日本語EmotetからのTrickbotのばらまきが再び始まりました。
なお、11/27にはEmotetに関してJPCERT/CCから注意喚起を発行しています。
脅威から未然防止策、事後対応策まで記載されていますので、そちらも合わせて参照ください。

マルウエア Emotet の感染に関する注意喚起https://www.jpcert.or.jp/at/2019/at190044.html

■日時
2019/11/26(火) - 2019/11/29(金)

■追加ペイロード
Trickbot

幾つか、この週は変化が見られました。

■Emotetボットネット全体の話
・11/25より、メールの添付ファイルのdocファイルの見た目が変化しました。
以前：青背景にOffice365
最新：灰色背景にOpenOffice
https://twitter.com/bomccss/status/1198910279985164289

・11/26より、EmotetのC2へアクセスパスが変化しました。
以前：登録された単語からランダムに抽出して作られるパス　　ex) /health/psec/pdf/
最新：大小英数の乱数　ex) /GHklqn8xSA0

■日本向けばらまきの変化

件名が何種類か追加されました。

・確認できた日本語件名(追加)
[本日23:59まで]amazon.comに更新割引クーポンが発行されました
amazonに更新割引クーポンが発行されました
amazon.comに更新割引クーポンが発行されました
amazon.co.jpに更新割引クーポンが発行されました
ご入金額の通知・ご請求書発行のお願い
請求書の件です。
請求書送付のお願い
お支払い
必要条件
支払い書類
支払通知
請求書
領収書
重要
気づく

■本文
11/26より、これまで3つのブロックで構成されていた本文が、4ブロックのものが現れました。
主に請求書関連の件名のものです。
日本語の練度も上がっているように感じています。
※日本語の本文はばらまき型、返信型ともに同じパターンで作成されています。

■添付ファイル名の変化
11/27より、一部の請求書関連の件名の場合、添付ファイル名に件名が付くようになりました。
返信型の添付ファイルでも添付ファイル名に請求書関係の件名がファイル名につくケースもあります。つかないケースもあります。
件名流用型の場合に請求書関係のファイル名になる、かも。

（例）
件名　　: 請求書送付のお願い 14145358_20191128
ファイル名: 請求書送付のお願い 14145358 20191128.doc

件名　　: Re: ～～～
ファイル名: 請求書の件です。 OW5944 .doc

昨年もありました、気象庁をかたった不審メールが出ていたようです。
偶然か意図してか、昨年と同日に発生したようです。

なお、昨年のものについては、以下の記事が参考になります。
https://piyolog.hatenadiary.jp/entry/20181112/1541970943
https://www.paloaltonetworks.jp/company/in-the-news/2018/analysis-of-smoke-loader-in-new-tsunami-campaign
https://www.fortinet.co.jp/blog/threat-research/fake-tsunami-brings-malware-to-japan.html

今回のは、Tsunami Campaign再来というべきか、新たにJishin Campaignというべきか。

なお、今年のものについても既にpiyokangoさんがまとめている記事があります。
https://piyolog.hatenadiary.jp/entry/2019/11/07/064446

こちらでは、主にマルウェアの動きなどをまとめていきます。

■件名
案内・申請

■送信元アドレス
気象庁<tanaka@js-corp.net>

本文は緊急地震速報を受け取るためと称して、Windowsアプリのダウンロードを促す文面があったようです。

■リンク先
hxxp://everfree-inc[.]jp/css/jma.php?pK9Ed7goWpLMkojxqnscfAn01amq1LuKoCKxoH0mHbhn0LDaw5SOAevwMtl8WXm78Adt2q3%2Bxar5u2FZH2T0tAHs0JdaKmbKnLeKOhZwtaYRE6VhpOwKOLrTx4evKcSahWxiCTnYg2I1NrRMa5M8tfSUHdV4OUToulFI2Vbmd%2BDflEi9pv0J9974YihYQObNO3zGJQ8kkFLbDvf3LmQcyg%3D%3D

※以下へリダイレクトされます。
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/

■ダウンロードされるマルウェア
JMA_Weather_Apps.iso
MD5: 916C8BD9F2270DCAD487F7F1C6BD68D7

iso形式のファイルはここ1年位でマルウェアの配布で見かけるようになりました。
ディスクイメージファイルですが、Windows10であれば、ダブルクリックすることで自動でマウントされます。

このisoファイルの中には以下の2つのファイルが存在します。
・autorun.inf
・JMA_Weather_Apps.exe
MD5: 2bd380ac4ee04a429fbc15065add09e8

マウントされるとautoruns.infによって自動的にexeファイルが実行されます。

JMA_Weather_Apps.exe のsandobox実行結果
https://app.any.run/tasks/6fee3bed-9e03-483b-bf40-b1db42b4951b/

■マルウェアVidar JMA_Weather_Apps.exe の挙動
このマルウェアは、Vidarと呼ばれる情報窃取型のマルウェアです。同時に別のマルウェアを感染させるケースもあります。
今回もそのケースです。

マルウェアVidarについては以下の記事が参考になります。
https://fumik0.com/2018/12/24/lets-dig-into-vidar-an-arkei-copycat-forked-stealer-in-depth-analysis/
https://isc.sans.edu/forums/diary/What+data+does+Vidar+malware+steal+from+an+infected+host/25398/

JMA_Weather_Apps.exeが実行されると、以下の通信が発生します。

C2: hxxp://acrelop[.]com

C2に一度POST通信をした後、C2からモジュール(DLL)を5種類ダウンロードします。
その後ip-apiというIPの地理情報を返すサイトへ通信し、どこからの感染かを調査します。
更に端末内で収集した情報と合わせてPOST通信すると、次のマルウェアのダウンロード先が与えられます。

次のマルウェアのダウンロード先である以下に通信を行います。

hxxp://everfree-inc[.]jp/css/jma.exe
MD5: cfd776b1cb9004e0f214f33431b3646b

その後、コマンドプロンプト経由で自身のタスクを止め、ファイル自体も削除します。
※画像のCommand部を参照

なお、ダウンロードされたdllやexeは C:\ProgramData に格納されています。
※5KPC7lKC3P.exeはダウンロードされたjma.exeです

また、exeの上の Y6N9ON8HIU7L2P8FPB15KZ66Y フォルダにはマルウェアが情報収集したデータが含まれます。

この中に含まれるのはブラウザに記憶させているID/PWやメール情報、仮想通貨のウォレット情報、スクリーンショットなどが含まれます。
その情報が2回めのPOSTのタイミングで送信されています。

なお、このマルウェアのバージョンはinformation.txt に記載されますが、今回は15.1でした。

■マルウェアSmokeLoader jma.exe の挙動
次に、vidarがダウンロードしたマルウェア jma.exe についてです。

jma.exe のsandobox実行結果
https://app.any.run/tasks/15f996e7-81f0-461c-bab5-bf07ad0d57e8/
https://www.vmray.com/analyses/cdc13684f411/report/overview.html

これはマルウェアSmokeLoaderです。
昨年度も使われたマルウェアです。

マルウェアSmokeLoaderについては、以下の記事が参考になります。
https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
https://www.paloaltonetworks.jp/company/in-the-news/2018/analysis-of-smoke-loader-in-new-tsunami-campaign

Smokeloader は仮想環境で動作していることを検知するため、AnyRunで動作させても動作を示しません。VMrayでは動作しています。
また、動的解析妨害機能を持っていて、普段動的解析に使用しているProcessHackerやprocmon、wiresharkは強制的に止められてしまいます。
BurpSuiteは使えるため、BurpSuiteで挙動を示します。

C2は以下です。
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

ResposeCodeは404ですが、Responseを見るとデータが帰ってきています。404を偽装しているだけのようです。

これは暗号化されたプラグインのようです。

通信は10分ごとに発生しており、2度目のPOSTでは恐らく端末内で取得したデータを送っており、その先は定期的なコールバック通信となっています。

10分ごとの通信はタスクスケジューラに設定されています。

jatsrfcファイルを読み込んで実行しています。
そのファイルの中身は以下です。（見やすく整形しています）

wjuaieeを実行しています。
wjuaieeファイルはjma.exeのDLL版です。hashも同一です。
https://app.any.run/tasks/47be96ff-b220-45df-98c6-ced32f1ac319/

同一フォルダに格納されたtcwdacgが暗号化されたプラグインと思われます。

解析したい方向けにAnyRunにおきます。
https://app.any.run/tasks/7a57359f-1aad-4316-99fb-9b98b49cc05a/

これらはExplorer.exeにインジェクションされます。
SmokeLoaderはその名の通り、他のマルウェアがダウンロードされることがあるのですが、今回は観測出来ませんでした。
プラグインにより情報を収集することが目的だったのかもしれません。
昨年の例を考慮すると、このSmokeLoaderが本命のマルウェアだった可能性が高そうです。

■ダウンロード元サイト
なお、今回悪用されている以下のサイトは共に改ざんされて悪用されたものと考えられます。

・everfree-inc[.]jp
・www.postlife.or[.]jp

恐らくですが、去年と同じアクターであれば、去年はドメイン取得社情報からキャンペーンを分析されたため、今回は正規サイトを改ざんし、使用したものと思われます。

■関連キャンペーン情報
キャンペーンの他の動向を探るため、以下2つのC2に関連するものを調べてみました。

・acrelop[.]com
・hockeysministries[.]org

・acrelop[.]com
このドメインは2019-07-28から利用されているようです。
このC2に通信する検体をVTで調べると、11/2頃よりあります。
30検体程度ありますが、挙動を見ると同じような動作をしており、これもすべてVidarと思われます。
https://www.virustotal.com/gui/domain/acrelop.com/relations

もしかしたら、VidarとSmokeLoaderのアクターは別で、SmokeLoaderのアクターがダウンローダとしてVidarを他のアクターから借りたのかもしれません。
Vidarの提供側はダウンローダとして他のアクターから使用量をもらいつつ、端末内の認証情報やカード情報を合わせて搾取するという手法なのかもしれません。

・hockeysministries[.]org

このドメインは2019-09-13に取得されたようです。今回のために取得されたと考えて良いのではないでしょうか。

このC2に通信する関連検体としては、以下があります。
https://www.virustotal.com/gui/file/7697f46e2fc376f704ba617466323bfb0befc2add5a99bd824ce809bea041328/details

同一のパスに対して通信しており、同じくSmokeLoaderと考えられます。

■感染有無の確認

・Vidar / JMA_Weather_Apps.exe
以下の通信先にアクセスがないかを確認します。

hxxp://everfree-inc[.]jp/css/jma.php
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/
hxxp://acrelop[.]com

以下のファイルがないか調べます。
C:\ProgramData\mozglue.dll

・SmokeLoader / jma.exe
以下の通信先にアクセスがないかを確認します。

hxxp://everfree-inc[.]jp/css/jma.exe
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

タスクマネージャに以下のタスクががないかを確認します。
NvNgxUpdateCheckDaily_(以下略)
（プログラムの開始にregsvr32 ..(略).. \Roaming\jatsrfc が含まれるもの)

以下のファイルがないか確認します。
C:\Users\（ユーザ名）\AppData\Roaming\wjuaiee

■感染時の対処
・Vidar / JMA_Weather_Apps.exe
Vidarは永続化手法を確認していません。そのため、残っていた場合にはプロセスをタスクマネージャから停止させれば大丈夫です。
ただし、搾取されてしまった情報があった場合には注意が必要です。
C:\ProgramData\(ランダムな長いフォルダ名)\ のフォルダに情報がある場合には、例えばID/PWの変更やカードの利用停止措置などが必要になるかと思います。

・SmokeLoader / jma.exe
SmokeLoaderはタスクスケジューラで永続化しています。
タスクスケジューラの該当のジョブを削除します。合わせて以下のフォルダにあるマルウェアを削除します。
C:\Users\（ユーザ名）\AppData\Roaming\wjuaiee など
SmokeLoaderはExplorer.exeにインジェクションしていますので、タスクマネージャでExplorer.exe を再起動します。複数起動している場合は一つを除いて停止してから再起動です。
その後、C2への通信が出ていないか、確認しておけば良いと思います。
通信の確認はWireSharkで行えばよいと思いますが、WireSharkが起動すれば感染していないと考えていいと思われます。

■IoC
・マルウェアMD5:
916C8BD9F2270DCAD487F7F1C6BD68D7  : JMA_Weather_Apps.iso
2bd380ac4ee04a429fbc15065add09e8  : JMA_Weather_Apps.exe
cfd776b1cb9004e0f214f33431b3646b  : jma.exe
・通信先
hxxp://everfree-inc[.]jp/css/jma.php
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/
hxxp://acrelop[.]com
hxxp://everfree-inc[.]jp/css/jma.exe
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

・端末内マルウェア格納フォルダ
C:\ProgramData\
C:\Users\（ユーザ名）\AppData\Roaming\

以上