Kronosが蘇り、日本を狙う

概要

 

Kronosバンキング型トロイの木馬は、2014年に最初に発見され、突然姿を消すまでの数年間、脅威環境において大きな存在感を持っていました。そのKronosの新しい変種がこの春登場し、これまでにドイツ、日本、ポーランドをターゲットにした攻撃が少なくとも3回行われました。

 

2018年4月、バンキング型トロイの木馬の新しい変種の最初のサンプルがフィールドで発見されました[2]。最も注目すべき新機能は、C&C(Command and Control)のメカニズムがTorの匿名化ネットワークを使用するようにリファクタリングされていることです。Kronosのこの新しいバージョンが "Osiris"と改名され、闇市場で販売されていることを示唆するいくつかの推定および状況証拠があります。このブログでは、ドイツ、日本、ポーランドを狙った攻撃に関する情報と、未だ開発中とみられ、テスト中の第4の攻撃について紹介します。

 

攻撃の解析

ドイツを狙った攻撃、2018627-30

2018年6月27日に、ドイツのユーザーを対象とした悪意のあるドキュメントを伴うEメール攻撃が行われました。メッセージ(図1)はドイツの金融会社から送られたもので、件名は以下になっています:

    Aktualisierung unsere AGBs (translated: “Updating our terms and conditions”)

    Mahnung: 9415166 (translated: “Reminder: 9415166”)

 

添付されたドキュメントも同じテーマで作られており、次のようなファイル名でした:

    agb_9415166.doc

    Mahnung_9415167.

1:ドイツの攻撃で使用されたEメールの例

 

このWord文書には、Kronosバンキング型トロイの木馬の新しい亜種をダウンロードして実行するマクロが含まれていました。マクロが有効になっていれば、実行されてしまいます。いくつかのケースでは、攻撃の中段でSmoke Loaderが使用されていました。KronosはC&C URLとしてhttp://jhrppbnh4d674kzh[.]onion/kpanel/connect.phpを使用するように設定され、ドイツの5つの金融機関を対象としたWebinjectをダウンロードします。図2に、Webinjectの例を示します。

2:ドイツの攻撃で使われたWebinjectの例

 

日本を狙った攻撃、2018713

 

Proofpointはセキュリティ研究者のツイート[3]に基づき、悪意のあるJavaScriptインジェクションを含むサイトに犠牲者を送りこむマルバタイジングチェーンを調べました。このJavaScriptは、SmokeLoaderダウンローダーマルウェアを配布していたRIGエクスプロイトキットに犠牲者をリダイレクトします。このダウンローダーのためのC&Cは以下の通りです:

 

    hxxp://lionoi.adygeya[.]su

    hxxp://milliaoin[.]info

 

以前この攻撃に関わった脅威アクターの追跡結果から、Zeus Pandaバンキング型トロイの木馬(図3)が現れることを期待しました。しかし今回、最終的なペイロードはKronosの新しいバージョンでした(図4)。

3:この脅威アクターが過去にSmokeLoaderZeus Pandaを配信した攻撃

4:同じ脅威アクターが714日に行ったKronosを使った新しい攻撃

このキャンペーンでは、KronosはC&Cとしてhttp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.phpを使用し、そのWebinjectは13箇所の日本の金融機関を対象としていました。図5に、このキャンペーンのWebinjectの例を示します。

5:日本の攻撃で使われたWebinjectの例

 

ポーランドを狙った攻撃、2018715-16

 

2018年7月15日から、ポーランドのユーザーを対象とした悪意のあるドキュメントを伴うEメール攻撃が行われました。メッセージには「Faktura 2018.07.16」などの偽の請求書に関連する件名が使用され、「faktura 2018.07.16.doc」という添付ファイルが含まれていました(図6)。このドキュメントでは、http://mysit[.]space/123//v/0jLHzUWから新しいバージョンのKronosをダウンロードして実行するためのCVE-2017-11882(「Equation Editor」エクスプロイト)を使用しています。

 

6:ポーランドの攻撃で使用された悪意のあるドキュメントの例

 

このKronosのインスタンスは、C&Cとしてhttp://suzfjfguuis326qw[.]onion/kpanel/connect.phpを使用するように設定されています。この調査の時点では、いかなるWebインジェクションも返ってきませんでした。

 

2018720日の「作業中」のキャンペーン

2018年7月20日には、未だ開発段階でテスト中のように見える新しい攻撃が行われました。Proofpointはまだ、このキャンペーンの正確な経路を特定していませんが、このKronosのインスタンスはそのC&Cとしてhxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.phpを使用するように設定されています。ストリーミングミュージックプレーヤーを装うWebサイトの「GET IT NOW」ボタンをクリックすることでダウンロードされます(図7)。

7:「作業中」の攻撃でKronosの新バージョンを配布しているWebサイト

 

調査の時点では、この攻撃は図8に示すテスト版のWebinjectを使用していました。

8:「作業中」の攻撃で使用されているWebinject

 

 

マルウェアの解析

 

Kronosマルウェアについては、これまでに多くの報告があります([4] [5] [6] [7])。これは、WebInjectルールを使用したマン・イン・ザ・ブラウザー技術によって金融機関のWebページを改変し、不正な取引によってユーザーのクレデンシャル、アカウント情報、その他のユーザー情報、金銭の盗難を助けるバンキング型トロイの木馬です。また、Bankerとしての活動を支援するキーロギングと、隠蔽されたVNC機能も備えています。

 

新しい2018年バージョンには、旧バージョンと多くの類似点があります。

 

  • 広範なプログラムの重複
  • 同じWindows APIハッシュ技術とハッシュ
  • 同じ文字列暗号化技術
  • 広範囲な文字列の重複
  • 同じC&C暗号化メカニズム
  • 同じC&Cプロトコルと暗号化
  • 同じWebinjectフォーマット(Zeusフォーマット)
  • 同様のC&Cパネルファイルレイアウト

 

おそらく、新しいマルウェアがKronosであるという最も目立つ特徴は、それが依然として自己識別文字列を含んでいるということです(図9)。

9Kronosの自己識別文字列

 

新バージョンと旧バージョンの大きな違いの1つは、.onion C&C URLとTorを使用して通信を匿名化することです。C&Cは暗号化されて保存され(図10)、図11に示すプロセスを使用して復号化することができます。

10:暗号化されたC&C

11Pythonを使ったC&C復号化の例

 

Osirisバンキング型トロイの木馬

 

同じ時期に、新しいバージョンのKronosのサンプルがフィールドに現れました。アンダーグラウンドのハッキングフォーラム(図12)に「Osiris」(復活を象徴するエジプトの神)と呼ばれる新たなバンキング型トロイの木馬の広告が登場したのです。

12Osirisバンキング型トロイの木馬の広告

 

広告で強調されている機能(C ++、バンキング型トロイの木馬トロイの木馬、Torを使用し、フォームグラブとキーロガー機能、Zeus形式のWebinjectを使用)と、私たちが観測した新しいバージョンのKronosで見られた機能が重複しています。

 

この広告では、ボットのサイズは350 KBとされています。これは、私たちがフィールドで見つけた新しいバージョンのKronosの初期の解凍済サンプルのサイズ(351 KB)に非常に近いものです[8]。このサンプルは「os.exe」という名前であり、「Osiris」の略語と考えられます。

 

さらに、日本での攻撃で使用されたファイル名の一部にも同じ名前を見つけることができます:

 

    hxxp://fritsy83[.]website/Osiris.exe

    hxxp://oo00mika84[.]website/Osiris_jmjp_auto2_noinj.exe

 

これらの関係については推測でしかありませんが、この脅威に関する調査は継続中ですから、これらの関係の可能性は念頭に置いておくべきことです。

 

 

まとめ

 

大きな成功を収め、高い評価を得ているバンキング型トロイの木馬「Kronos」の復活は、脅威環境全体に蔓延するBankerの増加と方向性が同じです。今年の上半期は悪意のあるEメール攻撃にかなりの多様性がありましたが、その中でもバンキング型トロイの木馬は主流を占めていました。Kronosは比較的長く興味深い歴史を持ち、今のところこのまま定着していくように見えます。このエントリーは最近登場した新しいバージョンのマルウェアについての概要ですが、その主な新機能はTorの使用です。このマルウェアは、Kronosの新しいバージョンまたは亜種であるという重要な証拠がありますが、それが改名され、Osirisとして販売されていることを示唆する状況証拠もあります。

 

リファレンス

[1] https://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/

[2] https://twitter.com/tildedennis/status/982354212695584768

[3] https://twitter.com/nao_sec/status/1017810198931517440

[4] https://www.lexsi.com/securityhub/overview-kronos-banking-malware-rootkit/?lang=en

[5] https://www.lexsi.com/securityhub/kronos-decrypting-the-configuration-file-and-injects/?lang=en

[6] https://blog.malwarebytes.com/cybercrime/2017/08/inside-kronos-malware/

[7] https://blog.malwarebytes.com/cybercrime/2017/08/inside-kronos-malware-p2/

[8] https://www.virustotal.com/en/file/e1347d1353775c4b18dc83fbf22f7ba248e1a27f255d7487782dc6f9fee0607d/analysis/

 

Indicators of Compromise (IOCs)

IOC

IOC Type

Description

bb308bf53944e0c7c74695095169363d1323fe9ce6c6117feda2ee429ebf530d

SHA256

Mahnung_9415171.doc used in German campaign

https://dkb-agbs[.]com/25062018.exe

URL

Mahnung_9415171.doc payload used in German campaign

4af17e81e9badf3d03572e808e0a881f6c61969157052903cd68962b9e084177

SHA256

New version of Kronos used in German campaign

http://jhrppbnh4d674kzh[.]onion/kpanel/connect.php

URL

Kronos C&C used in German campaign

https://startupbulawayo[.]website/d03ohi2e3232/

URL

Webinject C&C used in the German campaign

http://envirodry[.]ca

URL

Contains malicious redirect to RIG EK used in the Japan campaign

5[.]23[.]54[.]158

IP

RIG EK used in the Japan campaign

3cc154a1ea3070d008c9210d31364246889a61b77ed92b733c5bf7f81e774c40

SHA256

SmokeLoader used in the Japan campaign

http://lionoi.adygeya[.]su

URL

SmokeLoader C&C used in the Japan campaign

http://milliaoin[.]info

URL

SmokeLoader C&C used in the Japan campaign

http://fritsy83[.]website/Osiris.exe

URL

New version of Kronos download link used in the Japan campaign

http://oo00mika84[.]website/Osiris_jmjp_auto2_noinj.exe

URL

New version of Kronos download link used in the Japan campaign

3eb389ea6d4882b0d4a613dba89a04f4c454448ff7a60a282986bdded6750741

SHA256

New version of Kronos used in the Japan campaign

http://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php

URL

Kronos C&C used in the Japan campaign

https://kioxixu.abkhazia[.]su/

URL

Webinject C&C used in the Japan campaign

045acd6de0321223ff1f1c579c03ea47a6abd32b11d01874d1723b48525c9108

SHA256

“Faktura 2018.07.16.doc” used in the Poland campaign

http://mysit[.]space/123//v/0jLHzUW

URL

New version of Kronos download link used in the Poland campaign

e7d3181ef643d77bb33fe328d1ea58f512b4f27c8e6ed71935a2e7548f2facc0

SHA256

New version of Kronos used in the Poland campaign

http://suzfjfguuis326qw[.]onion/kpanel/connect.php

URL

Kronos C&C used in the Poland campaign

http://gameboosts[.]net/app/Player_v1.02.exe

URL

New version of Kronos download link used in “Work in progress” campaign

93590cb4e88a5f779c5b062c9ade75f9a5239cd11b3deafb749346620c5e1218

SHA256

New version of Kronos used in “Work in progress” campaign

http://mysmo35wlwhrkeez[.]onion/kpanel/connect.php

URL

Kronos C&C used in “Work in progress” campaign