概要
弊社ではCyber Tactical Databaseという脅威情報配信サービスを提供していますが、そのためのThreat Huntingの一環として、Drive-by Download攻撃の観測・解析を行っています。これまで日本を標的としたDrive-by Download攻撃キャンペーンとしては、Seamlessと呼ばれるRIG Exploit KitとRamnitを用いた攻撃キャンペーンが知られていました。SeamlessはCisco Umbrellaによって報告され、Malwarebytesなど様々な研究者がレポートを公開してきました。弊社の小池もこれまでに2度SeamlessとRamnitについての調査レポートを公開しています。しかし、Seamlessは2018年3月末頃から観測報告が減少し、現在ではその活動は停止したのではないかと考えられています。Seamless localized to Japan - www.nao-sec.org
Analyzing Ramnit used in Seamless campaign - www.nao-sec.org
そうしたSeamlessとは入れ違いに台頭し、日本を標的としている攻撃キャンペーン(我々は"PseudoGate"という名称で識別しています)を、弊社では2018年7月頃から観測しています。PseudoGateはRIG Exploit KitやGrandSoft Exploit Kitを用いてPanda BankerやKronosなどのBanking Trojanを送り込みます。それらのBanking Trojanは主に日本の金融機関のWebサイトを閲覧した際に悪性コードを挿入し、ユーザが入力した機密情報を窃取します。
今回はPseudoGateのトラフィックの全貌と、実行されるBanking Trojanについて行った調査・解析について紹介します。
トラフィック解析
PseudoGateはMalvertising系のDrive-by Download攻撃キャンペーンです。ユーザはWeb広告によって様々なサーバをリダイレクトした後、攻撃者が用意したWebサイトへ到達します。そのWebサイトは元々は正規のWebサイトですが、攻撃者によって改ざんされており不正なコードが挿入されています。そうしたコードによってRIG Exploit KitやGrandSoft Exploit Kitへリダイレクトが行われ、攻撃が行われるという流れです。
PseudoGateのトラフィックチェーン(GrandSoft Exploit Kit)
PseudoGateのトラフィックチェーン(RIG Exploit Kit)
PseudoGateで用いられている改ざんされたWebサイト(以下、Compromisedサイト)は非常に高頻度で変化します。我々が観測したCompromisedサイトの一部を以下に示します。
- http[:]//www.gaibandhachamberbd.com
- http[:]//envirodry.ca
- http[:]//www.lucascontabil.com.br
- http[:]//www.sobages.com
- http[:]//www.stylehog.ca
- http[:]//pmconsultors.com
- http[:]//bleeppod.com
- http[:]//balmyfurniture.com
これらのCompromisedサイトに共通する要素として、WordPressを用いているということが挙げられます。また、Google検索を経由してこれらのCompromisedサイトへアクセスした場合、以下のように全く関係のないWebサイトへリダイレクトが行われることもありました。
Google検索の結果
リダイレクト処理
リダイレクト先の例
IEでアクセスした場合、Compromisedサイトには以下のようなコードが挿入されており、RIG Exploit KitやGrandSoft Exploit Kitへリダイレクトが行われます。
Compromisedサイトに挿入されたコード
RIG Exploit Kitの場合、CVE-2015-2419やCVE-2016-0189などの長く悪用されてきた脆弱性に加えて、Adobe Flash Playerの脆弱性であるCVE-2018-4878やVBScript Engineの脆弱性であるCVE-2018-8174といった最新の脆弱性を悪用することでマルウェアを実行させます。GrandSoft Exploit KitではCVE-2018-8174のみが悪用されます。こうして様々な脆弱性を悪用してユーザ環境でマルウェアをダウンロード・実行させています。
EKTotalによる解析結果
RIG Exploit KitにおけるCVE-2018-8174のコード例
マルウェア解析
初めに実行されるマルウェアはSmokeLoaderです。SmokeLoaderはユーザ環境が攻撃ターゲットであることを確認すると、2次検体をダウンロードし、実行します。我々はPanda BankerとKronosの2種類の2次検体を確認しています。Panda Banker
我々が発見したPanda Bankerについて、Flashpoint-IntelのVitali Kremez氏が詳細な解析レポートを公開しています。詳細はそちらを参照して下さい。Let's Learn: Dissecting Panda Banker & Modules: Webinject, Grabber & Keylogger DLL Modules - Vitali Kremez
Kronos (Osiris)
Kronosは2014年頃に大きな話題となったBanking Trojanで、2017年夏にMalwareTechの愛称で知られるMarcus Hutchins氏がKronosの作成に関わったとしてFBIに逮捕されたことは記憶に新しいでしょう。今回観測された検体がKronosであることは、その特徴的な挙動やバイナリ内に存在する文字列から明らかでしたが、幾つか我々の知らない振る舞いが確認されました。その特徴の1つとして、C2との通信にTorを用いていたことが挙げられます。
SmokeLoaderとKronosのトラフィック
Kronosに関しても、我々のtweetを参照したレポートがProofpointによって公開しています。
Kronos Reborn - Proofpoint
このレポートによると、我々が観測したKronosはOsirisという名前で販売されていた可能性があることが分かります。また、レポートにかかれているC2サーバについて調査を行った結果、Full Info Grabberが動作しており、日本の金融機関を標的としているように思えるJavaScriptコードが存在しました。標的となっている可能性のある機関の一部を以下に示します。
- イオン銀行
- エポスカード
- 出光クレジット
- ライフカード
- 三菱東京UFJ銀行
- OMCカード
- オリコカード
- ポケットカード
- 楽天カード
- セゾンカード
- 三井住友銀行
- トヨタカード
- UCカード
結論
日本を標的としたDrive-by Download攻撃キャンペーンであるPseudoGateは、Panda BankerやKronosを用いて、ユーザの金融機関情報を窃取しています。正規のWebサイトを改ざんして攻撃を行っていたり、アップデートされたKronosを用いることで高度な攻撃を行っています。攻撃には一般的なExploit Kitが用いられていますが、弊社のCyber Tactical Databaseではそれらの最新のIOC情報を提供しており、攻撃の検知・遮断等に活用することが可能です。
Cyber Tactical Database - 株式会社アクティブディフェンス研究所
IOC
RIG Exploit Kit
- 188.225.10.225
- 188.225.32.211
- 188.225.18.200
- 5.23.54.158
- 176.57.208.166
- 188.225.36.15
- 188.225.26.251
- 188.225.56.133
- 188.225.11.110
- 188.225.26.110
GrandSoft Exploit Kit
- 185.17.122.166
SmokeLoader
- a021999d1153d87f8f21eb98fe4d34dd3d6b38eed28b831c0b5302f630e482c3
- 582f1533d05d514fb4523220ce47b4a3d4e18f47eead75316fd4c49687d84a8b
- 11268bd6156fef367ce50abb98512123e3128423a6c21474b90e7248a9b95782
- f44390ffb91a02f0ae930e226ffcaa92e68304fd87dafce10373415f5f01b978
- a85f9882b92d6714cf8a24b1f93a773ce9d16aced7b3fc8f2bef69d1cb956ea0
- 639151b788ebadee1417819763037d396a5b6e5ec59e25ca5ae43c08702f2ba6
- adcf1d2909fea4e4cf77f65511e88c507e033f6e3b6b2b4aebe5c39a0bbe34c1
- d4abb62b878a78f7a0c621e29c742bf9132e4cb787b8db5cacb5efb46039a2cd
- 41964307a2cf2f0a140ef77fbca9f3450c20a333be00071e2d3d2d452cc167ac
- 8a12b9d27989b30e49aaf3d3b0d95b470e8ac7b5b236a9ce95e04b983509fd7c
- http[:]//lionoi.adygeya.su
- http[:]//ionoiddi.mangyshlak.su
- http[:]//eee6t087t9.website/loader.exe
- http[:]//fritsy83.space/loader.exe
Panda Banker
- 5d8d681d912ff3a3cdf67eb699dbce67c2c48065f966f752347d8577ff00b0d8
- 6e131928aee8964f5226cbe0a030f6a553f2a05dd21053e7b29663dbf28b016e
- 70e4ac413fbfa43be60342bb573feceacbd44e807693fb3f42c5c97e44593e3d
- http[:]//fritsy83.website/1ypegnysafoexypaszoxy.exe
- http[:]//cna8a9.space/5fewucaopezanxenuzebu.exe
- http[:]//mioei4.adygeya.su/padnd78s.exe
Kronos (Osiris)
- 75769405a034d7db09b54b9e227722692a106dd5dc4acf48a60c70cbdc8e3f12
- 19dee4aada3c9bd146396ae0ac6d10eef54ce617d56a05301bdc8b8161936d60
- http[:]//oo00mika84.website/Osiris_jmjp_auto2_self.exe
- http[:]//oo00mika84.website/Osiris_jmjp_auto2_noinj.exe
---
筆者
特任研究員 小池
株式会社アクティブディフェンス研究所
https://www.activedefense.co.jp