数十万件のポリモーフィック型ランサムウェアを散布するサイバー攻撃が進行中

4月27日の朝、攻撃者が数十万件の偽の請求書を送信し始めた頃、皆さんは起きたばかりだったかもしれません。太平洋時間の午前5時45分から11時の間に、このローラー作戦の第1段階が開始しました。偽の.rtf添付ファイル付きで送信された請求書は、まったくの偽物だったのです。

McAfee Messaging Securityでは、スパムコンテンツ自体に加え、攻撃の量と送信元-送信先のメタデータを測定することができます。この攻撃のポリモーフィック属性により、たった数時間で以下のような大規模な影響が発生しました。

  • 18万件以上のメッセージ
  • 17,193種類の件名
  • 19,649種類の送信元
  • 6,595の送信元IP

時間を追ってこの攻撃を見てみると、攻撃者が大量のIPアドレスから送信を開始し、時間の経過と共にその数が減少していることがわかります(以下のグラフを参照)。これらIPをさらに詳しく調査すると、それぞれ1つのIPから、同一ドメインの少数のFromアドレスからであったことが判明しました。つまり、感染したアカウントのアイデンティティを使用して、各コンピュータの特定の送信メッセージ用転送エージェントを経由して送信していたのです。送信元のサーバーはSMTP通信のHELOフェーズ中は、正規のなホスト名を使用していました。

01_20160509ables1

この攻撃では「Firstname Lastname」などの件名を使用して、一見.rtfのような、実は.docxファイルを各種の添付ファイル名で送信していました。送信元は多数のトリックを用いていました。ファイル名のサンプル:

  • 00066_9101–u.rtf
  • 000-741w…rtf
  • 0007-45869cgoowc.rtf
  • 0007696812…m.rtf
  • 00079735g-.rtf
  • 0008-29583_p-k.rtf
  • 00087.54940-w_c.rtf

送信者は被害者に、これが本物の請求書と簡単なメッセージであると思い込ませようとしました。新しい手口の簡潔なスパムです。情報量が多くなれば、疑問が生じやすくなります。請求書に会社名を追加するだけで、請求書を担当する部門の慎重な人ですら、そのメッセージを信用してしまいがちです。

02_20160509ables2

添付ファイルを開くと、ユーザーはマクロを実行するように促されます。

03_20160509ables3

マクロを有効化すると、ファイルがVBScriptファイルをドロップして実行し、自らのコピー %appdata%\Roaming\<4-5 digit filename>.vbsをappdataディレクトリに作成します。このファイルは接続先のWebサイトからファイルをダウンロードし、実行しようとします。ここで、Cerberランサムウェアに関連する、暗号化されたマルウェアペイロードが待機しています。

このような攻撃が4月末から5月にかけて発生しました。3つの異なる攻撃で重複するIPアドレスを分析したところ、送信元の50%近く(合計3,327)が、以下の3日間共通で再利用されていました。

特定日に使用された個別のIP:

  • 4月27日:                  6,656
  • 5月3日:                    7,311
  • 5月4日:                    8,035

この種の攻撃は主として米国内の受信者をターゲットにしており、スパムの大半は.comドメイン宛てでした。

インテル セキュリティの顧客トラフィックでは、.rtfの添付ファイルが電子メールで送信されることは非常にまれです。この種のファイルを受信する必要があるのかどうか、それぞれの環境で確認する必要があります。その必要がまったくない場合は、デフォルトでこの種の添付ファイルを許可することはセキュリティリスクになります。電子メールゲートウェイで、不要なファイル拡張子をブロックすることができます。この攻撃はポリモーフィックなので、特定のルールを作成しても、件名や添付パターンが変更されるまで、せいぜい1週間程度しか効果が持続しないでしょう。

この攻撃は5月5日にファイル名拡張子を.dotに変更しました。この種のファイルについても同様で、これが不要な環境では、許可することがセキュリティリスクになります。

ランサムウェアはヘルスケア組織(英文)金融業界(英文)への攻撃でメディアの注目を集めています。こういった攻撃が成功することで、今後しばらくは攻撃が続くことになります。ランサムウェアに関する概要は、弊社のBruce Snellによるこの記事をお読みください。インテル セキュリティは変化するこの種の脅威に迅速に対応します。

本書での分析をサポートしてくれた、弊社のArmando Rodriguez, Jr.とMark Oleaに感謝します。

※本ページの内容は2016年5月9日更新のMcAfee Blog の抄訳です。
原文: Current Campaign Delivers Hundreds of Thousands of Polymorphic Ransomware
著者: Michael Ables

【関連情報】

 

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速