- 2018/12/25
- セキュリティ
銀行の利用者を標的としたブラジル産のマルウェアが南米と欧州で猛威を振るう
Post by : CYBEREASON NOCTURNUS RESEARCH
エグゼクティブサマリー
過去10年以上にわたりブラジルは、グローバルレベルのサイバー犯罪に大きく加担している国であるとみなされてきました。ブラジルのサイバー犯罪者に絡んで次々と凶悪な犯罪が発生している状況を、これまでに数えきれないほど多数のセキュリティレポートが詳しく伝えています。これらのサイバー犯罪者は主に、金融機関や民間部門を標的に攻撃を仕掛けています。
ブラジルは特に、大規模なボットネットの巣窟として悪名を馳せています。ここからスパムメールやフィッシングメールが発信され、銀行を狙ったトロイの木馬攻撃やInfostealer攻撃が拡散しているのです。The Spamhaus Projectによれば、ブラジルのボットネットの感染数は、インド、中国に次いで世界第3位であると言います。
サイバーリーズンのTeam Nocturnusは、ブラジルの金融機関を狙ったいくつかのマルウェアに関係のある攻撃を、これまでに多数分析してきました。ブラジルで生み出されたマルウェアが、ラテンアメリカ、スペイン、ポルトガルといった10数か国の国で、60行を超える銀行のオンラインバンキングユーザーを標的として猛威を振るっており、このブログでは、その実態について報告します。
また、このブログでは、過去のブログでご紹介した調査研究についても、その後の状況を引き続きお伝えします。さらに、ブラジルのサイバー犯罪者が防御を逃れてマルウェアを拡散する際に用いる感染手法や配布の手口を図式化してご説明します。
ブラジルの金融機関を標的としたサイバー攻撃 – マルウェア配布の最新の手法を図式化する
世界各国で60を超える銀行の利用者を狙ったサイバー攻撃が発生しており、この攻撃では、金融機関を標的とする攻撃に特化したさまざまな種類のマルウェアが用いられています。アンチウイルスソフトウェアのベンダー各社は、このタイプのマルウェアに、Banload、Banbra、Bancos、Boleto、Delf、Spy.Bankerなどといった総称を与えています。
最終的なマルウェアのペイロードのかたちにはさまざまな種類があるものの、このようなマルウェア攻撃のほとんどに共通する主要な3つの段階が存在することを、サイバーリーズンは突き止めました。
多段階構成のデリバリーインフラストラクチャのおかげで、攻撃者は高い確率で検知を逃れられるようになっています。攻撃者は検知を回避するさまざまな手法を用いてシグニチャベースのエンジンやヒューリスティックベースのエンジンの検知を巧みに逃れ、最終的には確実にマルウェアを標的のもとに送り込んでいるのです。
多段階構成のマルウェア配布アプローチはサイバー犯罪においては新しい手法でありません。しかし、ブラジルのサイバー犯罪者がこの手口を採用したことで、その高い有効性が証明される結果となりました。多くのアンチウイルス製品の検知を逃れるのにこのアプローチは大きな効果を発揮しており、検知の率が低いことは当社の研究でも明らかになっています。
各段階では、TTP(ツール、技術、攻撃の手順)について、さまざまな攻撃に共通する要素があることがわかりました。これらのTTPを以下に示します。
- エントリーポイントとしてソーシャルエンジニアリングを利用
- URL短縮機能を用いて複数のリダイレクションを実行し、動的DNSサービスを利用
- 正規のオンラインストレージサービスやCDN(コンテンツデリバリーネットワーク)にペイロードをホスト
- 難読化を施したPowerShellダウンローダーを使用。このダウンローダーはコマンドラインのロギング回避機能を実装
- Microsoftが署名したバイナリを悪用するランディングテクニックを活用
- 信頼されているアプリケーションをDLLハイジャッキングにより悪用
- メインのペイロードを2つ以上のコンポーネントに分割
メインのマルウェア以外にあわせて使用されるマルウェア
当社の調査により、ブラジル産マルウェアのエコシステムについて、興味深い側面が明らかになりました。同一の攻撃者が、ブラジルで作成された別のタイプのマルウェアもあわせて使用していたのです。金融機関を狙ったマルウェアに感染したいくつかのエンドポイントでは、同じくブラジルで作られた別のマルウェアも見つかりました。
Infostealerや、仮想通貨のマイニングマルウェア、Microsoft Outlookのデータを盗み出すマルウェアなどです。このような事実からは、すでに得た足場を利用して可能な限り稼ぎを増やそうと攻撃者がさまざまな手口を駆使している様子が垣間見えます。
スペイン語圏の標的を狙うブラジル産マルウェア
金融機関を狙いブラジルで開発されたマルウェアということであれば、その標的とされるのは、ブラジルのオンラインバンキングユーザーだけではではないかと思われるかもしれませんが、当社の調査研究によれば、ブラジルのサイバー犯罪者がスペインや南米のスペイン語圏の国々にも活動の場を広げていることは明らかです。
攻撃の標的となっていることが確認された国:ブラジル、アルゼンチン、チリ、ボリビア、コロンビア、メキシコ、ベネズエラ、ポルトガル、スペイン
ここ最近発生した攻撃から得られたデータによれば、ブラジルに次いで2番目に多く攻撃の標的となっている国はスペインであることがわかりました。このほかに最近の攻撃で標的になった国には、メキシコやアルゼンチン、ベネズエラ、コロンビア、ボリビア、チリなどがあります。
当社の調査研究により明らかになったのは、もとはブラジルの銀行の利用者に狙いを定めていたブラジル産マルウェアが実にさまざまタイプのマルウェアにかたち変えて、別の国々で各地域の銀行を標的とした攻撃に転用されるようになったという事実です。サイバーリーズンはマルウェアのコードに埋め込まれた60行を超える銀行の名前を確認しています。
ブラジル以外の国の銀行でブラジル産マルウェアが組み込まれているURLの例
共通のソースコードをもとにしたさまざまなタイプのマルウェアが出現
サイバーリーズンのアナリストは、さまざまなブラジル産マルウェアのもとになっているのがあるRemote Access Tool(RAT)であることを突き止めました。そのソースコードはGithubで公開されています。このRATの開発者の素性は明らかですが、このブログで取り上げているマルウェアとこの開発者とのあいだに直接の関係があることを示す証拠は何もありません。一般に公開されたソースコードを別の攻撃者が転用し、バンキングモジュールや、マルウェアの検出を妨害する機能を組み込んだものと、サイバーリーズンでは見ています。このブログで分析したマルウェアに組み込まれていたのがまさにそのような機能でした。
多段階構成のデリバリーインフラストラクチャ
2017年から2018年にかけてサイバーリーズンは、数多くの種類のマルウェア感染のフローを確認してきました。ただし、以下のように、ほとんどのマルウェア感染にあてはまる基本的な攻撃手順の組み合わせがあるようです。
感染ベクター:感染チェーンはまず、企業の正規の請求書を装ったフィッシングメールから始まります。メールの本文には通常、リンクが記載されているかPFDやZIP、バッチスクリプト、HTMLなどのファイルが添付されており、これらが第一ステージのダウンローダーを呼び出すか実行します。
ステージ1 – ダウンローダー:第2ステージのペイロードをダウンロードするために、難読化を施したスクリプトや、.cmd、.lnk、.vbs、.jsなどのダウンローダーコマンドが使用されます。通常、ダウンローダーは短縮化されたURLをポイントします。このURLを通じてWebホスティングサービスや動的DNS、CDNへのリダイレクトが行われ、第2ステージのペイロードが呼び出されます。
ステージ2 – ダウンローダー:ほとんどの場合、難読化が施されたPowerShellスクリプトが用いられます。このダウンローダーがメインのペイロードをダウンロードします。いくつかのケースでは、第2ステージのダウンローダーには追加の機能があり、パージステンスの処理やマルウェアの検出を妨害するためのチェック処理などを担います。
ステージ3 – メインのペイロード:標的とした銀行からオンラインバンキングデータを盗み出すメインのマルウェアペイロードです。マルウェアの構成内に確認できます。この構成はバイナリ内に組み込まれるか、コマンドアンドコントロールサーバーからダウンロードされます。ほとんどのペイロードは実行形式のWindowsバイナリであり、Delphiで開発されています。
正規のサービスを数珠つなぎにしてトラフィックパターンを悪意のないものに見せかける
ここで取り上げている攻撃の分析を進めていく過程で気付いたことがありました。攻撃者は正規のサービスを数多く数珠つなぎにしてマルウェアを配布していたのです。これらのサービスには、いくつかのURL短縮機能、動的DNS、オンラインストレージサービス、CDNなどがあります(ブラジルのサイバー犯罪者は従来よりマルウェアの配布にCDNを使うことが知られています)
これらの異なるサービスを組み合わせて使うことによって攻撃者は生成されるネットワークトラフィックを悪意のないものに見せかけ、IOCベースやヒューリスティックベースのエンジンの検知を高い確率で逃れられるようになっています。このテクニックを使えば、多くのネットワークセキュリティ製品やアンチウイルスプログラムの検知をすり抜けられるばかりか、一部のセキュリティアナリストの目を欺くことすらできるようです。
例1:ネットワークトラフィック内に確認された多段階構成のデリバリー手法
URL短縮機能→Dropbox→URL短縮機能→FacebookのCDN→悪意のあるSite/C2 Gate
例2:ネットワークトラフィック内に確認された多段階構成のデリバリー手法
URL短縮機能→動的DNS→URL短縮機能→Github→悪意のあるSite/C2 Gate
攻撃者がインフラストラクチャの構成要素として使用する一般的なサービスの一覧
URL短縮機能
goo.gl、bit.ly、tinyurl.com、bit.do
オンラインストレージ
dropbox.com、sendspace.com、gitlab.com、github.com、amazonaws.com、000webhostapp、pastebin.com、googleusercontent.com
CDN
cdn77.org、cdn.fbsbx.com(FacebookのCDN)
動的DNS
publiccloud.com.br、ddns.net、game-server.cc (dyndns)、hopto.org、no-ip.org
第1段階のペイロードがGitlabにホストされている例:
hxxps://gitlab[.]com/faturavivodigitalabi0x/210820148vivox/raw/master/cliente_anexo_seguro_senha_1425.rar
抽出されたコンテンツは難読化が施された以下のような内容の.cmdスクリプトレットです。これがマルウェアとして検知される確率はごくわずかです。
メインのエントリーポイント:フィッシングメール
感染チェーンの起点としてフィッシングメールが使われていることをサイバーリーズンは突き止めました。メールの本文には通常、ファイルが添付されているか、URL短縮機能へのリンクが記載されており、これらが、第一ステージのペイロードが格納されたホスティングWebサイトをポイントします。ペイロードは多くの場合、FlashやJavaのアップデートに偽装されています。
ほとんどのメールが同じ件名を用いており、請求書(ポルトガル語で「FATURA」)をかたっています。そしてさらにもう1つ共通するポイントがあります。スプーフィングメールが用いられている点です。たとえば以下のように、ブラジル最大手の通信会社VIVOを装っています。
例1:VIVOを装ったスプーフィングメールと偽の請求書
次の例では、スプーフィングメールに添付されたPDFをユーザーが開くと、感染チェーンがスタートします。
(SHA-1:86C7312D9E786D89FC12973B7584F6CAF39805C3)
PDFを解析した結果、以下のように、短縮化されたURLを含むストリームの存在が明らかになりました。
ユーザーがPDFのどこかをクリックすると、短縮化されたURLにコードがリクエストを行います。しかしこのときアンチウイルスプログラムは脅威を検出しません。以下にそれを示します。
このURLは、ZIPファイルを格納した以下のDropBoxのURLを解決します。このZIPファイルには第1ステージのダウンローダースクリプトが仕込まれています。
hxxps://ucf18b68308d0a38b496c554353b[.]dl[.]dropboxusercontent[.]com/cd/0/get/AOAYxd4VLLCvZ5lZ_2VQLUD93KO_p8GEm42Z-uFIqBoBSf_XFcMeFA-vgnvGhpvTKabzARrr6NPIvETHkG7jSg_35Bo9ablTRfbK2tPVbsQukqfuMMvtDljNN8nnTt9Ahp-eRqczHWhm-qaGp2BfJ2ZRMIuM3hXRbcl3NXQ-agrbpgO6NuMoA-w24mRfR3FZBfE/file?dl=1
ファイル名:2Via-Fatura-13082018.zip
例2:WebホスティングのWebサイトからダウンロードされた.lnkファイル
最近確認されたある攻撃では、標的をファイル共有WebサイトのURLへと誘導し、ZIPファイルをダウンロードするよう促しています。この例を以下に示します。
ZIPファイルのなかには以下のような.lnkファイル(arq1561.lnk)があり、そのファイルには、難読化が施されたダウンローダーペイロードが格納されています。
(SHA-1:3723E2A328AAFB359116DFC987222C5001BF59D7)
ユーザーが.lnkファイルをクリックすると、cmd.exeのプロセスとpowershell.exeのプロセスが作り出され、これらのプロセスが2番目のペイロードをダウンロードします。この内容を以下に示します。
さらに、Internet Explorerのインスタンスが起動され、このインスタンスがAdobeの正規のWebサイトからローディングを行います。ダウンロードされたファイルをユーザーに疑われないようにするためと、バックグラウンドで行われていることからユーザーの目をそらすための処理であると思われます。
ステージ1:難読化されたダウンローダースクリプト
感染チェーンをたどると、マルウェアの感染があった70%のケースで、主に.bat、.cmd、.lnkという3つのファイル拡張子に行きつきます。スクリプトは通常、メールフィルターやスパムフィルターの検知を逃れるために、.rarや.zipのアーカイブに格納されています。また、メールの添付ファイルとして送られてくるものには、バッチファイルのほかに、拡張子が.exeのファイル(Windowsの実行ファイル)や.chmのファイル(コンパイルされたHTMLファイル)なども確認されました。
アーカイブにバンドルしたダウンローダーを組み合わせて使用する方法は、アンチウイルス製品の検知を逃れる手段としてきわめて高い効果を発揮することが証明されました。今回分析を行ったペイロードの多くをウイルスソフトはほとんど検知できず、59のアンチウイルスベンダーの製品のうち最も多くのウイルスソフトが検知できたケースでもその数は17にとどまり、どのウイルスソフトも検知できなかったケースもありました。
フィッシングメールで送られてきたペイロードの例。ウイルスソフトはほとんど、あるいは全く脅威として検知できていない
環境変数を使用して、コマンドラインの検知を回避
第一ステージのペイロードのほとんどが、難読化が施されたスクリプトや、難読化が施されたコマンドのセットから構成されています。以下のバッチスクリプトでは、難読化の手法が用いられています。本ブログで詳しく説明しますが、この手法では、ペイロードを徐々に積み上げていきます。PowerShellペイロードは環境変数として設定されています(このケースでは、変数は「system」と呼ばれています)
この難読化のタイプは、Daniel Bohannon氏のInvoke-Obfuscationプロジェクトの内容を取り入れたものであると思われます。PowerShellが実行されても、実際のダウンローダーペイロードはプロセスのコマンドライン変数には表示されません。この様子を以下に示します。
PowerShellコマンドラインの引数:-nop -win 1 –
ただし、この環境変数をランタイムで確認すると、以下のようにダウンローダーコマンドが「system」の環境変数に設定されていることがわかります。
当社の調査研究結果によれば、この手法がブラジルの攻撃者に広く利用されていることが判明しています。そしてこの手法は、攻撃者がコマンドラインのロギングベースの検知を環境変数を用いて逃れ、静的検知を難読化の手法で回避しようとしていることを新たに裏付ける証拠ともなります。
MICROSOFTが署名したアプリを悪用するランディングテクニックを活用
ブラジルのサイバー犯罪者は、実行形式のペイロードのダウンロードにMicrosoftが署名した信頼性の高いバイナリ(LOLBins)が好んで用いられる傾向にあることを熟知しているようです。また、一般的によく見られるPowerShellのエンジンやWindowsスクリプトのエンジンに加え、さまざまな攻撃でMicrosoftの別のバイナリが使用されていることも確認されました。
例No.1:ダウンローダーにmsiexec.exeを使用した事例
上記の.lnkファイルはInternet Explorerのショートカットを装っています。このファイルが実行されると、Microsoftのmsiexec.exeを使用して以下のように2番目のペイロードがダウンロード、抽出、実行されます。
ターゲットコマンド:
短縮化されたURLは以下のURL(FaceBookのCDN)を解決します。
hxxps://cdn[.]fbsbx[.]com/v/t59.2708-21/38622203_278626666261527_5981472121300189184_n.txt/loader.msi.1415.txt?_nc_cat=0&oh=f3e5a4d4218591d13784015d95f5a798&oe=5B73C975&dl=1t
ダウンロードされたペイロードはmsiexecファイルです。このファイルは、%appdata%内に「windows.bat」を展開するコンテナの役割を果たします。この様子を以下に示します。
バッチファイルの内容
難読化が施されたこのペイロードは以下のようなPowerShellダウンローダーコマンドです。このコマンドは環境変数(「day」)に格納されています。
このダウンローダーは別のPowerShellペイロードを呼び出し、最終的にはこのペイロードがメインのペイロードを投下します。
例No.2:ダウンローダーにCertutilを使用した事例
上記のRARアーアカイブには.lnkファイルが格納されています。このファイルが実行されると、「-URLCache」のフラグと「-f」のフラグを持つMicrosoftのCertutil.exeを使ってペイロードが1つダウンロードされます。
このコマンドが実行されると以下のように、バッチファイル(2番目のダウンローダー)がダウンロードされ起動されます。
例No.3:ベース64のペイロードのデコードにCertutilを使用した事例
サイバーリーズンでは、以下のコマンドを持つ.lnkファイルも確認しています。このコマンドはMicrosoftのCertutilを使用してベース64ペイロードをデコードします。
さらにデコードされたペイロードは、シンプルなカレット記号(^)を使って以下のように難読化されます。
難読化が解除されたコマンドは、以下のように2番目のペイロードをダウンロードします。
ステージNO.2:POWERSHELLダウンローダー
当社の調査によれば、第2ステージのダウンローダーには多くの種類が存在し、これらがさまざまな攻撃で使われています。第2ステージのダウンローダーの主な目的は、別のペイロードを呼び出すことにあります。多くの場合、これがメインのペイロードになります。いくつかのケースでは、第2ステージのダウンローダーには追加の機能があり、パージステンスの処理や、UACの無効化の処理、マルウェアの検出を妨害するためのチェック処理などを担います。
例No.1:パージステンスの処理と2番目のペイロードの呼び出し
以下に示す第2ステージのダウンローダーはPowerShellスクリプトの一種です。このスクリプトは、環境内にすでにマルウェアが存在しないかチェックします。また、レジストリ内にある値についてチェックを行うバッチファイルの投下や、このバッチファイルをポイントしてパージステンスの処理を行う.lnkファイルの投下も行います。
さらには、XORによる暗号化が施された2番目のペイロードを同じリモートサーバーから呼び出す処理も担います。アンチウイルスソフトウェアはこのスクリプトをほとんど検知できず、54のアンチウイルスソフトのうち検知できたのは3つだけです。
まず、このスクリプトは%temp%ディレクトリ内を検索してyyyymmddという形式の日付を持つファイル名を検索し、すでに環境内にマルウェアが存在しないか確認します。この名前のファイルが存在しない場合には、XORを用いてビット単位で暗号化されたペイロードをダウンロードします。この内容を以下に示します。
バッチファイルスクリプト全体は、PowerShellスクリプトによって動的に構成されます。このケースでは、さまざまな攻撃を通じほかのインスタンスで見られる環境変数を用いて、スクリプトが構築されていることがわかりました。
Windows Script Host(一般にはWscriptと呼ばれます)を通じて.lnkファイルが生成され、パーシステンスの処理に使用されます。このファイルは実行されると、バッチファイルへのパスをポイントします($cmdFileName変数には、バッチファイルへのパスが含まれています)。この内容を以下に示します。
スクリプトはスケジューリングされたタスクを用いて、UAC(ユーザーアカウント制御)を無効化します。作成されたバッチファイルが一度実行されると、できるだけ証拠を残さないようにとの意図からタスクが削除されます。
バッチファイルの内容
例No.2:仮想マシンの機能を妨害するチェック機能を搭載し、難読化が施されたダウンローダー
インシデントの分析を進めていくなかで、これまでのダウンローダーとは異なる以下のようなPowerShellスクリプトが存在することに気付きました。スクリプトには、ISESteroids PowerShell拡張で難読化が施されているようでした。このPowerShell拡張は難読化の機能を内蔵しています。このスクリプトを検知できるアンチウイルスソフトウェアは特に少なく、57のアンチウイルスソフトのうち2つだけしかこのスクリプトを検知できませんでした。
スクリプトの難読化を解除した後に、このダウンローダーは仮想マシンの機能を妨害するチェックをいくつか行いました。このようなチェックは、検知を逃れるために攻撃者が用いるテクニックの1つで、その目的はメインのペイロードの調査を妨害することにあります。以下に示すように、このスクリプトはWMIを使って、VirtualBoxやVMwareの仮想化プラットフォーム、仮想マシン、HVM DOMUなどの仮想化製品の有無を確認します。
このように「障害物が排除された状態」になると、スクリプトは.lnkファイルを使ってパーシステンスの状態を作り出し、この結果、Rundll32.exeを通じてマルウェアが実行されます。
ステージNO.3:メインのペイロードの実行
この攻撃ではメインのペイロードは、アンチウイルスベンダーがBanload、Banbra、Bancos、Boleto、Delf 、Spy/Bankerなどと総称している一般的なブラジル産マルウェアからほぼ構成されています。金融機関を標的にブラジルで開発されたマルウェアは多要素認証(MFA)を無効化する能力が高いことで知られており、手の込んだソーシャルエンジニアリングの手口を使ってSMSコードなどのセキュリティトークン情報を取り出します。使われる手法は過去のブログで説明したオーバーレイスクリーンです。
サイバーリーズンは、メインのペイロードを実行する方法としてさまざまな手口が存在することを突き止めました。このパートでは、信頼されている第三者のアプリケーションをDLLハイジャッキングで悪用する手口や、Microsoftが署名した組み込みのバイナリ(「LOLBins」として知られる)を使用してマルウェアコードを実行する手法などについて、それらがどのように使われているのか、その実態を確認します。これらのテクニックを利用して攻撃者は高い確率で検知の目を逃れています。
信頼されているアプリケーションをDLLハイジャッキングの機能で悪用
以前のブログで説明したように、ブラジルのサイバー犯罪者はDLLハイジャッキングのテクニックを特に好んで用いているようで、Avira、McAfeeなどの信頼されているセキュリティベンダーや、VMware、NVIDIA、HP、Realtek、Adobeなどの信頼されているテクノロジー企業などの名前を悪用しています。
ペイロードを2つに分割して検知や分析を困難にする
ブラジルのサイバー犯罪者がDLLハイジャッキングの手法を進化させていることに我々は気付きました。過去においては、このテクニックでは、信頼されているが脆弱性のあるバイナリに偽のDLLをあわせて展開する古典的な手口が使われていました。このTTP(ツール、技術、攻撃の手順)については、金融機関を狙ったブラジル産マルウェアに関連して過去にブログ記事が出ています。ケースによっては、さらに検知を回避する確率を高めようと、無効になった証明書や自分で署名した証明書を使って偽のDLLにサインしている例もありました。
2017年から2018年に確認された比較的新しいサンプルを調べたところ、検知を回避する新たな次元の手口が加わっていることがわかりました。マルウェアのペイロードを2つのコンポーネントに分割するという手法です。
- ローダー:偽のDLL。このDLLは、暗号化されたマルウェアのペイロードをメモリにロードし、ペイロードの暗号を解除して実行。
- マルウェアペイロード:暗号化されたファイル。単独では機能できず、ローダーに依存して動作。
このようにローダーと暗号化されたペイロードが共依存関係を持つことで、この性質のマルウェアの検知や分析が困難になります。マルウェアを動作させるには、両方のファイルを同じフォルダに置く必要があります。ほとんどのケースで、ローダーのDLLは自身が脆弱性のあるアプリケーションの環境で動作しているか確認し、環境が異なる場合はクラッシュします。
例No.1:DLLハイジャッキングでAviraを悪用するRemoto Overlay RAT
あるユーザーのもとに届いたメールの添付ファイルには、.lnkファイルが格納されていました。このファイルは以下のコマンドを実行し、この結果、バイナリ(reymr.exe)がダウンロードされました。
ファイルのメタデータが示すように、バイナリは攻撃者がリネームを施した署名済のAviraの製品でした。詳細は、こちらのVirusTotal linkをご確認ください。
さらに調査を進めた結果、PowerShellスクリプトはreymr.exe以外に以下のファイルも投下していることがわかりました。
| ファイル名 | 役割などの説明 | SHA-1 |
|---|---|---|
| reymr.exe | 署名された正規のAvira.SystrayStartTriggerバイナリ | 762BF93E6265B4E74BD0BFCAA447F1A619DB2F58 |
| msvcr120.dll | Microsoft®の正規のCランタイムライブラリ | F19E9D8317161EDC7D3E963CC0FC46BD5E4A55A1 |
| msvcp120.dll | Microsoft®の正規のCランタイムライブラリ | EFD1E306C1092C17F6944CC6BF9A1BFAD4D14613 |
| avira.oe.nativecore.dll | Windows Searchの命令をハイジャッキングしてマルウェアを実行する悪意のあるDLL。RestartManagerUninstall.muiの暗号を解除して内容を抽出 | 312F4DC26FD0C277F9727CE3B943123CBEB127C1 |
| RestartManagerUninstall.mui | トロイの木馬の機能を持つavira.oe.nativecore.dllの後にロードされるエンコードされたBlob | 9A944B0933F004DB012DB202BF5C2BE1E231FBB5 |
Reymr.exeには、そのインポートテーブルに、以下のようにavira.oe.nativecore.dllが存在します。
reymr.exeは実行されると、以下のように、偽のDLL(avira.oe.nativecore.dll)をロードし、マルウェアのペイロード(RestartManagerUninstall.mui)の暗号を解除します。
メインのペイロードはRemote Overlay RATであることがわかりました。Remote Overlay RATについては以前にこちらのブログで説明しています。
RUNDLL32.EXEを使用してメインのペイロードを実行
当社が監視を行っていたここ最近のいくつかのスパム攻撃では、ローダーのDLLペイロードを起動するのに、マルウェアの開発者は好んで組み込みのRundll32.exeを使用していました。DLLは実行されると、2つ目の(場合によっては3つ目の)暗号化されたバイナリをロードしてその暗号を解除します。このバイナリがマルウェアのメインペイロードになります。
例No.1:金融機関を標的とするトロイの木馬をRundll32で起動
この例では、.lnkファイルが実行された結果としてcmd.exeによって生成されたPowerShellのプロセスを確認できます。PowerShellは以下のように、悪意のあるWebサイトから2番目のペイロードをダウンロードします。
ダウンロードURL:hxxp://barca21[.]zapto[.]org/barca21/vx1.txt
PowerShellペイロードは、以下のファイルを含むZIPファイルの投下とファイルの抽出を行います。
| ファイル名 | 役割などの説明 | SHA-1 |
|---|---|---|
| Yaew.toib | ローダーバイナリ(DLL) | 3F9E9BD8330660B0DA23EE8D54787A44E53DDF65 |
| Yaew1.toib | 金融機関を標的とする暗号化されたトロイの木馬のペイロード(DLL)。エクスポートされる機能:OCSVFWBO56 | 87DBACFE8727B9DA1EACE101BEE84D06388FA7B6 |
| G | 暗号化および構成のデータ | D5E3969BB36A675CF9CE60A88ABB5C8DE7C3BD80 |
コマンドライン:
“C:\Windows\System32\rundll32.exe” C:\Users\Public\YAEW.TOIB ,,, OCSVFWBO56
ペイロードをアンパックしたところ、これは、ブラジル産Remote Overlay RATの変種のようです。これを以下に示します。
例No.2:メインのペイロードをWindows Media PlayerにインジェクションするRundll32
この例では、第2ステージのPowerShellダウンローダーが実行した内容を追跡します。
以下のように、ネットワークPCAPは第2ステージのPowerShellを示します。このPowerShellはZIPファイル(PKシグニチャ)をダウンロードします。
このZIPファイルには、OAzBrxSXRoTOBssa.dllとOAzBrxSXRoTOBssaが含まれています。
投下されたファイルの一覧
| ファイル名 | 役割などの説明 | SHA-1 |
|---|---|---|
| 1010180844353.bmp | ZIP(PowerShellが投下) | 3344EF3B32DF03057721ED6E76F276B9073A0932 |
| OAzBrxSXRoTOBssa.dll | エクスポートされるマルウェアローダー機能:dGuCCzlxnosaJBpk | C523C65C7BD9EE09360C24BC706985BA5361D724 |
| OAzBrxSXRoTOBssa | 暗号化されたペイロード | 1A86E3D82AF58DA6A3CC5B3849B7D81565945433 |
PowerShellスクリプトはZIPファイルの中身を抽出します。また、エクスポートされた関数「dGuCCzlxnosaJBpk」をポイントして、dll32.exe経由でDLLを実行します。
実行されたコマンド:
ローダーはメインのペイロード(OAzBrxSXRoTOBssa)の暗号を解除すると、悪意のあるコードをWindows Media Playerにインジェクションします。
インジェクションされたPE(MZPヘッダー)は、Windows Media Playerのメモリ領域にマッピングされます。
ペイロードをダンプしたところ、以下のRC_DATAリソースセクションからわかるように、マルウェアがブラジル系ポルトガル語設定のマシンでコンパイルされた可能性の高いことが明らかになりました。
このマルウェアは実行されると、イニシャルビーコン(
$_POST=&plug=NAO&sowin=Windows%207%20Professional%20-%206.1%20-%20760)をPOSTリクエスト経由でコマンドアンドコントロールサーバーに送信します。
メインのマルウェア以外にあわせて使用されるペイロード:OUTLOOKを標的としたマルウェアとINFOSTEALER
当社が分析を行ったマルウェアに関連して別のブラジル産マルウェアも侵害を受けたコンピューター上に確認されています。このような別のペイロードの存在から、ブラジル産マルウェアのエコシステムが垣間見えます。また、サイバー犯罪者の狙いがどこにあるのか、ある程度把握することが可能になります。
同じ攻撃において、銀行を狙うトロイの木馬に加え、暗号通貨をマイニングするマルウェアやInfostealerのほか、Microsoft Outlookを標的とするマルウェアも配布されています。なかでもOutlookを狙うマルウェアはグローバルに組織にリスクをもたらすため、特に大きな懸念となっています。
このマルウェアには、Outlookの機能を悪用するさまざまな能力があり、標的のユーザーの連絡先リストを照会することなどができます。サイバー犯罪者は通常、スパム攻撃にこの連絡先リストの情報を悪用しますが、一方で、この情報を、組織への攻撃でその情報を求めているほかの攻撃者にダークマーケットを通じて販売してもいます。
ほかのマルウェアの展開
以下の例のマルウェアは認証情報を盗み出すことをその目的としており、別のマルウェアをダウンロードしたり、Overlayフィッシングを使用したりしてその目的を達成します。マルウェアとそれを補完するコンポーネントが、%programdata%のなかに見つかりました。その内容を以下に示します。
| ファイル名 | 役割などの説明 | SHA-1 |
|---|---|---|
| Rltkapo32.exe | リネームされたMicrosoftの正規のCertmgr.exe | F18EEBAEA4460B057F5B49E8239779F1C0C05BB9 |
| Cryptui.dll | ローダーとインジェクターの役割を果たす偽のDLL | D3AE2843261528D8B4A5D6070661FE302E7A1FA9 |
| Rltkapo32.driver | メインのペイロード | 036B68413E64BE54A919916A7360B2B4142E59D0 |
| Borlndmm.dll | 正規のDelphi Borlandライブラリ | 76E3A2004E5BA7F5126FAC9922336F38E928D733 |
すでに見たように、ブラジルのサイバー犯罪者は一般にDLLハイジャッキングの手法を用いますが、このケースで脆弱性を利用されたのは、Windowsの「certmgr.exe」(Certificate Manager Tool)でした。偽のDLL(cryptui.dll)が以下のようにsvchost.exeにロードおよびインジェクションされます。これがメインのマルウェアペイロード(Rltkapo32.driver)です。
リネームされたWindows Certmgr.exe。偽のDLLをダウンロード
svchostにインジェクションされたペイロードを調査したところ、Delphiマルウェアが偽のログインフォームを標的に表示しようとする動きを確認できました。ユーザーの認証情報を盗み取るのがその目的であり、それも業務用の認証情報である可能性があります。この様子を以下に示します。
インジェクションされたsvchostプロセスはコマンドアンドコントロールサーバーと通信を行い、次のように2番目のペイロードをダウンロードします。
Mathilde.exe、SHA-1:15166EF05CB3278E388C46359835A64CFB4D29EC
Mathilde.exeは「linsoldo.cmd」と呼ばれるスクリプトを抽出するSFXファイルです。このスクリプトは、PowerShellダウンローの一種です。スクリプトの内容を以下に示します。
(SHA-1:CDE80C9D1875C97BAB89778B60E33AE30887D2E4)
スクリプトは、Amazon S3 bucketにホストされているOutlookスティーラーのPowerShellスクリプトを呼び出します。
OUTLOOKスティーラーのPOWERSHELL
ダウンロードされたPowerShellスクリプト(「Outpos.data」)の目的は、Microsoft Outlookクライアントの情報とユーザーのメールアドレスを盗み出すことにあります。主な機能は次の通りです。
- コマンドアンドコントロール(C&C)サーバーからエンコードされたコマンドを受信する
- 連絡先の一覧、受信トレイ、メール、Outlookのフォルダなどの情報をOutlookから収集する
- 収集したデータを%temp%フォルダ内の.txtファイルに書き出す
- HTTP経由でC&Cサーバーにデータを渡す
PowerShellスクリプトからの抜粋。盗まれたデータが確認できる
マルウェアの開発者がポルトガル語で残した興味深いコメント
データがあるサーバー(18.188.80.202)に渡され、XAMPPを実行するサーバーが起動されます。管理パネルには、「coringa」という名前に言及したエラーメッセージが表示されました。この内容を以下に示します。
「Coringa」は「Coringa-RAT」と呼ばれるブラジル産のRATに言及しているものと思われます。そのソースコードは誰でも入手できます。サイバー犯罪者はおそらくほかの攻撃でもこのRATを使用していると見られます。ただし、これまでに説明した攻撃のなかでは、Coringa-RATが直接使用されたケースは確認されていません。
Coringa-RATのパネル
AMAZON S3 BUCKETの中身
ダウンロードされた、Outlookを標的とするマルウェアがポイントしていたURLは、以下のようにAmazon S3 BucketのURLでした。
S3 BucketのURL:hxxps://s3-eu-west-1[.]amazonaws[.]com/teste34s2/
Amazon S3 Bucketには、ブラジルで開発された数種のマルウェアが格納されていました。第2ステージのダウンローダーや、Outlookメールスティーラー、銀行を標的とするブラジル産のトロイの木馬(Remote Overlay RAT)などです。以下にこの内容を示します。
| ファイル名 | 役割などの説明 | SHA-1 |
|---|---|---|
| outpos.data | Outlookメールスティーラー(PowerShellスクリプト) | 0657FAA51EB8417A2D63388A9BA37997A2B5F323 |
| image2.png | ZIPファイル。その中身は、脆弱性のあるNVIDIAバイナリと、金融機関を狙ったブラジル産マルウェア | B92AE70321CDB6644196DFB9827C89166AD07A3A ZIPの中身 Nvsttest.exe(正規のNVIDIAアプリケーション)- 1E32FEACF714195B5FF18772A91B1B83BB93A8F7 _.dll(ローダー+インジェクター)- 250ABE43477D34023E71469BB97B8BA9B434A562 _.prx(マルウェアペイロード)- 892895391FF68725464107C537CAAB7E668B3F79 |
| bol.png | PowerShellダウンローダー | 16FAEF11D46CFBCAFE8B58064C2C38B96950BE9C |
| Poratal.txt/Testefad.txt | PowerShellダウンローダー | E138609B66FC6B9C6C688DE6B5DC094A782C6474 |
| jardilhas.mcas | PowerShellダウンローダー | 0C2CD86F1838A48E2B71430D3314182CC2318914 |
| Cadeagod.maz | PowerShellダウンローダー | C80AD41891EFE21798CC8F04B73CC64F4D883EA1 |
| jasonfsa.vom | PowerShellダウンローダー | 174FF790DBFB5053755D5164B26CA90F1A4D7CB8 |
| juremal4l3l.dfas | PowerShellダウンローダー | D89AEFC78440710DDF0CFC91FF3BB590FF7D1C4F |
| mortlin.sdo | PowerShellダウンローダー | 9BDB62C5871E45AF57F4D9A1D94C446627FC2ECF |
Remote Overlay RATのペイロードをアンパックした結果、マルウェアが CitiBank BrasilやSafra National Bank、Banco da Amazonia、Itau Brasil 、Bradescoなどの銀行を標的にしていることが明らかになりました。この内容を以下に示します。
(SHA-1:A97B6D83589DA0ACD60E87EA9B29B84516DF7E52)
スペイン語圏の標的を狙うブラジル産マルウェア
サイバーリーズンは、ブラジルの銀行以外の金融機関の利用者を狙うブラジル産マルウェアの感染のケースを複数分析しました。これらのマルウェアの構成は、ブラジルの銀行の利用者のかわりに南米やスペインの銀行の利用者をその標的として設定されていました。
この発見は、これまでの調査レポートで説明したきたような、ブラジルのサイバー犯罪者がグローバルレベルのサイバー犯罪や各地域への脅威の拡散で果たす多様な役割を予告するものでした。ESET、TrendMicro、Kaspersky、ElevenPathがこのトピックについてさらに詳しい調査を行っています。
2018年に発生したマルウェア感染のケースから抜き出した以下の例では、スペイン語圏のオンラインバンキングユーザーも攻撃の標的になっていることがわかります。これらの国には、アルゼンチン、ボリビア、チリ、ベネズエラ、スペインがあります。サイバーリーズンは以前にも、さらに、メキシコ、ポルトガル、コロンビア、その他の南米の国々を標的としたブラジル産マルウェアのサンプルを確認していました。
例No.1:南米およびスペインを標的とするブラジル産マルウェア
(SHA-1:2058F993785B3669A4143D563A6E238A8E12C524)
ブラジルの銀行
Brazil do Banco、Santander、Itau Unibanco、Banco Bradesco、Sicredi、Unicred do Brasil、Sicoob、Banco de Inter、Banco de Nordeste、Banco Mercantil do Brasil、Caixa Economica Federal
ボリビアの銀行
Banco Mercantil Santa Cruz(BMSC)、Banco Union、Banco Nacional de Bolivia(BNB)、Banco Bisa、Banco de Crédito de Bolivia(BCP)、Banco Fassil、Banco FIE、BancoSol、Banco Ganadero、Baneco
チリの銀行
Itaú CorpBanca、Scotiabank Azul(BBVA)、Banco Falabella、Banco Edwards、Banco Ripley、Banco de Crédito e Inversiones(BCI)、Banefe(Santander)、Scotiabank、Banco Industrial y de Comercio Exterior(BICE)、Banco Internacional、Banco Consorcio
スペインの銀行
Bankia、Sabadell、Bankinter、Ibercaja、Liberbank、Abanca、Kutxabank、Unicaja、Santander、Banco Bilbao Vizcaya Argentaria(BBVA)、CaixaBank
例No.2:ベネズエラとボリビアを標的とするブラジルのスパマーおよびInfostealer
(SHA-1:BAAD23A6A7644FDCC1B24D43294D04E001BA328B)
ベネズエラの銀行
Bancaribe、Banco Fondo Común(BFC)、Banco Exterior、Banco Sofitasa、BBVA Provincial、Banco Universal、Banco Industrial de Venezuela、Banesco Banco Universal、Banco Caroní、Banco Venezolano de Crédito、Banco Nacional de Crédito、El Banco Federal
例No.3:アルゼンチンのユーザーを標的とするブラジル産マルウェア
以下に示すマルウェアのリソースから抽出した画像は、多要素認証を回避し、パタゴニアの銀行の利用者を標的とする内容のオーバーレイ画面です。
(SHA-1:92746D90584A17C25BB6B6D3A095A7A3FBE46D0E)
ブラジル産マルウェアの標的となったアルゼンチンの銀行の一覧
アルゼンチンの銀行
Banco Patagonia、Itaú Argentina、Standard Bank Argentina、Banco Macro、Industrial and Commercial Bank of China(アルゼンチン支店)、Santander Rio
当初はブラジルの銀行の利用者がその標的であったブラジル産マルウェア
調査を進めていくなかで明らかになったのは、ポルトガル語を母国語とするサイバー犯罪者がさまざまなタイプのマルウェアを開発し、そのマルウェアの当初の標的はブラジルのユーザーであったという事実です。これを裏付けるように、ポルトガル語の文字列や、ブラジルの銀行が所有する特定のセキュリティソフトウェアに言及したコメントがマルウェア内に確認されています。この内容を以下に示します。
ポルトガル語で記述されたコマンドアンドコントロールの命令
(SHA-1:2058F993785B3669A4143D563A6E238A8E12C524)
以下は、マルウェアのコードに組み込まれているコマンドのリストです。ポルトガル語の文字列が確認できます。
マルウェアがUACを回避する手順から抜粋(「UACの確認を無効にする」とのコメントを確認できる)
文字列は、オンラインバンキングの安全性を高めるためにブラジルの銀行が配布している特殊なソフトウェアに言及しており、G-buster Plugin(GbPlugin)、Aplicativo Bradesco、Aplicativo Itauの名前が挙げられています。
マルウェアのソースを探る:オープンソースのRATをもとにさまざまなマルウェアが出現
機能や文字列の類似性から考えて、サイバーリーズンでは、さまざまな種類のブラジル産マルウェアが「Delphi Remote Access PC」と呼ばれるRemote Access Tool(RAT)からコードを借用しているかそのソースコードをベースにしていると見ています。このRATはオープンソースで、Githubから誰でも利用できます。インターネットのハンドル名が「senjaxus」というブラジルのユーザーによって2015年に開発されました。また、このユーザーは共同で、AllaKoreと呼ばれる別のRATも開発しています。開発者は以下のように、このソースが悪用されたことによって生じたいかなる事態についても責任を負わないと明言しています。
ポルトガル語の内容
「このソースはRichard Maickonnが開発しました。このソースの配布はご自由にどうぞ!お問い合わせ先:senjaxus[at]gmail.com
当方は、このソースが悪用されたことによって生じたいかなる事態についても責任を負いません」
このコードは完全なリモートアクセス機能を有しているものの、銀行を標的としたり、スクリーンオーバーレイソーシャルエンジニアリングを使用したりするといったような、金融機関を攻撃するマルウェアに直接関係した機能は実装していないようです。また、金融機関を狙うブラジル産マルウェアには、仮想マシンやセキュリティ製品、ブラジル系ポルトガル語のソフトウェアを検知するといった分析を妨害する特有のコードがありますが、Githubのソースコードにはそのようなコードは含まれていません。これらの機能はオープンソースのRATのコードを利用しようとしたマルウェアの開発者が別に付け加えた可能性が高いとサイバーリーズンでは見ています。
以下では、Githubのソースコードとブラジル産マルウェアのペイロードとのコード上の類似点を具体的に説明します。
(SHA-1:BCFCECF791C47A844D07E870F58266FE0F28F0DE)
例No.2:ブラジル産マルウェアの標的となったチリの銀行のユーザー
(SHA-1:56B235985199D0DBAF8EA75B6704AF2841CB50D7)
例No.3:MPRadoリモートアクセスツール
このRATはそのベースのほとんどが、Delphi Remote Access PCのソースコードであるようですす。これはおそらく、Delphi Remote Access PCの変種と思われます。
(SHA-1:5B8DF646C2AE5EE9CD11B598FA0631AF41578C97)
まとめ
このブログでは、サイバーリーズンが2017年から2018年に確認したデータをもとに、ブラジルのサイバー犯罪者が用いるテクニックを調査し、さまざまな攻撃に共通するマルウェア配布の手口の特徴をご説明しました。
また、ツールやテクニックの分析では、それらのツールやテクニックがアンチウイルス製品の検知を回避するうえで大きな効果を発揮している点に特に焦点をあてました。
検知できる製品が少ないという結果が繰り返し確認されています。
さらには、ブラジルのサイバー犯罪者が攻撃の範囲を拡大し南米やスペインのオンラインバンキングユーザーも標的にしている点にも触れました。
そして、最後には、いくつかのペイロードをオープンソースのRATと結び付けて分析しました。このRATは、ブラジルの開発者が開発したものですが、ブラジルのサイバー犯罪者はそのコードを流用し、銀行を攻撃するさまざまなかたちのトロイの木馬に作り変えたと見られます。
セキュリティ侵害の痕跡
DOMAINS
www.actcontabilidadeltdarh[.]com
wd1g1talvivowce98[.]ddns[.]net
d1g1talvivoscaep09x[.]ddns[.]net
lvivoscaep[.]ddns[.]net/
financeirocontabiltda[.]com
hewayo[.]com
dlm[.]capemn[.]com
stot[.]irrema[.]com
dlm[.]nadolt[.]com
bacon[.]semilonn[.]com
contrato-brasil[.]hopto[.]org
Irrory[.]com
Dlminjuado[.]com
dlm[.]supote[.]com
psom[.]uticis[.]com
macos[.]revelf[.]com
s1.sleove[.]com
dlm.tinert[.]com
macos.revelf[.]com
jazy.othiak[.]com
yipe.cebeer[.]com
security[.]upesse[.]com
www[.]examedoenem[.]com
sso[.]anbtr[.]com
Www[.]movavis[.]com
Www[.]auayyertagaphgoabqigeyhsat[.]net
notificacion[.]org
URLS
hxxps://cdn[.]fbsbx.com/v/t59.2708-21/38622203_278626666261527_5981472121300189184_n.txt/loader.msi.1415.txt?_nc_cat=0&oh=f3e5a4d4218591d13784015d95f5a798&oe=5B73C975&dl=1
hxxps://ucf18b68308d0a38b496c554353b[.]dl.dropboxusercontent[.]com/cd/0/get/AOAYxd4VLLCvZ5lZ_2VQLUD93KO_p8GEm42Z-uFIqBoBSf_XFcMeFA-vgnvGhpvTKabzARrr6NPIvETHkG7jSg_35Bo9ablTRfbK2tPVbsQukqfuMMvtDljNN8nnTt9Ahp-eRqczHWhm-qaGp2BfJ2ZRMIuM3hXRbcl3NXQ-agrbpgO6NuMoA-w24mRfR3FZBfE/file?dl=1
hxxps://uca170a0c980fec5e870c5d85655[.]dl.dropboxusercontent[.]com/cd/0/get/AOCrXrpG7lb1–ypzOHG2PKmum07jCJFXdnpAt67PJVlnu8SKbwMoOcVlQYcsXtg_Y2OyAfmdS6_nb-LtaZ-Ya-8MchtHXmRrxiV7tQ258TGwxfyA3fqrBTLDEQG9qqd-hlKZaRg7xiu-vCg20q3SSmCJ5GNdxJlmKW81amy1wV5SNpI73Id61FE4D-Cm7SAX3Q/file?dl=1
Ucb6056cad19f90f56a81cf4aabe[.]dl.dropboxusercontent[.]com
hxxps://github[.]stihic[.]com/?cGBhuAyAZ6UDuIJdSOhrb8WFtI5PLgdQ2cXfe30ATnjlK6L0bndQxwBUYz4oft6IGQeMqJv/DWmhCcD1EFogJrlI+Gbc+/qcTPBalQE0BsO8jl0=
hxxps://cld[.]pt/dl/download/3fffb114-0cf2-41fd-a664-dc23129a31cc/156498Arquivo521solicitado1536714090[.]rar
hxxps://gitlab[.]com/diigitalvivosuxxs/22082018x/raw/master/clientes_anexo_seguro_senha_1425[.]rar
hxxps://gitlab.com/faturavivodigitalabi0x/210820148vivox/raw/master/cliente_anexo_seguro_senha_1425.rar
hxxps://fs13n3[.]sendspace[.]com/dlpro/60669bfbc7614b1ecb0b7988ce7b325e/5b869d74/r7un2z/clientes_anexo_seguro_senha_1425[.]rar
hxxp://serasaconsumidorexperian[.]com/consumidor?download/extrato/debitos?extrato-debitos/serasaconsumidor.html
hxxp://amazoncontabilfinan[.]com/segmentos?rastreamentoobjetos/sistemas.html
hxxp://faturasimplesltda.com/contrato
hxxp://clientesemailrh.com.br/contabil/
hxxp://consultafacilserasaexperian.com/clientes
hxxp://serasaconsumidorexperian.com/consumidor
hxxp://nfefazendaportalprincipal.com/clientes
hxxps://gitlab[.]com/nfeagosto9dyur5/300882018
hxxps://gitlab[.]com/faturavivodigitalabi0x/210820148vivox
hxxp://consultafacilserasaexperian.com/consumidor/?serasaconsumidor?gclid=EAIaIQobChMImqi3i4633QIVT4GRCh0ZBgZMEAAYASAAEgKpR_D_BwE
hxxp://lealcontabil.com/comercio
hxxp://portaltributariorhltda.com/contabilrh
http://portaldacontabilidaderh.com/002122018455320
hxxp://wsfinanceiraalfa.com/contabilrh
hxxp://portaltributariorhltda.com/htb00025518
hxxp://realizesolucoesfinanceirasltda.com/INBOX?PORTAL/FormularioDePesquisa.aspx?tipoconsulta=completa?C61BB027A724A032974585D278
hxxp://raizcontabilrh.com/100833276
hxxp://imperiocobrancasrh.com/DOCUMENTO8545006
hxxps://fairsharetraining.eu/sites/default/files/p.txt
hxxp://icog.futtsociety.com/updt1/n.php
hxxps://fairsharetraining.eu/sites/default/files/misc/ax.png
hxxps://fairsharetraining.eu/sites/default/files/misc/mg.png
hxxps://www.aguiarnopolisatacadista.com.br/stornews/?a=Z0DEXUBSWD7FE45T3JHBMMJXCW3DON98P9LY3SRT
hxxp://psom.uticis.com/6eKGNr74/crypted_loader_1516355349-g.cmd
hxxp://psom.uticis.com/6eKGNr74/loader-gestor.lnk
hxxps://gitlab.com/silvosi/ftavi
hxxp://corretorandremendes.com.br/images/contA/ponto.php
hxxps://github.com/dantealighieriii/startup/raw/master/Actualizacion_setup.version052018.zip
hxxps://github.com/dantealighieriii/startup/raw/master/Actualizacion_Complemiento%20FIashWeb.v55.3.2018.zip
hxxps://raw.githubusercontent.com/dantealighieriii/startup/master/ch.css
hxxps://gitlab.com/diigitals/v22082018x
hxxp://ch.rmu.ac.th/wp-content/plugins/ubh/auxaudioo.jpg
hxxp://ch.rmu.ac.th/wp-content/plugins/ubh/home.jpg
hxxps://ppa1.r1-cz.storage.forpsicloud.cz/Fatura-24913089743.zip?time=636766229160513717
hxxps://s3-eu-west-1[.]amazonaws[.]com/teste34s2/Outpos.data
hxxp://www[.]movavis[.]com/cgi_sys/token.html
hxxp://www[.]examedoenem[.]com/cgi_sys/token.html
hxxp://178[.]62[.]125[.]145/streamback.zip
IP ADDRESSES
134.73.90.141
134.73.90.200
185.207.204.138
34.199.8.144
108.167.168.35
178.62.125.145
18.188.80.202
HASHES
934B2F43B1D6F54A2BFD0552C853D7274C3BAB40
FAFE2261493FF6F4D10613610FD44CBB203C551A
48D3A9C5D38924378E4BF4F73305D448ACED93DF
C635004C61BF47A3986DAD5F849F46C5EF80D88B
F76C3965A659D56E1DAA5E459A41566F75B19814
6C8580FFE068FBE7F2D770151D061EF58B8F2264
35870453F773C81EC08B8D96B1365C238CA81502
A4E58D55B619D467D3AA73A714AE72591204BDB6
899CFEC36BF3168FD19F6D476C6BF6494967B53D
5B230EFF33DA4965717AB27895390EC0DB67A65B
E9C6E2F1A963A14943AB330534EC2393E8474284
AF5CCC1139860CEA9FCDD5935DDAC26688D529A3
6FE66ADC814C646ADBE60CAAA8CC9CB043AE2DB7
861CE18011DA0B5EA25174A6F53A424DC3BC2435
51A99ADBD24D516541F78D73275573AF861578DF
53F40083477836F7DDAE3A7C04D95E12F9BFF5EA
6640059E8D0E444F857B52935886E9139BECC673
018A54120A96B0350CCB157698FE87A5849374EC
F022C2620BA4C6BBF1C33C0820756E0372961AB1
C3F6F7879A4DAE7954EF52E086FF5ABCB89D4A60
87076879C74BBFC635D7D5D86D00B694DA2BA65E
BF2034CBE7E6F6A0D1365912DC8486D2F07D242A
F0C4A576A721EC3B0BBA97D46FF3C082BC32BABC
87076879C74BBFC635D7D5D86D00B694DA2BA65E
EEEBD1B7262C718D429E9A460D4D8DF2917B071A
2AE7385E5E783CD0C9BB99AE7B3D213388B81A35
E6763D651C9B6FFFF9B88A1AE9A6E6C21F42B121
0F75C296C68077F90F6BC4B7DDFD056F075C7546
1110D1D26366C952BBCE99EF2824E432078AC364
63BE4BCA20E2592C8254ECAFE3D6BF82A69B11B4
FB7CD98EF272E3A9B70CEACC4225C6B3601BF586
8E25BE3BE7A15B2DAAE9EE096DB404B562618B10
A22A6B89BA4BC0FBF86ABB8248EE4576E1AB0EBF
3F9E9BD8330660B0DA23EE8D54787A44E53DDF65
87DBACFE8727B9DA1EACE101BEE84D06388FA7B6
B47F58266C2485EAFC2C7ED6FF674A3494C0E0E5
8744F0FB86C2B1712200A42030D54C4E793BDD99
B73457CB139D9E721FDBB2F4C19359A4C03DA5CD
FECBB2E7443DEC83531F715DA5C3F256FA845131
4378C517B373F1BCF712938C6076A5EF660C8A50
AC60733518E7FE6E03E567B6A79CA15139BFEDCA
5595E36B048248092E65433A2781ECA87A6E6FC3
471ED26615AC8D6AC59AA8724FA3306B8BF9EE36
84502808DA59E62B661B731198DACD64EBEA5ED1
A1438D683D4C905072C834DD8857970B97EC3AAF
C80AD41891EFE21798CC8F04B73CC64F4D883EA1
174FF790DBFB5053755D5164B26CA90F1A4D7CB8
D89AEFC78440710DDF0CFC91FF3BB590FF7D1C4F
9BDB62C5871E45AF57F4D9A1D94C446627FC2ECF
0C2CD86F1838A48E2B71430D3314182CC2318914
A97B6D83589DA0ACD60E87EA9B29B84516DF7E52
892895391FF68725464107C537CAAB7E668B3F79
C9E7B7C2490DF4CD75F0E7BC6A32D09AD000033A
984DAE40F09C25C8BFE6BD07729D924C81FB5EAE
07CAFE5D2303A3B2F5F0DDFE052F42117A70F7AA
56B235985199D0DBAF8EA75B6704AF2841CB50D7
844342CC4B0A5FFF222A146DCE05A3E30A068F49
A5DFB83E73E1FEF0286DD515267B58A3FB4F1F55
5B8DF646C2AE5EE9CD11B598FA0631AF41578C97
43FFAA59F3B82E0BC181F6FACFEAB01485494915
3A089B4AE0BC22E6939D3F2A70BFF8C2FBAB1C9A
3C2069113E58B6403EE7CDDC1ECB33D72F6D9EA6
BAAD23A6A7644FDCC1B24D43294D04E001BA328B
ABA1D7D72DD5F9F56EE8AFF820A24BB5FADBE249
84861586C2769E10F7EA86588F0037A1F553809A
87358CC245FDF172EC532C2B1C729E1A6F9CB18E
92CAF0270E1F02BB84DB85F6B4CA30DD76F16D1C
B3E420AA5D6B3EC9564C46B51A2743AD50B1985A
ABC5BFDFE65003AA6ABDEA85B56ED56E9376C7D4
7E65C8A8EFC670E5AD5C5322A2B2D89DB2F2B05C
BBBCD44E5670753DBD0C75D75F184493514EC4A3
784AA92E0761261BB8129E0FAB239C794DBC3301
0FFABC647BBCD54191057D38C114B54406B61CF8
48091DA3A8EC8FC9CC870FC34E4A4D604A0510AB
5B3567E1CF7D85375F020CCC3E302F3949CF5732
A64E3D5613532F91010754332A6E1CA1BC2E2408
BDDAB73F58BD58ABEA4F9D7D5EA9F776E4D1B613
6508774AA547C0D8FA34E74BE8FD958A6752393E
BE234061AE9808FEF74BBC97CA500EC940F3EF05
C523C65C7BD9EE09360C24BC706985BA5361D724
1A86E3D82AF58DA6A3CC5B3849B7D81565945433
4C10EB17482865A1E0546B07997C7A76C137FE04
AAF27E727B9F661BC4C0D35C309937F4C28E3BFF
762BF93E6265B4E74BD0BFCAA447F1A619DB2F58
F19E9D8317161EDC7D3E963CC0FC46BD5E4A55A1
EFD1E306C1092C17F6944CC6BF9A1BFAD4D14613
312F4DC26FD0C277F9727CE3B943123CBEB127C1
9A944B0933F004DB012DB202BF5C2BE1E231FBB5
86C7312D9E786D89FC12973B7584F6CAF39805C3
E2F7257C50DBAC0ADC8DF48E514AF2AB9917EF9A
3723E2A328AAFB359116DFC987222C5001BF59D7
D5E3969BB36A675CF9CE60A88ABB5C8DE7C3BD80
3344EF3B32DF03057721ED6E76F276B9073A0932
52E2268A7FDBB324B3B8A78DDBDC91D05A83FE69
036B68413E64BE54A919916A7360B2B4142E59D0
D3AE2843261528D8B4A5D6070661FE302E7A1FA9
B92AE70321CDB6644196DFB9827C89166AD07A3A
B953DCF386FD2BC3E586BE2724557D5E72903B33
0657FAA51EB8417A2D63388A9BA37997A2B5F323
15166EF05CB3278E388C46359835A64CFB4D29EC
0657FAA51EB8417A2D63388A9BA37997A2B5F323
B92AE70321CDB6644196DFB9827C89166AD07A3A
16FAEF11D46CFBCAFE8B58064C2C38B96950BE9C
E138609B66FC6B9C6C688DE6B5DC094A782C6474
250ABE43477D34023E71469BB97B8BA9B434A562
1FECA0C9E12B110F16CFB6A4CC7556B90FFAE5F6
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606
