脅威のスポットライト:日本を標的にしたURLZoneマルウェアのキャンペーン

By Masaki Kasuya

調査:サイランス脅威ガイダンスチーム 糟谷正樹

URLZone は、この10年来セキュリティ業界を悩ますほど流行していましたが、2018年にいたってもその傾向は変わりません。2009年に初めて登場したこのバンキングマルウェアは、ここ数年、多数の攻撃に使われ、活発に活動しています。

URLZoneは、従来からあるマルウェアの感染の常套手段が今日でも有効であることを示しています。URLZoneの感染にはフィッシングメール使われ、ユーザが添付ファイルを開いてしまうとマルウェアのペイロードがダウンロードされます。

また、最近の日本企業への攻撃で見られたように、このトロイの木馬は、プロセス・ホローイングの手法を使い、また他のマルウェアをダウンロードします。

本ブログで解析したURLZone

URLZoneは、登場してからほぼ10年間絶え間なく脅威としてあり続けてきました。この成功体験によって、攻撃者は好んでこのマルウェアを使うようになりました。サイランスは2018年2月から4月にわたって、 このマルウェアを使ったアクティブな複数の攻撃を見つけました。大部分は日本を標的とする攻撃でした。

サイランスは表1にあるように、今年の2月から4月に発見されたサンプルを解析しました。

表1:この攻撃に使われたURLZoneの10個のサンプル

下の図1はURLZoneの被害企業数とURLZoneが発見された日付を日本と日本以外に分けてプロットしたものです。特に3月15日は被害が急増し、8企業が被害にあっています。この図にあるように、この期間日本企業が標的にされていることがわかります。

図1:日本企業 (JP) とそれ以外の地域の被害、2018年2月-4月の URLZoneの検知

URLZoneの感染には、不正な添付ファイルのあるフィッシングメールが使われます。添付ファイルにあるMicrosoft Officeドキュメントを開くと、図2と図3にあるようなマクロが実行され 、その結果不正なファイルがリモートからダウンロードされ実行されます。

図2:難読化されたマクロコード

図3:難読化されたマクロをデコードしたもの、PowerShellスクリプトが見られる

URLZoneが実行されると、以下のシステム情報をチェックし、サンドボックス等の環境で実行していないことを確認します。

  • CPU情報
  • SandboxIE 検知
  • VideoBiosVersionの確認
  • VMWareのレジストリ情報
  • テスト用のディレクトまたはファイル名が使われているか確認
  • IsDebuggerPresent の確認

ファイルのプロパティには、解析者に対する欺瞞工作として、正規のファイルであるように見せかけた情報が見られました。

図4:URLZoneがDropboxと見せかけている様子

同様に解析した10個の実行ファイルのうち 8個のファイルに正規のファイル名と見せかけるプロパティ情報がみられました。表2は、その特徴を列挙したものです。

表2:URLZoneの検体に見られるCompany name

技術的解析

図5はURLZoneの動作を示したものです。すでに述べたように、フィッシングメールの添付ファイルであるMicrosoft Officeのドキュメントには不正なマクロがあり、これが実行されると、powershellスクリプトを介してURLZoneがダウンロードされ実行されます。

次に、プロセス・ホローイングのために “explorer.exe” または “iexplorer.exe” が実行されます。その後、コマンド & コントロール (C2) サーバに接続し、追加のマルウェアをダウンロードします。4月の攻撃では、URLZoneはCutwailとUrsnifと呼ばれるトロイの木馬をダウンロードしていました。


図5:URLZone攻撃サイクル, 2018年4月の攻撃

プロセス・ホローイング

URLZoneはプロセス・ホローイングというテクニックを使って、正規のプロセスに不正なコードを挿入します。このマルウェアは解析環境で実行していることを確認すると、すぐに終了します。次に、“explorer.exe” または “iexplorer.exe” プロセスを生成し、シェルコードを挿入します。

1.  OpenFileMappingA を呼び、共有セクションへのハンドルを取得します。

2.  MapViewOfFile を呼び、メインのペイロードをホローイング対象のプロセスにマップします。

3.  VirtualAlloc をPAGE_EXECUTE_READWRITEの引数で呼び、メモリー領域を実行可能にします。そして、URLZoneのペイロードをメモリー領域にコピーします。

これで不正な動作がホローイング対象のプロセスで実行可能になりました。次に、新たなエントリーポイントにジャンプし、“explorer.exe” または “iexplorer.exe” プロセス上にあるURLZoneを実行します。図6の例では、EAXレジスタに指定されたアドレス0x00489080にジャンプします。

図6:URLZoneが実行されるところ

URLZoneの動作については、他の研究者によって詳細に調べられています [1,2,3].

追加の脅威

URLZoneはC2サーバからURLを取得し、そのURLから追加のマルウェアをダウンロードすることがあります。4月の攻撃では、hXXp://www[.]kentaur[.]cz/soubory/animace/malware_file_name.exeから、次の2つのマルウェアがダウンロードされていました。なお、このURLは一ヶ月にわたって有効でした。

  • Cutwail (2A30D7B76E3DCC10861526F83FB060A12485A974626BEA8872CF2A012E25333A)
  • Ursnif (460B518DA8BFB1305D49CF1C8991561CB5461911D407ECB800A538AEB0B333F6)

他の研究者によるブログ[4]でも、2016年中頃よりURLZoneがUrsnifとCutwailをダウンロードしていたと報告しています。この傾向は現在でも続いていることを確認しました。

URLZoneに対するサイランスの対策

CylancePROTECT®は、URLZoneの今回の攻撃に使われたすべての亜種のサンプルを検知します。サイランスでは、攻撃者によるTTP、つまり、戦略 (tactics)、技術 (techniques) そして手法 (procedures) を、AI・数理モデルの学習に使っており、 防御に役立てております。

CylanceOPTICS™においても、図7にあるように、プロセス・ホローイングに対するルールを記述することでURLZoneを防御することが可能です。


図7:Cylance OPTICSとカスタムルールによるURLZoneのブロック

カスタムルールによって、マルウェアがローカルにファイルを保存したり、スクリプトを起動したり、“explorer.exe” または “iexplorer.exe” プロセスを生成したりすることをブロックすることができます。

まとめ

このブログにおいて、最近の日本企業に対するURLZoneの攻撃について説明しました。4月の攻撃では、URLZoneは、Cutwail (Pony またはPushdo) とUrsnif (Gozi) をダウンロードしていました。攻撃の背景については不明ですが、この3つの脅威が関連していること、CutwailボットはURLZoneを配布するための重要なインフラであることは確かなようです。

攻撃対象の組織は、基本的なセキュリティ警戒を常に怠らず、重要な運営システムにアクセスするスタッフやその他の関係者に対してフィッシング対策の教育などを実施する必要があります。また、本ブログの攻撃においては、不正な添付ファイルを開かなければ、URLZoneに感染することはありません。

Indicators of Compromise (IOCs)

• URLZoneをダウンロードするMS Excel ファイル
    o  5BEDB91485726A2B383FECD14B21F6E4BFA7B6D14ADCB18B1B753B6510C69BD1
    o  7877785242AD6777C98AF76EBED8522E04FAD40489C0CA667398B02D54C69D2A
    o  F709B658F57AE5D561C419A4EF6D71B809E97BFD8876CAC26D9B2E40233907FF
    o  8B93EB0C322299ACEBE65E6014ACCDC02F289E3A4BF411783E8BFCD01E887174
    o  2D8520840D7577A21BDF278B059CC836432E4AFA11F6172949A8BD26B703ADFA
    o  140D47BB29C91672318E78B14D50B0710C200BEE8F74CFFB2BB0D672DD01E444
    o  F29AFA4665C7D226D093D083A72431237B76C9DBB10BF531C3EAA56090ECF277

• URLZone実行ファイル
    o  81A9BEB4209250FE7169805E60AD1915BDAAF45926D0D82E820B36E0515F6831
    o  A041C5E65A76301656BE927D2BA92BC5A42567D7EE649E4A0C767D78254B29F7
    o  192DB4F6BCAE16A78C0C7544A3653A597C4CE05F8B8773F2553414C42BDDAA51]
    o  03870D02ACC6E280B035822949DC6CC3B576CBC487497D0F358C3E05D969A23A
    o  47F23E26E7258DAF6F4669F0183187C3435208675E64F1FA9521BEBED38A9D61
    o  79051CFE2B37DDC439C18BC0C1856958DD026A7A6DD0A24DE4222D91DBFDA22C
    o  6FD04B0C6EA295F5617F83896B8CE243909A77A9DA4E876C0F8E6E414BDEFFC3
    o  0881B599357FB4CEC8B477696C6B34645F36B48BC457DC7CE5E7978DA3C3BF10
    o  6722651E7C144658933C7EA6D1011D2662CDA29CF03A3737BCABD4B4ED54710D

• Cutwail実行ファイル
    o  2A30D7B76E3DCC10861526F83FB060A12485A974626BEA8872CF2A012E25333A

• Ursnif実行ファイル
    o  460B518DA8BFB1305D49CF1C8991561CB5461911D407ECB800A538AEB0B333F6

• URLZoneの実行ファイがあるURL
    o   hXXp://diverdonis[.]com/xambu
    o   hXXp://vafersoma[.]com/sam32
    o   hXXp://ralepirano[.]com/fanspeed
    o   hXXp://nometana[.]com/trms
    o   hXXp://holdoc[.]com/press
    o   hXXp://mogeronta[.]com/mxdn
    o   hXXp://bobindrama[.]com/hope
    o   hXXp://holdoc[.]com/lantrace

• URLZoneのC2サーバ
    o   colobinar[.]com / 150[.]109[.]49[.]214 (China)
    o   rebinodar[.]com / 49[.]51[.]133[.]156 (China)
    o   donobiran[.]com / 49[.]51[.]13[.]189 (China) or 35[.]188[.]197[.]118 (United States)
    o   velis[.]at / 92[.]53[.]77[.]102 (Russian Federation)

• Cutwail 実行ファイルのURL
    o   hXXp://www[.]kentaur[.]cz/soubory/animace/htrprt[.]exe

• Ursnif 実行ファイルのURL
    o   hXXp://www[.]kentaur[.]cz/soubory/animace/mtru[.]exe

• CutwailのSMTP server
    o   gmail-smtp-in[.]l[.]google[.]com
    o   smtp[.]live[.]com
    o   smtp[.]mail[.]yahoo[.]com
    o   smtp[.]sbcglobal[.]yahoo[.]com
    o   smtp[.]directcon[.]net
    o   mail[.]airmail[.]net
    o   smtp[.]compuserve[.]com

• ミューテックス
    o   \Global\Uz(random 8 alphanumeric characters)

• プロセス・ホローイングの共有セクション
    o   (random 8 alphanumeric characters)_section

• その他文字列
    o   #EndSecGValue#
    o   EXEUPDATE
    o   INJECTFILE
    o   CMD0
    o   >CV 79\r\n>DI\r\n>LD hXXp://www[.]kentaur[.]cz/soubory/animace/htrprt[.]exe\r\nINJECTFILE 0\r\n
    o   ?tver=708992537&vcmd=0&cc=0&hh=00000000&ipcnf=(Victim IP Address(es))+&sckport=0&pros=0&keret=04090409;&email=

参考資料

本ブログの英語版はこちらのWebサイトでご覧いただけます。

著者について

 

Tags: