トレンドマイクロは、不正広告キャンペーン「ProMediads」で、新しい脆弱性攻撃ツール(エクスプロイトキット)を利用した活動を確認しました。弊社は、この新しいエクスプロイトキットを「Sundown-Pirate Exploit Kit(Sundown-Pirate EK)」と名付けました。Sundown-Pirate EK は、以前から存在するエクスプロイトキット複数を元にして新しく作成されたものです。
2016年に既に活発だった ProMediads の不正広告キャンペーンは、当時、「Rig EK」と「Sundown EK」をマルウェア拡散に利用していました。その後2017年2月中旬に活動が減少しましたが、6月16日に Rig EK を利用し再び活動を開始しました。そして6月25日、ProMediads が今度は Rig EK から Sundown-Pirate EKに切り換えたことが確認されました。
Sundown-Pirate EK はこれまで、ProMediads に限定して利用されています。このことから、Sundown-Pirate EK は「ShadowGate」のキャンペーンの際に限定利用された「GreenFlash Sundown EK」のような、閉鎖的なグループ内でのみ利用されるエクスプロイトキットと言えるかもしれません。
トレンドマイクロの解析および監視から、Sundown-Pirate EK は、以前から存在する「Hunter EK」と「Terror EK」のコードを流用していることが明らかになりました。また、JavaScript の難読化については「Sundown EK」と類似しています。このように、Sundown-Pirate EK は、既存のエクスプロイトキットの機能を寄せ集めて作成された新しいエクスプロイトキットであることが確認されています。
ProMediads のコントロールパネルには、Sundown-Pirate EK の名前の由来となる文字が含まれています。トレンドマイクロはセキュリティリサーチャの kafeine氏と共に、パネルに表示された「PirateAds – Avalanche Group」と書かれたログイン画面を確認しました。
図1:ProMediads のコントロールパネル
図2:ProMediads の不正広告の例
■拡散するマルウェア:ボットネットや情報窃取型マルウェア、PoSマルウェア、ランサムウェアなど多様
ProMediad は、Sundown-Pirate EK への誘導後、さまざまなマルウェアを拡散します。例えば 2017年6月25日、Sundown-Pirate EK は、「SmokeLoader(スモークローダ)(TROJ_SMOKELOAD.Aとして検出)」を拡散していました。このマルウェアは、情報収集型マルウェアでボットネットを構築する「Zyklon(ザイクロン)(「TSPY_ZYKLON.C」として検出)を感染PC にインストールしました。
次に 2017年7月12日までに、拡散するマルウェアを POSマルウェア「LockPOS」に変更しました。「LockPOS」は、元はオンライン銀行詐欺ツール「ZBOT」のコードを流用したマルウェアで、クレジットカード情報や販売時点情報管理(Point of sale 、POS)」を狙う「Flokibot」との関連性が報告されています。
今回弊社が確認した LockPOS は、仮想通貨発掘のためのソフトウェア「CPUMiner-Multi」をインストールすることを確認しました。 しかし、CPUMiner-Multi が特に POSシステムを対象としているとは考えておらず、おそらく POSシステムをゾンビ化して仮想通貨発掘に利用するために LockPOS を利用していると考えています。今回確認された LockPOS は、バックドア機能を備え、ボットマスターからのコマンドを C&Cサーバへ送受信します。
その後、7月13日、Sundown-Pirate EK は暗号化型ランサムウェア「STAMPADO(スタンパド)(RANSOM_STAMPADO.Kとして検出)」を拡散し始めました。
図3:LockPOS を拡散する Sundown-Pirate EK(2017年7月12日)
図4:LockPOS は CPUMiner-Multi をダウンロードし、エクスプローラのプロセスに追加する
■ProMediads、SmokeLoader、Flokibot 、LockPOSの交友関係
ProMediads は、2016年からエクスプロイトキットを利用して特定の SmokeLoader の亜種を拡散しています。この SmokeLoader の背後にいるサイバー犯罪者は、ProMediads の背後にいるサイバー犯罪者と交友関係があると推察されます。また最近では SmokeLoader が上述した Sundown-Pirate EK の拡散する LockPOS と同じ亜種を拡散し始めています。
Kafeine氏によると、2016年8月に ProMediads によって拡散された Flokibot は、翌9月にアンダーグラウンド市場のフォーラムで販売されていました。現在、Flokibot と ProMediads のキャンペーンではどちらも LockPOS を拡散しています。このように、サイバー犯罪者間の交友関係が利用するマルウェアに影響していると見られます。
図5:SmokeLoader を拡散する ProMediads(2017年1月24日)
図6:LockPOS をインストールする SmokeLoader(2017年7月中旬)
■被害に遭わないためには
Sundown-Pirate EK は、以下の Internet Explorer(IE)の脆弱性3つと Flash の脆弱性1つを利用します。
脆弱性識別子 | セキュリティ情報 | セキュリティ更新プログラム公開日 |
CVE-2013-2551 | MS13-037 | 2013年 5 月 15 日 |
CVE-2014-6332 | MS14-064 | 2014 年 11 月 12 日 |
CVE-2016-0189 | MS16-051 | 2016 年 5 月 11 日 |
CVE-2015-7645 | APSA15 | 2015 年 10 月 14 日 |
しかし、脆弱性が確認されれば、更新プログラムも迅速に公開されます。注意喚起によってセキュリティに対する認識が向上し、ユーザが対策に務めるようになれば、脆弱性を狙う攻撃の成功率は低下します。この傾向は最近、特にゼロデイや比較的新しい脆弱性を利用するエクスプロイトキットの活動が減少していることからも明らかです。
さらに、これらのエクスプロイトキットは Chrome や Firefox のWebブラウザに対して効力がありません。これらのブラウザでは、Flash Player が標準設定で無効になっています。また、有効にした場合でもセキュリティ機能によって不正な Flashコンテンツが抑止されます。例えば、Firefox では Web API や保護モード、Chrome であればサンドボックス化などの保護機能が働きます。
しかし一方、非常に多様なマルウェアを拡散できる Sundown-Pirate EK は、依然としてサイバー犯罪者にとって使い勝手のよいエクスプロイトキットです。エクスプロイトキットの攻撃から保護するためには、ユーザはシステムを最新の状態に更新しておくことが重要です。更新プログラムが公開済みであるにもかかわらず、システムやネットワークのセキュリティ上の不具合や脆弱性を放置することは、サイバー犯罪者に攻撃するすきを与えることになります。
また、企業の情報セキュリティ担当者およびシステム管理者は、システムやネットワークセキュリティ対策の追加を検討してください。ファイアウォール、侵入検知と防御システム、仮想パッチ、URLフィルタ、しっかりとした更新プログラム管理方針の導入などは、脆弱性を突く攻撃から防衛するためのベストプラクティスの一部です。
■トレンドマイクロの対策
法人向けのエンドポイント製品「ウイルスバスターコーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のマルウェアであってもその不正活動を検知してブロックできます。特に「ウイルスバスターコーポレートエディション XG」はクロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。
トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド」は、不正なファイルやスパムメールを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。
侵入の痕跡(Indicators of Compromise、IoCs)
Sundown-Pirate EKに関連する IPアドレスおよびドメインは、以下のとおりです。
- 7wu93ksh29qpl70nas0[.]win
- 178[.]159[.]36[.]91
SmokeLoader のC&C サーバのドメインは以下のとおりです。
- livespirit[.]at
- springhate[.]at
LockPOS のC&Cサーバのドメインは以下のとおりです。
- p00l[.]livespirit[.]at
ProMediadsに関連する ドメインは、以下のとおりです。
- multiplus[.]site
関連するハッシュ(SHA256)は以下のとおりです。
- 4199d766cee6014fd7a9a987b4ccea3f8d0ed0fba808de08b76cda71e40886b5 (TROJ_SMOKELOAD.A)
- f569172166a19c06b3efa1f75d02b143539cd63a53d67bc066d28f8fd553ba8e (TSPY_ZYKLON.C)
- 3fa54156ae496a40298668911e243c3b7896e42fe2f83bc68e96ccf0c6d59e72 (BKDR_LOCKPOS.A)
- 931092a92ffaa492586495db9ab62dd011ce2b6286e31e322496f72687c2b4ef (HKTL_COINMINER)
- 109e89148945d792620f4fc4f75e6a1901ba96cc017ffd6b3b67429d84e29a3c (Ransom_STAMPADO.K)
※調査協力:ProofPoint のセキュリティリサーチャ Kafeine氏および Chaoying Liu
参考記事:
- 「ProMediads Malvertising and Sundown-Pirate Exploit Kit Combo Drops Ransomware and Info Stealer」
by Joseph C Chen (Fraud Researcher)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)