ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用
問題のExcelファイルではマクロを悪用。保護ビューでは攻撃が成立しないため、マクロが動作するようファイル内に「コンテンツの有効化」を行うよう指示を記載している。
命令の伝達に利用されたファイルを画像として表示したところ。先頭部分に命令が仕込まれていた。赤線は解析したCrowdStrikeによるもの
メール受信者が指示に従ってマクロを有効化してしまうと、VBAコードによる難読化ルーチンを起動。さらに「PowerShell」を実行し、攻撃へ気が付かれないよう、命令を埋め込む「ステガノグラフィ」を施した画像ファイルをダウンロードした上で解析、命令を受け取っていた。
さらに受け取った命令に従い、実行された地域をチェック。ユーザーエージェントをブラウザに偽装した上で、外部より「URLZone」「Shiotob」といった名称でも知られるマルウェア「Bebloh」をダウンロードし、実行させていた。
同マルウェアは、コマンド&コントロールサーバから命令を受け取り、さらに別のマルウェアをダウンロードさせるという。ダウンロードされる具体的なマルウェアは特定されていないが、過去の事例では、同じく不正送金マルウェアで、「Gozi」「DreamBot」「Snifula」「Papras」としても知られる「Ursnif」をダウンロードしていた。
今回、攻撃グループが「ステガノグラフィ」を活用した点についてCrowdStrikeは、セキュリティ製品の検出を回避し、感染率を改善させる手法の開発に取り組んでいることを示唆していると指摘している。
(Security NEXT - 2018/11/01 )
ツイート
関連リンク
PR
関連記事
北朝鮮の攻撃グループ、「Bluetoothデバイス」情報を収集
画像ファイルに悪用コード隠す「ステガノグラフィ」 - 無償ツールが拡大後押しか
IEに未修正の脆弱性、APT攻撃に悪用との指摘
IEゼロデイ脆弱性、1年半以上にわたりマルバタイジングが検知回避に利用
「Emdivi」拡散に「Angler EK」を使用か - 「ZeusVM」にも
1日平均3066件の悪質サイトを検知、前年から2割増 - メッセージラボ2010年まとめ
プロトン、暗号化やダミーファイルで重要情報を守るセキュリティソフトを発売