旧式ながら効果的なパスワードスティーラーを活用したフィッシング攻撃

数カ月前、私たちはある顧客からサンプルを入手しました。このサンプルはパスワードスティーラー(PWS)であることが判明しました。このマルウェアにはある目立った特徴がありました。それはアクセスパネルのURLに使用されていたサブディレクトリです。ここには、文字列「***=**U=TEAM」(ここでは難読化して表示しています)が含まれていました。調査の結果、これは産業スパイのケースの可能性があることがわかりました。

 

08311_od001team_090316

この攻撃者は、侵入したWebサイトを使用してアクセスパネルをホストしました。幸いにも、彼らは侵入したサイトにドロップしたZIPファイルを残すという過ちを犯していました。

08312_od003team_090316_2

その結果、私たちはこのパネルのバックエンドの動作を確認することができました。このZipファイルには5つのファイルが含まれていました。

08313_od004team_090316_5

興味深かったファイルは、config.php、index.php、install.phpの3つです。

Config.phpには、彼らがセットアップするMySQLのパスワードが含まれています。

08314_od005team_090316_2

Install.phpは、データベースを作成するとともに、マルウェアによって盗み出されたパスワードを保管するパネルをセットアップします。このコードからは、次のスニペットが見つかりました。

08315_od006team_090316

調査を進めると、もともとこの「Bilal Ghouri」は、2009年にリリースされ人気を博したPWS Hackhound StealerのPHPバックエンドに関与していたことがわかりました。

また、コードの末尾にこの警告が見つかりました。

08316_od007team_090316

攻撃者は、忘れずにこのファイルを削除するべきでした。

08317_od008team_0903161

最も重要なファイルがindex.phpです。このファイルは、このマルウェアによってアップロードされたパスワードを保管します。また、攻撃者によるデータの検索やエクスポートも可能にします。

08318_od009team_090316

興味深いのは、このスクリプトが特定のユーザーエージェント「HardCore Software For :Public」をチェックする点です。

08319_od010team_090316

このユーザーエージェントは、盗み出したデータをアップロードするときにマルウェアによって使用されます。このPHPスクリプトは、データのアップロードを許可する前に、このユーザーエージェントがハードコードされたものとマッチするかどうかをチェックします。

083110_od014team_0903161

使用されたマルウェアはISR Stealerで、Hackhound Stealerの修正バージョンです。この調査結果は、前のPHPコードのコメントによって確認されています。

このPWSは以下のアプリケーションを標的にします。

  • Internet Explorer
  • Firefox
  • Chrome
  • Opera
  • Safari
  • Yahoo Messenger
  • MSN Messenger
  • Pidgin
  • FileZilla
  • Internet Download Manager
  • JDownloader
  • Trillian

以下のオリジナルのHackhound Stealerの画面には、このマルウェアの構築オプションが表示されます。

083111_od015team_090316_2

ISR Stealerビルダーのこの画面が、攻撃者によって使用されました。

083112_od017team_090319

ISR Stealerは、マシンからパスワードを収集するために、Nirsoftから提供されているMail PassViewとWebBrowserPassViewという2つの実行ファイルを活用します。これらのアプリは、メールクライアントとWebブラウザに保管されているパスワードを収集します。両ファイルとも、ISR Stealerのリソース内に常駐します。パネルのロケーションも、シンプルな暗号化形式SUB 0x02でこのマルウェアのリソースに保管されます。

083113_od020team_090320

暗号化されたURL

083114_od021team_090320

復号されたURL

もう少し調査を進めると、このマルウェアを使用する攻撃者が2016年の初頭から活動していることがわかりました。最初のサンプルが実環境で発見されたのは1月でした。

次のスピアフィッシングメールは、標的にPWSをダウンロードして実行させるために送信されたものです。

083115_od013team_090316

 

083116_od011team_090316

この攻撃者は数週間にわたって精力的に活動しましたが、イースター休暇中は動きが見られませんでした。しかし「イースター休暇」の後、私たちはパネルがわずかに変化したことに気付きました。現在含まれている文字列は、「Powered By NEW LINE OF *** **U TEAMS VERSION 2.1」です。

083117_od016team_0903161

侵入されたWebサイトの1つには、盗まれたパスワードをPWSから受信していたアクセスパネルが10個以上含まれていました。私たちは、スピアフィッシングの標的の一部が機械部品企業であることを突き止めました。攻撃者は次のようなファイル名を使用していました。

  • (RFQ__1045667machine-oil valves).exe
  • ButterflyCheckVALVES.exe
  • BALL VALVE BIDDING.exe
  • RFQ BALL VALVE.exe
  • Ball Valves with BSPP conection.exe

これらの名前から、私たちは攻撃者の動機は産業スパイであると確信しました。

083118_od018team_090320

私たちは、このマルウェアに拡張子「.z」が付与されていることも確認しました。その理由は、人気の高い一部のZipファイルハンドラによってこのファイル拡張子がプログラムに関連付けられ、ユーザーが解凍できるようになるからだと思われます。拡張子.zを使用すると、一部の主要なクラウドメールファイルの制約も迂回できます。

083119_od019team_090320

私たちは、この攻撃者に使用されているWebサイトの所有者に連絡してサイトが侵害されていることを告げ、パネルを削除することを推奨しました。

 

防止

インテル セキュリティ製品を使用すると、この脅威がPWS-FCGHとして検出されます。私たちは、ゲートウェイレベルで.zファイル拡張子をブロックすることを推奨します。これにより、フィッシング攻撃で他のマルウェアがこのテクニックを使用することを防止できます。

※本ページの内容は 2016年7月21日更新のMcAfee Blog の抄訳です。
原文: Phishing Attacks Employ Old but Effective Password Stealer
著者: Oliver Devane and Mohinder Gill

【関連記事】

第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
第16回:今だから学ぶ! セキュリティの頻出用語 : フィッシング とは?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速