トップ > バンキングトロイUrsnifのバージョン3を確認。オーストラリアの金融セクターをターゲットに拡散

バンキングトロイUrsnifのバージョン3を確認。オーストラリアの金融セクターをターゲットに拡散

f:id:nanashi0x:20171130210510p:plain

バージョンを変えながら、10年以上進化してきたバンキングトロイの”Ursnif”が、最近になって感染が確認されている。

Ursnifについて

このセクションではUrsnifについて簡単に説明する。

Ursnifのバンキングトロイとしての歴史は長く、最初に発見されたのは2007年。

当時は特定のサイバー攻撃集団によって使用されていたマルウェアだったが、2010年にコードが流出した事で数種類の亜種が生み出された。

それらUrsnifのコードをベースにした亜種の例を挙げると、

  • Gozi
  • Vawtrak
  • Neverquest
  • GozNym

である。

これらUrsnifの亜種のなかで、最も頻繁に攻撃への利用が確認されたのはUrsnif v2(又の名をGozi v2)である。

特に過去2年間の内、Ursnif v2は活発に見受けられ、北米、ヨーロッパ、日本を拠点におく金融セクターの感染が見受けられている。

以下は、IBM X-Forceによって調査された、2016年〜2017年の間に金融セクターをターゲットにしたバンキングトロイの割合を示すデータである。

表を見てわかる通り、2番目にUrsnifをベースとするGozi系統のバンキングトロイの感染が多いことがわかるだろう。

f:id:nanashi0x:20171130210618p:plain

(金融セクターをターゲットにしたマルウェアの統計データ。※IBM X-Forceのデータを元に作成)

参考URL(外部リンク)

Project Blitzkrieg: How to Block the Planned Prinimalka-Gozi Trojan Attack

Ursnif v2、そしてUrsnif v3へ

Ursnif v3が確認されたのは2017年の8月である。

マルウェアの開発者は、Ursnifの存在を出来るだけ世間に知られないようにしていた事が伺える。

例えば、テストフェーズの際に、リソースをすぐオフラインにするといった事をしていたようだ。

大まかに言うと、Ursnifのコードは変更されておらず、Ursnif v3になった段階でも大元は変更されていない事が伺える。

しかし変更点がある事も確認されていて、例えばv3では過去のバージョンで呼び出していたAPIを使用していないといった修正も見られる。

また、過去のバージョンでのターゲットが米、ヨーロッパ、日本を拠点におく金融セクターだったのに対して、Ursnif v3ではオーストラリアの金融機関がターゲットになっている。

以上の事から、Ursnifが新たな開発フェーズに達しており、今後も更なる攻撃が確認される事が予測される。

新たに実装されたリダイレクション攻撃

今回感染が確認されたのはUrsnif v3.0であるが、既存バージョンと違った機能が実装されている。

それは「リダイレクション攻撃」である。

リダイレクション攻撃は、被害者を「攻撃者が用意した偽サイト」に呼び寄せる。

マルウェアは銀行の本物のウェブページとのライブコネクションを維持している。

その目的は、URLとデジタル証明書がターゲットのブラウザのアドレスバーに表示するためだ。

この時、攻撃者はターゲットのログイン認証情報、認証コードや他の個人特定に繋がる情報を、Webインジェクションで盗み取る。

2017年11月に公開されたリストによれば、主にオーストラリアの小規模金融機関、又はクレジット情報管理会社をターゲットに感染が拡大しているとされており、それら機関の顧客が被害を受けているという。

Technical Analysis

拡散について

FireEyeのリサーチャーは、2017年の初頭からMicrosoft Sharepointのアカウントが、マルウェアペイロードをホストしている事を確認した。

以下は、スパムメールを示すスクリーンショット画像である。

f:id:nanashi0x:20171130210548p:plain
(Ursnifを拡散するスパムメールFireEyeより引用。)

メール内の”REVIEW DOCUMENT”ボタンをクリックすると、以下のマルウェアダウンロードされる。

  • ファイル名・・・YourMYOBSupply_Order.zip
  • URL・・・hxxps://eacg1-my.sharepoint.com/personal/steve_robson_eaconsultinggroup_com/_layouts/15/download.aspx?docid=&authkey=

このZIP形式のアーカイブファイルには、JavaScriptで書かれたファイルが含まれており、実行されるとUrsnifのペイロードを端末にダウンロードする。

UrsnifとC&Cサーバーの通信と、Sharepointとの通信のどちらもHTTPSで行われる為、Ursnifの拡散を検知することは難しいとされている。

UrsnifはTLSでコールバック関数を使用

FireEyeのセキュリティ研究チームによれば、Ursnif v3がTLS(Thread Local Storage)コールバックを使用しているようだ。

TLSコールバックとは、Windows端末特有の機能で、TLS(Thread Local Storage) と呼ばれるスレッド毎に固有な記憶領域を利用した場合に、スレッド起動時とスレッド終了時に呼び出されるコールバック関数のを意味する。

詳細なTLSコールバックの説明については以下を参照してもらいたい。

参考URL(外部リンク)

※また、Ursnifがプロセスをインジェクトする際に行うTLSコールバックについては、FireEyeが作成した原文記事を参照いただきたい。

Newly Observed Ursnif Variant Employs Malicious TLS Callback Technique to Achieve Process Injection

IOC

Filename: YourMYOBSupply_Order.zip

MD5: f6ee68d03f3958785fce45a1b4f590b4

SHA256: 772bc1ae314dcea525789bc7dc5b41f2d4358b755ec221d783ca79b5555f22ce

Filename: YourMYOBSupply_Order.js

MD5: c9f18579a269b8c28684b827079be52b

SHA256: 9f7413a57595ffe33ca320df26231d30a521596ef47fb3e3ed54af1a95609132

Filename: download[1].aspx

MD5: 13794d1d8e87c69119237256ef068043

SHA256: e498b56833da8c0170ffba4b8bcd04f85b99f9c892e20712d6c8e3ff711fa66c

Reference