サイバー犯罪集団「TA505」によるスパムメール送信活動で新しいマルウェア「Gelup」と「FlowerPippi」を確認

サイバー犯罪集団「TA505」に関する最新の調査以来、ここ数週間にわたってさまざまな国を狙う同集団の活動が確認されています。TA505は、アラブ首長国連邦(UAE)やサウジアラビアのような中東の国、インド、日本、アルゼンチン、フィリピン、そして韓国のようなその他の国を狙っていることが判明しました。

本記事では、TA505の活動に関する新しい情報と侵入の痕跡(Indicators of Compromise、IoCs)、最新の手口、そして特に2019年6月に確認された活動の手順について解説します。また、今回新しく確認された2つのマルウェアの解析も行いました。

「Gelup」(「Trojan.Win32.GELUP.A」として検出)は6月20日の活動で利用されました。このマルウェアは「ユーザー アカウント制御(UAC)」を回避し、その他の脅威を読み込むローダとして機能します。また、以前の活動で利用された遠隔操作ツール(Remote Access Tool、RAT)「FlawedAmmyy RAT」と同じパッカーを使用しています。「FlowerPippi」(「Backdoor.Win32.FLOWERPIPPI.A」として検出)は、日本、インド、そしてアルゼンチンを狙った活動で利用が確認された新しいバックドア型マルウェアです。GelupおよびFlowerPippiに関する、感染の流れやコマンド&コントロール(C&C)通信を含む詳細な解析結果は技術的概要を参照してください。

■UAEを狙った攻撃

2019年6月11日に確認されたスパムメール

TA505は6月11日、中東および北アフリカを狙いスパムメールを送信しました。スパムメールの90%以上はUAE、サウジアラビア、そしてモロッコで確認されました。

中東を狙ったTA505によるスパムメール

図1:中東を狙ったTA505によるスパムメール

このスパムメールには「.html」または「.xls」ファイルが添付されていました。このHTMLファイルは不正なExcel 4.0マクロが埋め込まれた別のExcelファイルのダウンロードに誘導します。このExcel 4.0マクロはペイロードとしてFlawedAmmyy RATをダウンロードする「.msi」ファイルをダウンロードします。直接「.xls」ファイルが添付されている場合、ExcelファイルにはVBAマクロが含まれていました。このVBAマクロは、同様にFlawedAmmyy RATをダウンロードする「.msi」ファイルをダウンロードします。図2はこの攻撃の感染の流れです。

FlawedAmmyy RATをダウンロードさせるスパムメールの感染の流れ

図2:FlawedAmmyy RATをダウンロードさせるスパムメールの感染の流れ

これに類似した活動が6月13日に確認されています。この活動では、HTMLファイルとExcelファイルに加えて「.doc」ファイルも利用されていました。

2019年6月13日に送信されたスパムメール

図3:2019年6月13日に送信されたスパムメール

不正な文書ファイルをダウンロードするHTMLコード

図4:不正な文書ファイルをダウンロードするHTMLコード

2019年6月14日に確認されたスパムメール

6月14日にも類似した手口で中東を狙う活動が確認されましたが、この活動ではスパムメールの一部はボットネット「Amadey」を利用して送信されました。また、ウィザードファイル(拡張子「.wiz」)を利用も確認されました。最終的なペイロードは、FlawedAmmyy RATでした。

2019年6月14日に確認されたスパムメールの検体

図5:2019年6月14日に確認されたスパムメールの検体

2019年6月18日に確認されたスパムメール

6月18日に送信されたスパムメールの大多数には「Your RAKBANK Tax Invoice / Tax Credit Note」または「Confirmation」という件名が付けられていました。

2019年6月18日に確認されたスパムメールの検体

図6:2019年6月18日に確認されたスパムメールの検体

この活動では上述した「.html」ファイル、VBAマクロが埋め込まれた不正なExcelまたはWordファイル、ペイロードとしてFlawedAmmyy、そしてAmadeyが利用されました。

マルウェアが埋め込まれた「.doc」ファイルをダウンロードするHTMLコード

図7:マルウェアが埋め込まれた「.doc」ファイルをダウンロードするHTMLコード

その後、Simple Mail Transfer Protocol(SMTP)の認証情報を窃取する情報窃取型マルウェア「EmailStealer」が利用されるようになりました。トレンドマイクロはC&Cサーバにおいて少なくとも数百のSMTPの認証情報を確認しています。他にも、EmailStealerは数百件のメールアドレスを収集していました。これらの約80%のトップレベルドメイン(TLD)は「.com」または「.ae」でした。「.ae」はUAEのTLDです。

窃取されたメールの認証情報

図8:窃取されたメールの認証情報

2019年6月24日に確認されたスパムメール

6月24日には、マルウェア「ServHelper」を利用してレバノンを狙う活動が確認されました。この活動では、スパムメールのコンテンツを変更してインドとイタリアを狙った下位活動も確認されています。

2019年6月24日に確認されたイタリアを狙うスパムメールの検体

図9:2019年6月24日に確認されたイタリアを狙うスパムメールの検体

■インドおよびその他のアジア諸国の銀行を狙った活動

2019年6月17日には、マルウェアの埋め込まれたExcelファイルが直接添付されたスパムメールが確認されました。

2019年6月17日に確認されたスパムメールの検体

図10:2019年6月17日に確認されたスパムメールの検体

このスパムメールには「Emirates NBD E-Statement」や「Visa Canceled」のようなソーシャルエンジニアリングの手法を利用した件名が付けられていました。この活動ではVBAマクロによってダウンロードされるServHelperをローダとして利用します。

「ServHelper」に関連したC&C通信のトラフィック

図11:「ServHelper」に関連したC&C通信のトラフィック

このスパムメールを詳細に調査したところ、その内容はアラブ語話者またはアラブ語を使用する国、特にUAEに当てはまるものでした。例えば、「Visa Canceled」という件名のスパムメールは、「General Directorate of Residency and Foreigners Affairs – Dubai」から送信されたと主張しており、内容はアラビア語で書かれていました。にもかかわらず、これらのスパムメールはUAEやアラビア語圏には送信されず、インド、インドネシア、そしてフィリピンのようなアジアの国々に送信されていました。

「.html」または「.xls」ファイルを使用し「ServHelper」を送り込むスパムメールの検体

図12:類似した活動で確認されたスパムメールの検体
「.html」または「.xls」ファイルを使用し「ServHelper」を送り込む

■日本、フィリピン、韓国、そしてアルゼンチンを狙った活動

2019年6月20日、「.doc」ファイルと「.xls」ファイルを拡散するスパムメールが確認されました。埋め込まれていたVBAマクロは、明らかに新しくこれまで記録されていないマルウェア「FlowerPippi」と「Gelup」をダウンロードすることが判明しました。

日本、フィリピン、アルゼンチンを狙うスパムメールの検体

図13:日本、フィリピン、アルゼンチンを狙うスパムメールの検体

同日、この活動は「.doc」ファイルと「.xls」ファイルを添付したスパムメールによって韓国を狙いました。いくつかの検体にはファイルが添付されておらず、代わりにメール本文に不正なURLが直接含まれていました。これらのURLからは不正な「.doc」ファイルまたは「.xls」ファイルがダウンロードされます。ペイロードは依然としてFlawedAmmyy RATでした。これにより、TA505がマルウェアの侵入経路として不正なURLを利用することが確認されました。

韓国を狙うスパムメールの検体、不正なURLが本文に直接含まれている

図14:韓国を狙うスパムメールの検体、不正なURLが本文に直接含まれている

■新しく確認されたダウンローダ「Gelup」とバックドア「FlowerPippi」

日本、フィリピン、そしてアルゼンチンを狙った6月20日の活動では、新しく、情報公開されていないものと思われるマルウェアが確認されました。トレンドマイクロが「Gelup」と名付けたこのマルウェアは、解析の結果、セキュリティ企業「Proofpoint」が「AndroMut」として報告しているものだということが判明しました。このマルウェアの亜種のいくつかは、TA505が以前から使用しているカスタムパッカによってパックされていました。

ペイロードをアンパックしたところ、C++で書かれており、基本的には他のマルウェアのダウンローダとして機能することが分かりました。しかし、Gelupには、他とは異なる以下のような特徴を備えています。

  • 難読化の手法
  • ファイルの実行パスを信頼できるディレクトリに偽装することでUACを回避する関数
  • 自動的に実行権限を昇格する実行ファイル
  • DLLサイドローディング手法の利用

技術的概要で解説しているように、Gelupは静的および動的解析を回避する機能を備えています。また、多層的な手順によって自身をインストールします。

日本、フィリピン、そしてアルゼンチンを狙った6月20日の活動で確認されたもう1つの新しいマルウェアは「FlowerPippi」です。FlowerPippiはバックドアとダウンローダの機能を備えたスタンドアローンのマルウェアです。このマルウェアは、Gelupと比較してより直截的にダウンロードされます。FlowerPippiの機能の詳細は技術的概要を参照してください。

■被害に遭わないためには

ランサムウェア、情報窃取型マルウェア、そしてバックドア型マルウェアまで、さまざまな脅威を拡散してきたTA505の活動の規模と範囲は、法人組織にとって重大なセキュリティ上の課題だと言えます。彼らの活発な活動と変化を続ける手口は注目に値します。事実、ごく最近にも、UAE、韓国、シンガポール、そして米国におけるTA505の活動について報告されています。

しかしさらに重要なことは、TA505によるスパムメール送信活動が、メールゲートウェイを中心としたオンラインインフラストラクチャを保護することの重要性を強調する事例だということです。法人組織は電子メールを利用した脅威に対処するためのベストプラクティスに従ってこのような攻撃に備えることが推奨されます。

  • 最小権限の原則を適用することでさらなる情報の露出を防ぐ。
  • 脆弱性を利用する脅威に対処するために定期的にシステムを更新する。レガシーシステムに対しては仮想パッチの使用を検討する。
  • ファイアウォールや侵入検知/防御システムのような追加のセキュリティを導入し、データの送出やC&C通信の疑いのある不審なネットワーク活動を緩和する。

■トレンドマイクロの対策

トレンドマイクロの法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery™ Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。

Trend Micro Hosted Email Security™」は、メンテナンス不要のクラウドソリューションであるため、継続的に更新される保護機能が、スパム、マルウェア、スペアフィッシング、ランサムウェア、より高度な標的型攻撃をネットワークに到達する前に阻止します。Microsoft Exchange、Microsoft Office 365、Google Apps などの SaaS およびオンプレミスのメール環境を保護します。

■侵入の痕跡(Indicators of Compromise、IoC)

Gelupに関する詳細な解析は技術的概要を参照してください。TA505の活動に関連するIoCsはこちらを参照してください。

※調査協力: Kawabata Kohei

【更新情報】

2019/07/08 18:06 誤字を修正しました。

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. 日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説
  2. 2015年上半期スパムメール動向:マクロを利用する不正プログラムとランサムウェアが増加
  3. 2015年は法人狙いのサイバー犯罪が顕著な一年に
  4. 10月も継続した「セクストーション」スパム、総被害額は1,000万円を突破か