重要な調査結果
- プルーフポイントの研究者は、スペイン語による攻撃メールを配布する実行役として、新グループの TA2721 を特定しました。
- このグループが主に標的にするのは、さまざまな業界を代表するグローバル組織の、スペイン姓をもつ個人です。
- この感染チェーンの特徴は、PDF に含まれた URL が、暗号化された RAR ファイルへと誘導し、Bandook マルウェアをインストールさせることです。
- この攻撃者は、数週間または数か月間続けて、同じコマンド アンド コントロール(C&C)インフラを利用する傾向があります。プルーフポイントがこの 6 か月間に確認した C&C ドメインは、3 つのみです。
- Bandook は古いタイプのマルウェアで、利用している攻撃者は少ないと考えられます。
概要
プルーフポイントの研究者は、新しいきわめて攻撃的な脅威グループ TA2721 を特定しました。プルーフポイントの研究者が日常的に Caliente Bandits とも呼んでいるこのグループは、金融からエンターテインメントまで複数の業界を標的にしています。スペイン語の誘い文句を使い、有名な(しかし、頻繁には使用されない)リモート アクセス型トロイの木馬(RAT)を配布します。プルーフポイントの研究者は、このグループが Hotmail のメールアカウントを利用することから、Caliente Bandits というニックネームをつけました。「caliente」は、「hot」という意味のスペイン語です。
プルーフポイントの研究者は、2021 年 1 月からこのグループの追跡を開始し、TA2721 が 4 月から毎週 Bandook を送りつける攻撃メールを配布するのを観測しています。キャンペーンは小規模で、1 回のキャンペーンのメッセージ数は 300 通未満です。攻撃の標的は世界中の組織ですが、ほとんどの場合、これらの組織に所属する、スペイン姓の個人に影響を及ぼします。サイバーセキュリティ企業 ESET が初めて、このグループが利用するマルウェアの詳細について発表しました。
キャンペーンの詳細
TA2721 は、キャンペーンを通じて、予算または支払いをテーマとする同じタイプの誘い文句を利用して、ユーザーに PDF をダウンロードするよう促します。
図 1: 予算または見積りの提案を装った E メールのサンプル
添付された PDF には、埋め込まれた URL とパスワードが含まれており、クリックすると、パスワード保護付きの圧縮された実行ファイルがダウンロードされます。この実行ファイルに Bandook が含まれているのです。
図 2: Bandook のダウンロードへと誘導する、悪意のあるリンクとパスワードを含んだ PDF。
プルーフポイントの研究者は、TA2721 が、2021 年 1 月から、一度に 100 未満の組織に影響を及ぼす、少量のキャンペーンを送信しているのを観測しました。標的になっているのは、製造、自動車、食品・飲料、エンターテインメント・メディア、銀行、保険、農業関連の組織などです。標的とされた組織には、米国、欧州、南米の組織が含まれ、中には多国籍企業も小企業もあります。各組織で狙われるのはわずか数名の個人で、ほとんどが Pérez、Castillo、Ortiz といったスペイン姓をもつ人です。
このように標的を絞り込んでいることは、TA2721 が、特定の従業員のデータや連絡先情報を入手するために、偵察活動と攻撃計画を実行していることを示唆しています。このグループは、スペイン語を話すことができる個人を標的にしており、不正アクセスが成功する可能性が高まっているように思われます。
配信とインストール
プルーフポイントの研究者は、この攻撃者が 2 種類の Bandook 亜種を配布しているのを観測しています。Bandook はコモディティ化されたマルウェアですが、キャンペーンで利用される手口では、検知を回避しようとしたり、攻撃者のためにさらなる細工を仕掛ける様子が見受けられます。悪意のあるアーカイブをパスワードで保護することは、自動分析製品による検知をより困難にするための容易な方法であり、スペイン姓に焦点を絞るとともに、標的を少数に絞ることは、攻撃者がキャンペーンをデプロイする前に、偵察活動を実施したことを示唆しています。
観測されたほぼすべてのキャンペーンで、Bandook のダウンロードに誘導するリンクが記載された PDF の添付ファイルが含まれていましたが、6 月のあるキャンペーンでは、攻撃者はメッセージの URL を直接利用し始めました。
TA2721 は、南米(多いのはベネズエラやメキシコ)にある企業になりすまして、スペイン語のメッセージを送信します。メッセージの送信元は、Hotmail または Gmail のメールアドレスです。件名やファイル名には、通常、「PRESUPUESTO (予算)」、「COTIZACION (見積)」、「recibo de pago (領収書)」という用語が含まれています。
TA2721 は一般的に、数週間または数か月間続けて、同じコマンド アンド コントロール(C&C)インフラを利用します。たとえば、
- 1 月には、「s1[.]megawoc[.]com」を使用
- 3 月から 6 月までは、「d1[.]ngobmc[.]com」を使用
- 7 月以降は、「r1[.]panjo[.]club」を使用
2021 年 1 月から 6 月までに観測された URL は、bit[.]ly リンクや rebrand[.]ly リンクなど、より短い URL を利用し、大企業向けセキュリティ ファイル共有プラットフォームである spideroak[.]com にリダイレクトします。そして、パスワードで保護された RAR ファイルをダウンロードするよう誘導し、Bandook をインストールさせます。
マルウェア分析
Bandook は商業的に提供される RAT で、Delphi で書かれたおり、少なくとも 2007 年から出回っているのが確認されています。研究者は、現在一般に公開されている複数の 亜種について詳細を発表しています。Bandook は、ホスト側のスクリーンショット、ビデオ、キーロガー、音声をキャプチャすることができ、また情報収集作戦に使用することができます。
その可用性と利用年数にもかからわず、プルーフポイントは、現在このマルウェアを利用しているそのほかの攻撃者を観測していません。事実、プルーフポイントは 2015 年から、合計でおよそ 40 のキャンペーンで、このマルウェアが配布されているのを観測しており、2021 年の TA2721 キャンペーンでは、観測された活動の 50% 以上を占めています。MITRE ATT&CK のマルウェア wiki によると、Bandook は広くは利用されていません。
次の図 3 は、TA2721 の攻撃チェーンの例と、特定されたサンプルです。
件名: COMPROBANTE DE PAGO LOGSITICA CARACAS CA
送信者: logvenccs@doca-safety[.]com
添付ファイル: comprobante de pago corporacion alfeca, c.a..pdf
PDF: 5eaa1f5305f4c25292dff29257cd3e14ba3f956f6f8ddb206c0ee3e09af8244e
Bandook: 561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a
図 3: TA2721 の攻撃チェーン。
この E メールには、PDF 添付ファイルが含まれています。PDF 内の URL は、パスワードで保護された RAR アーカイブに誘導します。RAR のパスワードは、最初の PDF 添付ファイルに記載されています(123456)。攻撃者が URL 短縮ツールと C&C ドメインを変更していますが、アーカイブのパスワードはすべてのキャンペーンで同じままです。
図 4: Spider Oak ファイル共有サービス上にホストされているマルウェアへのリンクを含んだ PDF
この PDF には、以下の URL が含まれています。
hxxps[:]//bit[.]ly/bcomprob-sbaa1
移動先:
hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1104/COMPROBANTE[.]rar?e22cde1331099985a6339fac899e3ebe
以下のハッシュを使って、COMPROBANTE.rar をダウンロードします。
39ce7b1e2dc1d4fe3bee24a9be8bea52bcb9028b50090731e5fff586106c264f
抽出されたファイルには、以下の Bandook 実行ファイルが含まれています。
ファイル名: COMPROBANTE.exe
ハッシュ: 561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a
実行ファイルは、複数回圧縮されます(UPX など)。文字列は base64 でエンコード・暗号化されているので、リバースエンジニアリングは困難です。実行すると、新たな Internet Explorer プロセス(iexplore.exe)が作成され、Bandook ペイロードが注入されます。このプロセスは プロセス ハロウイングと呼ばれています。
Bandook は、自身のコピーを作成し、Microsoft Registry 内の実行キーにエントリを追加することによって足場を確保し、ユーザーがログオンするたびに、そのコピーがロードされるように仕向けます。
キー: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\xxhgjyljicoftqsffwxx
データ: C:\Users\[user]\AppData\Roaming\xxhgjyljicoftqsffwxx\xxhgjyljicoftqsffwxx.exe
Caliente Bandits の攻撃者が利用する Bandook は、 2020 年 11 月に Checkpoint が報告したものと類似しています。また、特定されたサンプルでも、C&C 通信の CFB モードで AES 暗号化が用いられており、ハードコードされたキーと、一般に公開された Bandook の一部ではない初期化ベクトル(IV)が利用されています。
Bandook の構成
- プライマリ C2: r3[.]panjo[.]club:7893
- フォールバック C2: hxxp[:]//ladvsa[.]club/Hayauaia/
- AES_CFB_Key: HuZ82K83ad392jVBhr2Au383Pud82AuF
- AES_CFB_IV: 0123456789123456
Caliente Bandits が使用した、ハードコード化された AES キーと IV 値については、プルーフポイントは、これまでのところ 1 つしか観測していません。
このペイロードは、TCP を介して C&C サーバーに接続し、感染したマシンに関する基本情報を AES 暗号化して、C&C サーバーに送信します。メインの C&C ドメインとポートは 1 つですが、フォールバック C&C サーバーも 2 つ以上あります。
C&C 通信の例:
暗号化された TCP Beacon は、r3[.]panjo[.]club:7893に送信されます。
NI3B/VGNQOWJuJcQAnbGe/G61uhAy4GYmdnmFINKBGqWguDaTfoBUpvbIU+eXfiFOuOFhoFBB082Csj3qSZuKOG4HeBWO28K85yCos0NNYOuORGHxypQL8iOeqyfX7q9ZpaXRjw78bch6bsfFLdfc2t/QOy6lrxIS5BCNrmv8g==&&&
アナリスト注: AES 暗号化されたトラフィックには、かならず「&&&」という接尾辞がつきます。
複合化された TCP Beacon で、r3[.]panjo[.]club:7893 に送信されたもの。
!O12HYV~!22535~!192.168.0.107~!XTWGHENV~!dwrsApXT~!Seven~!0d 3h 24m~!0~!5.2~!JN2021~!0~!0~!0~!0~!~!0~!0--~!None~!0~!21/6/2021~!
デコード・複合化された TCP Beacon は、以前に報告されたインシデントで観測された Bandook C&C 通信のように見えます。さまざまな基本的なシステム情報には、デリミタとして「~!」がついています。
|
値 |
目的 |
|
O12HYV |
不明、おそらく一意の被害者 ID |
|
22535 |
不明、足場確立のために設定された Registry 値の可能性あり |
|
192[.]168[.]0[.]107 |
感染したマシンの IP アドレス |
|
XTWGHENV |
コンピュータ名 |
|
dwrsApXT |
ユーザー名 |
|
Seven |
オペレーティングシステム(Windows 7、Windows 10 など) |
|
0d 3h 24m |
アップタイム |
|
0 |
不明 |
|
5.2 |
不明、Bandook バージョニングの可能性あり |
|
JN2021 |
不明、キャンペーン日または ID の可能性あり |
|
21/6/2021 |
現在の日付 |
プルーフポイントは、TA2721 に関連するすべての Bandook サンプルの中に localhost アドレスに誘導する第 3 の C&C サーバーを特定しました。
hxxp[:]//localhost:9991/KBL/
プルーフポイントは、これは、攻撃者がテストをし、実際のキャンペーンで被害者を攻撃したあとで誤って含めたマルウェアをテストしていることを示す、攻撃者が残した痕跡であると確信しています。
結論
プルーフポイントは、TA2721 が今後も、限られた Bandook マルウェアの亜種、同様の感染チェーン、そして一部の C&C ドメインを利用すると、確信しています。標的を絞り込んでいることは、この攻撃者が、攻撃メールを送信する前に、標的とする組織に対してなんらかの偵察活動をおこなっていることを示唆しています。
プルーフポイントの研究者は、この攻撃者が今後も、C&C ドメインを巡りながら、E メールによる類似の誘い文句や、感染チェーン、パスワードを利用すると予想しています。
侵害痕跡情報(IOC)
|
IOC |
IOC タイプ |
説明 |
|
ba1355c5e24c431a34bae10915f7cc9b4b1a8843dc79d9c63f1a13f0f9d099f7 |
SHA256 ハッシュ |
「cotizacion corporacion alfeca, c.a..pdf」 PDF 6 月 21日 |
|
hxxps[:]//bit[.]ly/acotiz-abaa1 |
URL |
PDF 内の URL 6 月 21日 |
|
hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1105/COTIZACION 21[.]rar?17afe9bc9463ab5de84bd956cf4dfa9e |
URL |
短縮されていない Bitly URL 6 月 21日 |
|
a37c79c57ae9e2d681e5f9ef92798278d2bec68bcd91f08d96768e3fe8d5af19 |
SHA256 ハッシュ |
「COTIZACION 21.rar」 ダウンロードされた Rar アーカイブ 6 月 21日(パスワード: 123456) |
|
561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a |
SHA256 ハッシュ |
「COTIZACION 21.exe」 Rar 内の Bandook 実行ファイル 6 月 21日 |
|
r3[.]panjo[.]club:7893 |
C2 |
Bandook サンプルのプライマリ C2 6 月 21日 |
|
hxxp[:]//ladvsa[.]club/Hayauaia/ |
C2 |
Bandook サンプルのフォールバック C2 6 月 21日 |
|
5eaa1f5305f4c25292dff29257cd3e14ba3f956f6f8ddb206c0ee3e09af8244e |
SHA256 ハッシュ |
「comprobante de pago corporacion alfeca, c.a..pdf」 PDF 6 月 21日 |
|
hxxps[:]//bit[.]ly/bcomprob-sbaa1 |
URL |
PDF 内の URL 6 月 21日 |
|
hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1104/COMPROBANTE[.]rar?e22cde1331099985a6339fac899e3ebe |
URL |
短縮されていない Bitly URL 6 月 21日 |
|
39ce7b1e2dc1d4fe3bee24a9be8bea52bcb9028b50090731e5fff586106c264f |
SHA256 ハッシュ |
「COMPROBANTE.rar」 ダウンロードされた Rar アーカイブ 6 月 21日(パスワード: 123456) |
|
561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a |
SHA256 ハッシュ |
「COMPROBANTE.exe」 Rar 内の Bandook 実行ファイル 6 月 21日 |
ET シグネチャ
2003549 - ET MALWARE Bandook v1.2 Initial Connection and Report
2003550 - ET MALWARE Bandook v1.2 Get Processes
2003551 - ET MALWARE Bandook v1.2 Kill Process Command
2003552 - ET MALWARE Bandook v1.2 Reporting Socks Proxy Active
2003553 - ET MALWARE Bandook v1.2 Reporting Socks Proxy Off
2003554 - ET MALWARE Bandook v1.2 Client Ping Reply
2003555 - ET MALWARE Bandook v1.35 Initial Connection and Report
2003556 - ET MALWARE Bandook v1.35 Keepalive Send
2003557 - ET MALWARE Bandook v1.35 Keepalive Reply
2003558 - ET MALWARE Bandook v1.35 Create Registry Key Command Send
2003559 - ET MALWARE Bandook v1.35 Create Directory Command Send
2003560 - ET MALWARE Bandook v1.35 Window List Command Send
2003561 - ET MALWARE Bandook v1.35 Window List Reply
2003562 - ET MALWARE Bandook v1.35 Get Processes Command Send
2003563 - ET MALWARE Bandook v1.35 Start Socks5 Proxy Command Send
2003564 - ET MALWARE Bandook v1.35 Socks5 Proxy Start Command Reply
2003565 - ET MALWARE Bandook v1.35 Get Processes Command Reply
2003937 - ET MALWARE Bandook iwebho/BBB-phish trojan leaking user data
2805272 - ETPRO MALWARE Bandook Variant CnC Checkin
2810120 - ETPRO MALWARE Bandook Retrieving Payloads set
2810121 - ETPRO MALWARE Bandook Retrieving Payloads
2810122 - ETPRO MALWARE Bandook Initial HTTP CnC Beacon
2810123 - ETPRO MALWARE Bandook Initial HTTP CnC Beacon Response
2810124 - ETPRO MALWARE Bandook HTTP CnC Beacon M1
2810125 - ETPRO MALWARE Bandook HTTP CnC Beacon M2
2810126 - ETPRO MALWARE Bandook HTTP CnC Beacon M3
2810127 - ETPRO MALWARE Bandook HTTP CnC Beacon Response
2810128 - ETPRO MALWARE Bandook TCP CnC Beacon
2810129 - ETPRO MALWARE Bandook TCP CnC Beacon Response
2814671 - ETPRO MALWARE Bandook Retrieving Payload (cap)
2814672 - ETPRO MALWARE Bandook Retrieving Payload (tv)
2839949 - ETPRO MALWARE Bandook v0.5FM TCP CnC Beacon
2841218 - ETPRO MALWARE Bandook TCP CnC Beacon
2841802 - ETPRO MALWARE Suspected Bandook CnC M1
2841803 - ETPRO MALWARE Suspected Bandook CnC Response
2845793 - ETPRO MALWARE Suspected Bandook CnC M2
2848605 - ETPRO MALWARE Bandook TCP CnC Beacon Keep-Alive (Inbound)
2848616 - ETPRO MALWARE Bandook TCP CnC Beacon Keep-Alive (Inbound)
2848728 - ETPRO MALWARE Bandook v0.5FM TCP CnC Beacon M2