トレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap(オーバートラップ作戦)」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告(マルバタイジング)経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。
- URLリンクを含んだメールにより、ネットバンキングのWebサイトを偽装したフィッシングページへ利用者を誘導
- URLリンクを含んだメールにより、不正サイトへ誘導し、ダウンロードされるファイル(実はマルウェアの実行ファイル)を実行させる
- 不正広告経由でエクスプロイトキットを使用しマルウェアを配信
本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン(オンライン銀行詐欺ツール)「Cinobi(シノビ)」(トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出)について解説します。
解析詳細
■オーバートラップ作戦が確認される
このキャンペーンに対する調査からは、2019年4月の時点でマルウェアを拡散するため、マルウェアスパムが使用されていたことが確認されています。このマルウェアスパムはセキュリティ上の問題により使用するネットバンキングサービスのアカウントがロックされたという理由で不正サイトへの誘導を行うものでした。
EV SSL証明書のインストールという名目で利用者を騙し、マルウェアをインストールさせる
2019年9月中旬には、相当数のユーザがソーシャルメディア上のリンクをクリックした後に、Internet Explorer(IE)の脆弱性を狙うエクスプロイトキットへとリダイレクトされました。ただし、ユーザへのリンクの配信方法については、特定されていません。また、オーバートラップ作戦は日本国内のネットバンキング利用者のみをターゲットとしていると見られ、日本以外の地理位置情報を持つユーザについては、偽のオンラインショップにリダイレクトします。
解析の結果、エクスプロイトキットは、ユーザのデバイス上で何ら不正な活動を実行しない、無害なバイナリをドロップしただけであることがわかりました。また、ファイルは感染後すぐに閉じられました。オーバートラップ作戦の背後の攻撃者がなぜ最初に無害なバイナリファイルを配信したのか、理由はわかっていません。キャンペーンの開発の段階にあったために、カスタマイズしたエクスプロイトキットをテストしていた可能性があります。
■オーバートラップ作戦用にカスタマイズされたエクスプロイトキット「Bottle EK」
2019年9月29日、エクスプロイトキットがドロップするファイルは無害なものではなくなり、代わりにトレンドマイクロでは「Cinobi」と名付けた全く新しいバンキングトロジャンを拡散するようになりました。また、ユーザをソーシャルメディアからリダイレクトする手法を停止し、エクスプロイトキットを送り込むために日本を標的としたマルバタイジング(不正広告)を開始したことが確認されました。
このオーバートラップ作戦で使用されたカスタマイズされたエクスプロイトキットは、後に別のリサーチャーによって「Bottle(ボトル)エクスプロイトキット(Bottle EK)」と名付けられたものと同一でした。Bottle EKは、Flash Playerの解放済みメモリの使用 (Use-after-free)の脆弱性「CVE-2018-15982」と、VBScriptエンジンのリモートでコードが実行される脆弱性「CVE-2018-8174」を利用します。更新プログラムが適用されていない、あるいは旧式のブラウザでユーザがこのエクスプロイトキットのランディングページにアクセスすると、Bottle EKによってマルウェアに感染します。弊社の調査によると、2020年2月に日本で検出されたエクスプロイトキットのうち、Bottle EKが最多であったことが確認されています。
.png)
■新しいバンキングトロジャン「Cinobi」
オーバートラップ作戦には全く新しいバンキングトロジャン「Cinobi」が使用されています。解析の結果、Cinobiには2つのバージョンが確認できました。1つ目のバージョンのペイロードはDLLインジェクションで実行され、ユーザのWebブラウザを侵害し「form grabbing(フォームグラビング)」によって認証情報を窃取します。フォームグラビングとは、感染した端末からアクセスしたサイトを監視し、Web上のデータフォーム(入力欄)から認証情報を収集する手口のことを指します。また、このCinobiは、ターゲットのWebサイトとの間で送受信されるWebトラフィックを改変することも可能です。これにより、アクセスしたWebページ上で偽画面を表示して入力情報を詐取する「Webインジェクション」機能も備えています。また、2つ目のバージョンのCinobiには、1つ目のバージョンが持つ機能全部に加えて、Torプロキシ経由でコマンドアンドコントロール(C&C)サーバと通信する機能を備えています。
調査からは、このキャンペーンで対象となったWebサイトは、日本を拠点とする銀行のものであることが確認されました。トレンドマイクロではWebインジェクションなどの手法を使用し、国内ネットバンキングのワンタイムパスワードなどの二要素認証を突破して自動的に不正送金を行うバンキングトロジャンを2014年の時点で既に確認しています。
■Cinobiの4つの感染ステージ
Cinobiの4つの感染ステージにはそれぞれ、暗号化された、位置に依存しないシェルコードが含まれており、解析が少し複雑になっています。各ステージは、特定の条件が満たされるとC&Cサーバからダウンロードされます。
ステージ1
他のリサーチャーによる解析も公開されているCinobiの感染経路の最初のステージ1は、「GetUserDefaultUILanguages」関数を呼び出して、感染したデバイスのローカル設定が日本語に設定されているかどうかを確認することから始まります。
その後、Cinobiは次の場所から正規のunzip.exeおよびTorアプリケーションをダウンロードします。
- ftp://ftp[.]cadwork.ch/DVD_V20/cadwork.dir/COM/unzip[.]exe
- https://archive[.]torproject[.]org/tor-package-archive/torbrowser/8.0.8/tor-win32-0.3.5.8[.]zip
Torアーカイブを「\AppData\LocalLow\」ディレクトリ下に展開した後、Cinobiはtor.exeの名称をtaskhost.exeに変更し、実行します。 また、カスタムtorrcファイル設定でtor.exeを実行します。
- “C:\Users\<ユーザ名>\AppData\LocalLow\<random_name>\Tor\taskhost.exe” –f
- “C:\Users\<ユーザ名>\AppData\LocalLow\<random_name>\torrc”
ペイロードのステージ2を、onion ドメインに存在するC&Cサーバアドレスからダウンロードし、「\AppData\LocalLow\」フォルダ内のランダムに名前が付けられたDLLファイルに保存します。ステージ1のダウンローダのファイル名は、ランダムな名前の付いた.JPGファイルに保存されます。
この後、Cinobiはダウンローダのステージ2を、ユーザのデバイス上で実行します。
ステージ2
CinobiはC&Cサーバに接続して、感染経路の第3段階目、ステージ3のファイルをダウンロードして復号します。ステージ3のファイル名はCで始まり、その後にランダムな文字が続きます。その後、ステージ4のファイルをダウンロードして復号しますが、ステージ4のファイル名はAで始まり、その後にランダムな文字が続きます。
この後、Cinobiは新しいC&Cサーバのアドレスが含まれる設定ファイル(<random_name>.txt)をダウンロードして復号します。
Cinobiは、ハードコードされた鍵でRC4暗号化を実行します。
次に、Cinobiは、インターフェイス「CMSTPLUA COM」によるUACバイパスの手法(UAC bypass using CMSTPLUA COM interface)を使用し、ダウンロードしたステージ3のファイルを実行します。
ステージ3
感染段階のステージ3で、Cinobiはマルウェアのファイルを「\AppData\LocalLow\」から「%PUBLIC%」フォルダにコピーします。次に、ダウンローダのステージ4(ステージ2でダウンロードされたもの)をWinsockレイヤードサービスプロバイダ(WSCInstallProviderAndChains)としてインストールします。
その後、Cinobiは次の活動を実行します。
- スプーラサービスの設定を「SERVICE_AUTO_START」に変更する
- 次のサービスを無効にする
- UsoSvc
- Wuauserv
- WaaSMedicSvc
- SecurityHealthService
- DisableAntiSpyware
- Torファイルを「%PUBLIC%」フォルダにコピーして展開する
- tor.exeの名前をtaskhost.exeに変更する
- 「DataDirectory C:\Users\Public\<random_nam>\data\tor」という内容で「%PUBLIC%」にtorrcを作成する
- 元のドロッパーの名前でJPGファイルを作成する
- 「\AppData\LocalLow\」からファイルを削除し、元のドロッパーファイルを削除する
ステージ4
CinobiはWSCEnumProtocols関数を呼び出して、使用可能なトランスポートプロトコルに関する情報を取得します。また、WSCGetProviderPath関数を呼び出して、元のトランスポートプロバイダのDLLパスを取得します。この関数は2回呼び出されます。最初の呼び出しは、不正なプロバイダを返します(マルウェアのステージ4は、ステージ3で既にインストール済み)。 2番目の呼び出しは、元のトランスポートプロバイダ(%SystemRoot%\ system32 \ mswsock.dll)を返し、そのWSPStartup関数を解決して呼び出します。Cinobiは、不正なDLLプロバイダが挿入されるプロセスの名前を確認します。実際には、Windows Socketsを使用してネットワーク接続を行うすべてのプロセスにCinobiがインジェクトされます。
■被害に遭わないためには
オーバートラップ作戦は複数の攻撃手法を使用して、ネットバンキングの認証情報を窃取します。ネットバンキング利用者は、メッセージングを利用する脅威からシステムを保護し、不正な広告を回避するためのベストプラクティスに従う必要があります。例えば、不審なメールを報告する手段を提供することができます。企業や組織はITチームを通して一元管理できる情報収集システムを採用し、従業員は不審なメールの報告手順を認識していなければなりません。また、すべてのユーザは、不審なリンクやポップアップをクリックすることを避け、公式なソースからのみソフトウェアの更新を行うことで、不正広告を回避することができます。
組織は、定期的にシステムを更新すること、また、古くなったレガシーシステムには仮想パッチを利用することによって、攻撃者にセキュリティの隙を突かれることを防げます。ファイアウォールや侵入防御システムなど、追加のセキュリティ対策を導入することによって、データの窃取やC&C通信などの攻撃者によるネットワーク活動の防止に役立ちます。
■トレンドマイクロの対策
トレンドマイクロの法人向けエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery™ Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。
「Trend Micro Hosted Email Security™」は、メンテナンス不要のクラウドソリューションであるため、継続的に更新される保護機能が、スパム、マルウェア、スペアフィッシング、ランサムウェア、より高度な標的型攻撃をネットワークに到達する前に阻止します。Microsoft Exchange、Microsoft Office 365、Google Apps などの SaaS およびオンプレミスのメール環境を保護します。
なお、オーバートラップ作戦に関連するIoCに関してはこちらを参照してください。
参考記事:
- 「Operation Overtrap Targets Japanese Online Banking Users Via Bottle Exploit Kit and Brand-New Cinobi Banking Trojan」
By Jaromir Horejsi and Joseph C. Chen (Threat Researchers)
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)