Vawtrak UrlZone バンキングトロージャンが日本を狙う

March 30, 2016
Proofpointの研究者は、日本をはじめとする国々を狙ったバンキングトロージャンが、今年 1 月から 2 月にかけてかつて無い規模で拡散しているのを観測しました。日常的に狙われているイギリスやアメリカなどでは企業の対策も進んでいますが、これらの国々はこれまで狙われてこなかったため、被害の拡散が懸念されています。特に日本 (及びスペイン) では、2015年10月に最初に観測されたShifu以降、継続して大規模な攻撃に晒されています。 今回の観測から得られた主な発見は、以下の通りです:
  • UrlZoneバンキングトロージャンが、日本とスペインの銀行を狙ったメールスパムによって拡散しています。
  • Vawtrakトロージャンは、Anglerエクスプロイトキットを介して広がっており、日本の銀行を狙っています。
  • どちらのトロージャンも、金融機関のWebサイトのコンテンツを操作するためのダイナミックインジェクトシステムを使っています。(リソースを共有しているか、同じサードパーティからツールを調達していると考えられます)
  • このインジェクトシステムはロシア人によって開発されました。
  UrlZoneバンキングトロージャン 今年1月21日、Proofpointの研究者は、日本のメールアカウントを狙った数万通ものメールを含む大きなスパム攻撃を観測しました。他の研究者も、日本でUrlZoneの急増を観測しました。しかし、それよりも重要なことが背後で起こっていました。 複数のGmailアカウントから送信された攻撃メールの件名は「copy 3」、メール本文は空白で、ZIP圧縮された実行形式ファイルが添付されています。Proofpoint はこれまで Dridex の拡散を数多く観測してきましたが、2015 年を通じて、このようなシンプルなテクニックが使われるようになってきています。シンプルなため、作るのが簡単で、偽装のための特別なアイデアも必要無く、翻訳も必要ありません。そして、恐らくはそれでも十分な効果を上げているのです。  1: 攻撃メール   この攻撃で使われていた添付ファイルがAndromedaです。Andromedaはマルチパーパスのボットですが、このケースではUrlZoneをダウンロードするために使われています。また、マルウェアのエコシステムでは良くあることですが、Andromedaが他のマルウェアを大量にロードすることも観測されています。  
  • UrlZone: マンインザブラウザータイプのバンキングトロージャンで、ここ数年観測されています。
  • Pushdo Downloader感染したコンピュータをスパムボットネットに追加するのに加え、このローダーはNeutrinoBotをダウンロードします。
  • Neutrino Bot: パスワードの窃盗、DDoS、他のペイロードのロードなどの機能を持つマルチパーパスボットで、今回は追加の窃盗のためにPonyをダウンロードします。
  • Pony: 追加のマルウェアのロード、パスワードの窃盗、ビットコインのサイフとして使われます。今回は窃盗の機能が使われました。
  Proofpointが、1月27日にCryptowallの大がかりな攻撃を観測したことを附記しておくことには意味があるでしょう。Cryptowallは、UrlZone攻撃でも使われたNeutrino Botをダウンロードします。そして、2015年12月11日には、同じくUrlZone攻撃の中で使われたAndromedaボットネットが使われた攻撃を観測しています。このときはしかし、Pushdoのダウンロードのみに使われていました。これらの観測結果は、これらの攻撃を行った攻撃者の間になんらかの関係があったことを示唆しています。  2: UrlZone と関連する攻撃   以下の表は、UrlZoneによって狙われた銀行 (及び顧客) です。 銀行名 狙われたドメイン Bankiter Spain empresas.bankinter.com Banco Sabadell Spain www.bancsabadell.com ww1.sabadellcam.com ww1.sabadellurquijo.com Banca Multicanal Spain www.ruralvia.com Sumitomo Mitsui Banking Corporation Japan directd?.smbc.co.jp The Musashino Bank Japan ib1.musashinobank.co.jp The Yamagata Bank Japan ib1.yamagatabank.co.jp Juroku Bank Japan bk.juroku.co.jp Chugoku Bank Japan direct.chugin.co.jp Bank of The Ryukyus Japan direct.ryugin.co.jp Hachijuni Bank Japan direct1.82bank.co.jp The Daishi Bank Japan ib.daishi-bank.co.jp Hokkoku Bank Japan ib.hokkokubank.co.jp Shinkin Bank Japan www11.ib.shinkin-ib.jp The Norinchukin Bank Japan *direct.jabank.jp The Tajima Bank Japan *parasol.anser.ne.jp Resona Bank Japan *ib.resonabank.co.jp The Japan Net Bank Japan *login.japannetbank.co.jp Tsukuba Bank Japan ib.tsukubabank.co.jp The Awa Bank Japan ib1.awabank.co.jp MIYAZAKIBANK Japan mib.miyagin.co.jp The Hiroshima Bank Japan direct.ib.hirogin.co.jp  3: UrlZoneのインスタンスによって狙われた日本とスペインの銀行サイト   Vawtrakバンキングトロージャン SophosTrend Microの研究者が、2014年以前にVawtrakが日本を狙っていることを書いていますが、2015年から2016年にかけて日本を狙っているアップデートされたVawtrak攻撃について記述されたものはありません。2016年2月2日、私達はAngler EKがVawtrak ID 28を日本に向けて配信しているのを観測しました。  4: 日本を狙ってVawtrakペイロードを配信するAngler EK   以下の表は、最近の攻撃でVawtrakに狙われた銀行です: 銀行名 狙われたドメイン Sumitomo Mitsui Banking Corporation Japan directd?.smbc.co.jp The Musashino Bank Japan ib1.musashinobank.co.jp The Yamagata Bank Japan ib1.yamagatabank.co.jp Juroku Bank Japan bk.juroku.co.jp Chugoku Bank Japan direct.chugin.co.jp Bank of The Ryukyus Japan direct.ryugin.co.jp The Daishi Bank Japan ib.daishi-bank.co.jp Hokkoku Bank Japan ib.hokkokubank.co.jp Hachijuni Bank Japan direct1.82bank.co.jp Tsukuba Bank Japan ib.tsukubabank.co.jp The Awa Bank Japan ib1.awabank.co.jp MIYAZAKIBANK Japan ib.miyagin.co.jp The Hiroshima Bank Japan direct.ib.hirogin.co.jp Shinkin Bank Japan www11.ib.shinkin-ib.jp The Norinchukin Bank Japan direct.jabank.jp Resona Bank Japan ib.resonabank.co.jp The Japan Net Bank Japan login.japannetbank.co.jp The Tajima Bank Japan parasol.anser.ne.jp SBI Sumishin Net Bank Japan netbk.co.jp  5: Vawtrak ID 28に狙われた日本の銀行サイト   VawtrakUrlZoneで共有されているダイナミックインジェクトシステム 両方のトロージャンからインジェクトコードを抜き出してみたところ、標的となっている銀行が重複していることを発見しました。どちらのバンキングトロージャンも、金融機関のWebサイトのコンテンツを操作するために同じダイナミックインジェクトシステムを使っていたのです。これは、双方の攻撃者は何らかの形でリソースを共有しているか、同じサードパーティからツールを調達していることを意味しています。 そして、インジェクトのJavaScriptコードに「Startuem nash interval na proverku statusa」という記載があることから、これはロシア人の開発者によって開発されたことがわかります。これは「ステータスをチェックするためのインターバルを開始」という意味です。  6: インジェクトコードの一部   結論 他所でも書かれているように、日本とスペインでのバンキングトロージャンの急増は大きな問題を孕んでいます。イギリスやアメリカの組織は、これまでもDridexやDyre、Vawtrak (そしてその他のバンキングトロージャン) の激しい攻撃を受けてきており、防御システムにもそれなりの投資を行っていますが、これまでそういった経験が乏しかった地域では、これらの脅威と戦っていく過程で自らの脆弱性に気がついて行くでしょう。残念ながら、多くの地域で標的が無くなってきているため、攻撃が新しい地域に向かうのは時間の問題であり、そういった地域がこれまでDridexや他のマルウェアで見られたような膨大な規模の攻撃を経験することは確実なのです。   追補 A : UrlZoneを含む攻撃のIOC タイプ 1a86cf4fb4dcb0e4e3aad41bc039d8302e0fd6f9fabe203efc77e3aec35e2f66 Andromeda hash 606708C9479E1DF26545D469D3D54A0E268F01AD8AA061F6504968C3B1594A0C UrlZone hash 757F2C62637765CBC8C7B9F5F63ED4AB00F34485F516A66B2A81B4EDFB731920 Pushdo hash CE08A35831F6F5777DB6E8FEA9BAC40808917FEC019338BA00285082737611FB Neutrino Bot hash E90050D963D376C1F75416EBF9BC6FFA2299046F8ADD1DDE6D67752443587411 Pony hash   1d6d7ea0eeec99da1add9e83f672533eeee900dc817018ee6edbf635bb08cf0a UrlZone hash f3b9815ea4a6c603eafadb26efebec21565deec315ee007d59e92f0f656a90bb UrlZone hash 15896a44319d18f8486561b078146c30a0ce1cd7e6038f6d614324a39dfc6c28 UrlZone hash hxxp://huremoke[.]net/get.php Andromeda C2 hxxp://votehad[.]su/paris.php Andromeda C2 hxxp://shardsound[.]net/images.php   Andromeda C2 hxxp://kernsmee[.]ru/news.php   Andromeda C2 hxxp://masabodhi[.]com/andoluse.php Andromeda C2 hxxps://hwnbv5woeedjffn[.]com UrlZone C2 hxxp://5.45.179[.]179/ajax.php Neutrino Bot C2 hxxp://5.45.179[.]179/p/ajax.php Pony C2 hxxp://www.fondazionelanza[.]it/eng/v3.exe Andromeda downloading UrlZone hxxp://www.fondazionelanza[.]it/eng/akeyb.exe Andromeda downloading Pushdo loader hxxp://www.tajjquartet[.]com/ff/serif/payload.exe Pushdo loader downloading Neutrino Bot hxxp://www.tajjquartet[.]com/ff/serif/ponik.exe Neutrino Bot downloading Pony hxxps://ifree-online[.]com UrlZone Injects C2   追補 B: Vawtrakを含む攻撃のIOC タイプ 9f1de72234dcf77ddf25b69df98058a7f9e633f803ddc2720209bb315ef3a04c Vawtrak hash hxxp://begiekee[.]com/rss/feed/stream Vawtrak C2 hxxp://searalihid[.]com/rss/feed/stream Vawtrak C2 hxxp://zofienie[.]com/rss/feed/stream Vawtrak C2 hxxp://deehiesei[.]com/rss/feed/stream Vawtrak C2 hxxp://keanees[.]com/rss/feed/stream Vawtrak C2 hxxp://peazor[.]com/rss/feed/stream Vawtrak C2 hxxp://xeaberal[.]com/rss/feed/stream Vawtrak C2 hxxp://dietoog[.]com/rss/feed/stream Vawtrak C2 hxxp://mafoovoo[.]com/rss/feed/stream Vawtrak C2 hxxp://geeseazei[.]net/rss/feed/stream Vawtrak C2 91.242.163[.]74:8080 Vawtrak C2 hxxp://5.187.2[.]19/module/272a5ad4a1b97a2ac874d6d3e5fff01d Vawtrak downloading module hxxp://5.187.2[.]19/module/2f6421d9a99d75c5d153edda3f1fe5e3 Vawtrak downloading module hxxp://5.187.2[.]19/module/9079dae8e107342d8f3747fa74ab8a57 Vawtrak downloading module hxxp://5.187.2[.]19/module/7afb9776a27d97b2f43f8de256448072 Vawtrak downloading module hxxp://5.187.2[.]19/upd/28 Vawtrak downloading update     Contact us; 日本プルーフポイント株式会社 東京都中央区日本橋2-2-6 日本橋通り二丁目ビル 9F http://www.proofpoint.co.jp sales-japan@proofpoint.com