステムにこの画像の痕跡が見つかりました。しかしながら、この文書には変更日時のタイムスタンプである「2017-12-18T23:07:00Z」が含まれています(下記の画像のタイムスタンプは、タイムゾーンがUTC +08:00です)。

図5:AdobeFlashPlayer28pp_ka_install.exe.docmのプロパティ

以上のことから、誰かが古い画像を再利用しただけであり、その内部に現段階ではいかなるマクロも埋め込まれていないと我々は判断しました。しかしながら、我々が発見したこの方法が将来的に攻撃で使われることになるでしょう。

我々は、この文書がサブオブジェクトとして含まれている既知のオブジェクトをすべてチェックしてみました。すると、2017年12月25日に誰かがsourcecode.zipという名前のファイルをVirustotalにアップロードしたことがわかりました。このZipアーカイブには、sourcecode.docm(AdobeFlashPlayer28pp_ka_install.exe.docmとして既知であるファイル)と、sourcecode.xlsm(これまでに見つかったことのないファイル)の2つのファイルが含まれていました。

Sourcecode.xlsm

我々は最初に、新しく見つかったファイルのプロパティをチェックしました。変更日時のタイムスタンプは「2017-12-18T23:19:07Z」で、これは最初のDOCM文書のタイムスタンプにかなり近いことがわかります。

さらに、cp:lastModifiedByファイルには、Scarfoというユーザー名が含まれています。この段階で、このファイルが以前の調査と関連性のあるものであることを我々はほぼ確信しました。Scarfoは、最初の調査の対象となったBltcointalk.orgの2つのページで使用されていた名前です(詳細は、こちらのブログ記事を参照してください)。

図6:sourcecode.xlsmのプロパティ(時刻はUTC+08:00での表示)

このファイルそのものは、VBSスクリプトを作成するための「テスト用ポリゴン」のようであり、VBAプロジェクトが含まれています。ユーザーがこのコンテンツの実行を許可すると、Excelが、セルI2でハイパーリンクされているオブジェクトをダウンロードして実行しようとします。このセルには、既知であるファイル共有ホスティングサイト、desfichiers.comへのハイパーリンクが設定されています。ただし、我々が調査したときには既にこのオブジェクトは削除されていました。

セルI3にはメッセージが含まれており、これは、埋め込みマクロを有効にするようにユーザーを誘導する目的で使用されるものと考えられます。

画像内テキスト訳:

Gunbotのソースコードは商標登録されているため、商用目的での複製には法的責任が伴います。これを理解した上で、マクロを有効にし、Gunbotのソースコードを表示してください。

図7:sourcecode.xlsmの内容

この文書にはさらに、意味のない画像やゼロが入力されているセルがいくつかあります。次のシート(Sheet1) には、3つのセルがあり、ドメインrevryl.comにある画像への同じハイパーリンクがすべてに設定されています。このハイパーリンクは通常のPNGファイルにリンクされており、いかなるマクロでも使用されません。このリンクは、以前のテストフェーズで使用されていたものと思われます。

FortiGuard Labsチームは、このrevryl.comというドメインを調査しましたが、不正な活動の痕跡や犯罪者に結び付く手掛かりは何も見つかりませんでした。しかしながら、このWebサイトには不自然さがあり、1年以上も更新されていないことがわかりました。このドメインが完全な休眠状態にはあるものの、脆弱性が存在し、ハッカーによって悪用されてしまう可能性もあるため、FortiGuard Labsは今後も、このドメインの監視を継続することにしています。

sourcecode.xlsmの「media」ディレクトリに、名前が「image」で始まるいくつものオブジェクトが見つかりました。これらのオブジェクトで拡張子がVBSであるものはすべて、以前の攻撃で使用された同じVBSマクロのバリエーションでした。

興味深いことに、「media」ディレクトリのいくつかのオブジェクトは、拡張子が正しくありません。たとえば、image4.pngは、以前に見つかったVBSスクリプトの別の亜種です。

図8:「media」ディレクトリの内容(左)と「image4.png」の実際の内容(右)

さらに、いくつかの.VBSファイルは、実際にはVBSスクリプトではなく、HTMLページでした。これらのファイルの中で我々が特に注目したのが、image6.vbsです。

Image6.vbs

このファイルは、前述のファイル共有ホスティングサイト、desfichiers.comから保存されたHTMLページです。ここで興味深いのは、アップロードに使用されるサーバーの名前がru-3で始まっている点です。

我々は実験を行い、いくつかの異なるIPを使用してdesfichiers.comに接続してみることにしました。ロシア以外の国にロシアのIPを使用した場合、我々の通常のサーバーがup2であるにもかかわらず、常にru-3サーバーが選択されました(ただし、稀ではあるものの、ロシア以外のIPでru-3サーバーが選択されることもあります)。

このことから、これらのエクスプロイトの背後にいる犯罪者は、現時点でロシアのIPを使用しているものと思われます(ただし、プロキシを使用している可能性は否定できません)。

図9:image6.vbsの内容


結論

FortiGuard Labsは今回、ビットコインのユーザーを標的にする第2の攻撃を発見し、確認しました。また、将来の攻撃に使用される可能性のある文書も見つかりました。そして、これらの攻撃を最初のシリーズの同じ犯罪集団に結び付ける確かな証拠も見つかりました。さらには、この犯罪集団の何人かがロシアのメールサービスの電子メールボックスを使用する可能性が高く、(少なくとも1回は)ロシアのIPを使用しているらしいこともわかりました。

FortiGuardは今後も、この犯罪集団の活動を監視し、いくつかの怪しいドメインとの関連性の分析を続ける予定です。

このブログ記事の執筆にあたり、Evgeny Ananinが電子メールサンプルを提供してくれました。心より感謝します。

-= FortiGuard Lion Team =-


IOC

36c0edccd4d28be9ecf7cfd225dee2bb05c9cbe7a36f021404b8fb73da885572 - VBS/Agent.NYT!tr.dldr
4b6b18067b7e5de5688e8b3d66308fdf9751ecdcb067f16343a0cf563d68c464 - VBS/Agent.NYT!tr.dldr
66029723f3c3430e9f68c1af829e75dc97638aab4a67d20aa1e458121feb66ba - VBS/Agent.NYT!tr.dldr
8f2a34f1f2be2beebe957ba8702915ef9065a74d755abea9097d33d10791e4ab - VBS/Agent.NYT!tr.dldr
b3f3f2b9e7239b773a588161f4bac8ac34754cda56b68b6236b1346804b4968a - VBA/Agent.QEXK!tr.dldr
c0547082272b94a2f28c0c681188edac865631bff6eabc3ff3e5845f9d4eb51d - MSIL/Orcus.KAD!tr
e0d0c28ef46088813289a7b483c15b0cc5dde130cb377eb9ebbcf44b82175475 - VBS/Agent.NYT!tr.dldr
d1f5d611c83d381c9430d5a8b0eb9058702defdf5f0da10bb4f35598177bc50c - AdobeFlashPlayer28pp_ka_install.exe.docm(有害性なし)

有害なURL:

mailpaths.org/link.php?M=108592&N=83&L=19&F=H
desfichiers.com/?j5xf39acp5
desfichiers.com/?b4ufv8mg9q
desfichiers.com/?5a43jbi93p
github.com.sb
bitcointclk.org
bltcointalk.com
qunthy.org