bomb_log

セキュリティに関するbom

トップ > 2019/11/06(水) 気象庁を騙る不審メールの調査

2019/11/06(水) 気象庁を騙る不審メールの調査

昨年もありました、気象庁をかたった不審メールが出ていたようです。
偶然か意図してか、昨年と同日に発生したようです。

 

なお、昨年のものについては、以下の記事が参考になります。
https://piyolog.hatenadiary.jp/entry/20181112/1541970943
https://www.paloaltonetworks.jp/company/in-the-news/2018/analysis-of-smoke-loader-in-new-tsunami-campaign
https://www.fortinet.co.jp/blog/threat-research/fake-tsunami-brings-malware-to-japan.html

 

今回のは、Tsunami Campaign再来というべきか、新たにJishin Campaignというべきか。

なお、今年のものについても既にpiyokangoさんがまとめている記事があります。
https://piyolog.hatenadiary.jp/entry/2019/11/07/064446

こちらでは、主にマルウェアの動きなどをまとめていきます。

 


■件名
案内・申請

■送信元アドレス
気象庁<tanaka@js-corp.net>


本文は緊急地震速報を受け取るためと称して、Windowsアプリのダウンロードを促す文面があったようです。

■リンク先
hxxp://everfree-inc[.]jp/css/jma.php?pK9Ed7goWpLMkojxqnscfAn01amq1LuKoCKxoH0mHbhn0LDaw5SOAevwMtl8WXm78Adt2q3%2Bxar5u2FZH2T0tAHs0JdaKmbKnLeKOhZwtaYRE6VhpOwKOLrTx4evKcSahWxiCTnYg2I1NrRMa5M8tfSUHdV4OUToulFI2Vbmd%2BDflEi9pv0J9974YihYQObNO3zGJQ8kkFLbDvf3LmQcyg%3D%3D

※以下へリダイレクトされます。
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/


■ダウンロードされるマルウェア
JMA_Weather_Apps.iso
MD5: 916C8BD9F2270DCAD487F7F1C6BD68D7

iso形式のファイルはここ1年位でマルウェアの配布で見かけるようになりました。
ディスクイメージファイルですが、Windows10であれば、ダブルクリックすることで自動でマウントされます。

このisoファイルの中には以下の2つのファイルが存在します。
・autorun.inf
・JMA_Weather_Apps.exe
MD5: 2bd380ac4ee04a429fbc15065add09e8

マウントされるとautoruns.infによって自動的にexeファイルが実行されます。

JMA_Weather_Apps.exe のsandobox実行結果
https://app.any.run/tasks/6fee3bed-9e03-483b-bf40-b1db42b4951b/

 

マルウェアVidar JMA_Weather_Apps.exe の挙動
このマルウェアは、Vidarと呼ばれる情報窃取型のマルウェアです。同時に別のマルウェアを感染させるケースもあります。
今回もそのケースです。

マルウェアVidarについては以下の記事が参考になります。
https://fumik0.com/2018/12/24/lets-dig-into-vidar-an-arkei-copycat-forked-stealer-in-depth-analysis/
https://isc.sans.edu/forums/diary/What+data+does+Vidar+malware+steal+from+an+infected+host/25398/


JMA_Weather_Apps.exeが実行されると、以下の通信が発生します。

f:id:bomccss:20191109184215p:plain
f:id:bomccss:20191109185757p:plain

C2: hxxp://acrelop[.]com

C2に一度POST通信をした後、C2からモジュール(DLL)を5種類ダウンロードします。
その後ip-apiというIPの地理情報を返すサイトへ通信し、どこからの感染かを調査します。
更に端末内で収集した情報と合わせてPOST通信すると、次のマルウェアのダウンロード先が与えられます。

f:id:bomccss:20191109185438p:plain

f:id:bomccss:20191109185412p:plain


次のマルウェアのダウンロード先である以下に通信を行います。

hxxp://everfree-inc[.]jp/css/jma.exe
MD5: cfd776b1cb9004e0f214f33431b3646b

その後、コマンドプロンプト経由で自身のタスクを止め、ファイル自体も削除します。
※画像のCommand部を参照

f:id:bomccss:20191109185524p:plain


なお、ダウンロードされたdllやexeは C:\ProgramData に格納されています。
※5KPC7lKC3P.exeはダウンロードされたjma.exeです

f:id:bomccss:20191109185556p:plain

また、exeの上の Y6N9ON8HIU7L2P8FPB15KZ66Y フォルダにはマルウェアが情報収集したデータが含まれます。

f:id:bomccss:20191109185609p:plain


この中に含まれるのはブラウザに記憶させているID/PWやメール情報、仮想通貨のウォレット情報、スクリーンショットなどが含まれます。
その情報が2回めのPOSTのタイミングで送信されています。

 

なお、このマルウェアのバージョンはinformation.txt に記載されますが、今回は15.1でした。

f:id:bomccss:20191109185942p:plain



マルウェアSmokeLoader jma.exe の挙動
次に、vidarがダウンロードしたマルウェア jma.exe についてです。

jma.exe のsandobox実行結果
https://app.any.run/tasks/15f996e7-81f0-461c-bab5-bf07ad0d57e8/
https://www.vmray.com/analyses/cdc13684f411/report/overview.html

これはマルウェアSmokeLoaderです。
昨年度も使われたマルウェアです。

マルウェアSmokeLoaderについては、以下の記事が参考になります。
https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
https://www.paloaltonetworks.jp/company/in-the-news/2018/analysis-of-smoke-loader-in-new-tsunami-campaign

 

Smokeloader は仮想環境で動作していることを検知するため、AnyRunで動作させても動作を示しません。VMrayでは動作しています。
また、動的解析妨害機能を持っていて、普段動的解析に使用しているProcessHackerやprocmon、wiresharkは強制的に止められてしまいます。
BurpSuiteは使えるため、BurpSuiteで挙動を示します。

C2は以下です。
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

f:id:bomccss:20191109190008p:plain


ResposeCodeは404ですが、Responseを見るとデータが帰ってきています。404を偽装しているだけのようです。

f:id:bomccss:20191109190034p:plain


これは暗号化されたプラグインのようです。

通信は10分ごとに発生しており、2度目のPOSTでは恐らく端末内で取得したデータを送っており、その先は定期的なコールバック通信となっています。

f:id:bomccss:20191109190101p:plain

f:id:bomccss:20191109190122p:plain


10分ごとの通信はタスクスケジューラに設定されています。

f:id:bomccss:20191109190144p:plain


jatsrfcファイルを読み込んで実行しています。
そのファイルの中身は以下です。(見やすく整形しています)

f:id:bomccss:20191109190158p:plain


wjuaieeを実行しています。
wjuaieeファイルはjma.exeのDLL版です。hashも同一です。
https://app.any.run/tasks/47be96ff-b220-45df-98c6-ced32f1ac319/

同一フォルダに格納されたtcwdacgが暗号化されたプラグインと思われます。

f:id:bomccss:20191109190233p:plain

解析したい方向けにAnyRunにおきます。
https://app.any.run/tasks/7a57359f-1aad-4316-99fb-9b98b49cc05a/

 

これらはExplorer.exeにインジェクションされます。
SmokeLoaderはその名の通り、他のマルウェアがダウンロードされることがあるのですが、今回は観測出来ませんでした。
プラグインにより情報を収集することが目的だったのかもしれません。
昨年の例を考慮すると、このSmokeLoaderが本命のマルウェアだった可能性が高そうです。

 

■ダウンロード元サイト
なお、今回悪用されている以下のサイトは共に改ざんされて悪用されたものと考えられます。

・everfree-inc[.]jp
・www.postlife.or[.]jp

恐らくですが、去年と同じアクターであれば、去年はドメイン取得社情報からキャンペーンを分析されたため、今回は正規サイトを改ざんし、使用したものと思われます。


■関連キャンペーン情報
キャンペーンの他の動向を探るため、以下2つのC2に関連するものを調べてみました。

・acrelop[.]com
・hockeysministries[.]org


・acrelop[.]com
このドメインは2019-07-28から利用されているようです。
このC2に通信する検体をVTで調べると、11/2頃よりあります。
30検体程度ありますが、挙動を見ると同じような動作をしており、これもすべてVidarと思われます。
https://www.virustotal.com/gui/domain/acrelop.com/relations

もしかしたら、VidarとSmokeLoaderのアクターは別で、SmokeLoaderのアクターがダウンローダとしてVidarを他のアクターから借りたのかもしれません。
Vidarの提供側はダウンローダとして他のアクターから使用量をもらいつつ、端末内の認証情報やカード情報を合わせて搾取するという手法なのかもしれません。

 

・hockeysministries[.]org

このドメインは2019-09-13に取得されたようです。今回のために取得されたと考えて良いのではないでしょうか。

このC2に通信する関連検体としては、以下があります。
https://www.virustotal.com/gui/file/7697f46e2fc376f704ba617466323bfb0befc2add5a99bd824ce809bea041328/details

同一のパスに対して通信しており、同じくSmokeLoaderと考えられます。

 

■感染有無の確認

・Vidar / JMA_Weather_Apps.exe
以下の通信先にアクセスがないかを確認します。

hxxp://everfree-inc[.]jp/css/jma.php
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/
hxxp://acrelop[.]com

以下のファイルがないか調べます。
C:\ProgramData\mozglue.dll

 

・SmokeLoader / jma.exe
以下の通信先にアクセスがないかを確認します。

hxxp://everfree-inc[.]jp/css/jma.exe
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

タスクマネージャに以下のタスクががないかを確認します。
NvNgxUpdateCheckDaily_(以下略)
(プログラムの開始にregsvr32 ..(略).. \Roaming\jatsrfc が含まれるもの)

以下のファイルがないか確認します。
C:\Users\(ユーザ名)\AppData\Roaming\wjuaiee

 

■感染時の対処
・Vidar / JMA_Weather_Apps.exe
Vidarは永続化手法を確認していません。そのため、残っていた場合にはプロセスをタスクマネージャから停止させれば大丈夫です。
ただし、搾取されてしまった情報があった場合には注意が必要です。
C:\ProgramData\(ランダムな長いフォルダ名)\ のフォルダに情報がある場合には、例えばID/PWの変更やカードの利用停止措置などが必要になるかと思います。

・SmokeLoader / jma.exe
SmokeLoaderはタスクスケジューラで永続化しています。
タスクスケジューラの該当のジョブを削除します。合わせて以下のフォルダにあるマルウェアを削除します。
C:\Users\(ユーザ名)\AppData\Roaming\wjuaiee など
SmokeLoaderはExplorer.exeにインジェクションしていますので、タスクマネージャでExplorer.exe を再起動します。複数起動している場合は一つを除いて停止してから再起動です。
その後、C2への通信が出ていないか、確認しておけば良いと思います。
通信の確認はWireSharkで行えばよいと思いますが、WireSharkが起動すれば感染していないと考えていいと思われます。

 

IoC
マルウェアMD5:
916C8BD9F2270DCAD487F7F1C6BD68D7  : JMA_Weather_Apps.iso
2bd380ac4ee04a429fbc15065add09e8  : JMA_Weather_Apps.exe
cfd776b1cb9004e0f214f33431b3646b  : jma.exe
・通信先
hxxp://everfree-inc[.]jp/css/jma.php
hxxps://www.postlife.or[.]jp/www.jma[.]go[.]jp/applications/
hxxp://acrelop[.]com
hxxp://everfree-inc[.]jp/css/jma.exe
hxxp://hockeysministries[.]org/playoff/chmpion4378/hockey.php

・端末内マルウェア格納フォルダ
C:\ProgramData\
C:\Users\(ユーザ名)\AppData\Roaming\

 

以上