バンキングトロイUrsnifのバージョン3を確認。オーストラリアの金融セクターをターゲットに拡散
バージョンを変えながら、10年以上進化してきたバンキングトロイの”Ursnif”が、最近になって感染が確認されている。
Ursnifについて
このセクションではUrsnifについて簡単に説明する。
Ursnifのバンキングトロイとしての歴史は長く、最初に発見されたのは2007年。
当時は特定のサイバー攻撃集団によって使用されていたマルウェアだったが、2010年にコードが流出した事で数種類の亜種が生み出された。
それらUrsnifのコードをベースにした亜種の例を挙げると、
- Gozi
- Vawtrak
- Neverquest
- GozNym
である。
これらUrsnifの亜種のなかで、最も頻繁に攻撃への利用が確認されたのはUrsnif v2(又の名をGozi v2)である。
特に過去2年間の内、Ursnif v2は活発に見受けられ、北米、ヨーロッパ、日本を拠点におく金融セクターの感染が見受けられている。
以下は、IBM X-Forceによって調査された、2016年〜2017年の間に金融セクターをターゲットにしたバンキングトロイの割合を示すデータである。
表を見てわかる通り、2番目にUrsnifをベースとするGozi系統のバンキングトロイの感染が多いことがわかるだろう。
(金融セクターをターゲットにしたマルウェアの統計データ。※IBM X-Forceのデータを元に作成)
Ursnif v2、そしてUrsnif v3へ
Ursnif v3が確認されたのは2017年の8月である。
マルウェアの開発者は、Ursnifの存在を出来るだけ世間に知られないようにしていた事が伺える。
例えば、テストフェーズの際に、リソースをすぐオフラインにするといった事をしていたようだ。
大まかに言うと、Ursnifのコードは変更されておらず、Ursnif v3になった段階でも大元は変更されていない事が伺える。
しかし変更点がある事も確認されていて、例えばv3では過去のバージョンで呼び出していたAPIを使用していないといった修正も見られる。
また、過去のバージョンでのターゲットが米、ヨーロッパ、日本を拠点におく金融セクターだったのに対して、Ursnif v3ではオーストラリアの金融機関がターゲットになっている。
以上の事から、Ursnifが新たな開発フェーズに達しており、今後も更なる攻撃が確認される事が予測される。
新たに実装されたリダイレクション攻撃
今回感染が確認されたのはUrsnif v3.0であるが、既存バージョンと違った機能が実装されている。
それは「リダイレクション攻撃」である。
リダイレクション攻撃は、被害者を「攻撃者が用意した偽サイト」に呼び寄せる。
マルウェアは銀行の本物のウェブページとのライブコネクションを維持している。
その目的は、URLとデジタル証明書がターゲットのブラウザのアドレスバーに表示するためだ。
この時、攻撃者はターゲットのログイン認証情報、認証コードや他の個人特定に繋がる情報を、Webインジェクションで盗み取る。
2017年11月に公開されたリストによれば、主にオーストラリアの小規模金融機関、又はクレジット情報管理会社をターゲットに感染が拡大しているとされており、それら機関の顧客が被害を受けているという。
Technical Analysis
拡散について
FireEyeのリサーチャーは、2017年の初頭からMicrosoft Sharepointのアカウントが、マルウェアのペイロードをホストしている事を確認した。
(Ursnifを拡散するスパムメール。FireEyeより引用。)
メール内の”REVIEW DOCUMENT”ボタンをクリックすると、以下のマルウェアダウンロードされる。
- ファイル名・・・YourMYOBSupply_Order.zip
- URL・・・hxxps://eacg1-my.sharepoint.com/personal/steve_robson_eaconsultinggroup_com/_layouts/15/download.aspx?docid=
&authkey=
このZIP形式のアーカイブファイルには、JavaScriptで書かれたファイルが含まれており、実行されるとUrsnifのペイロードを端末にダウンロードする。
UrsnifとC&Cサーバーの通信と、Sharepointとの通信のどちらもHTTPSで行われる為、Ursnifの拡散を検知することは難しいとされている。
UrsnifはTLSでコールバック関数を使用
FireEyeのセキュリティ研究チームによれば、Ursnif v3がTLS(Thread Local Storage)コールバックを使用しているようだ。
TLSコールバックとは、Windows端末特有の機能で、TLS(Thread Local Storage) と呼ばれるスレッド毎に固有な記憶領域を利用した場合に、スレッド起動時とスレッド終了時に呼び出されるコールバック関数のを意味する。
詳細なTLSコールバックの説明については以下を参照してもらいたい。
※また、Ursnifがプロセスをインジェクトする際に行うTLSコールバックについては、FireEyeが作成した原文記事を参照いただきたい。
Newly Observed Ursnif Variant Employs Malicious TLS Callback Technique to Achieve Process Injection
IOC
Filename: YourMYOBSupply_Order.zip
MD5: f6ee68d03f3958785fce45a1b4f590b4
SHA256: 772bc1ae314dcea525789bc7dc5b41f2d4358b755ec221d783ca79b5555f22ce
Filename: YourMYOBSupply_Order.js
MD5: c9f18579a269b8c28684b827079be52b
SHA256: 9f7413a57595ffe33ca320df26231d30a521596ef47fb3e3ed54af1a95609132
Filename: download[1].aspx
MD5: 13794d1d8e87c69119237256ef068043
SHA256: e498b56833da8c0170ffba4b8bcd04f85b99f9c892e20712d6c8e3ff711fa66c