先日の記事にてCOVID-19をテーマにしたサイバー攻撃を取り上げましたが、これらの攻撃の裏で、国家の後ろ盾があると考えられるハッキンググループによる標的型攻撃に関する観測結果が公開され始めています。

一つは、Googleの脅威分析グループ(TAG)による調査結果です。

www.blog.google

もう一つは、FireEyeの調査結果です。

www.fireeye.com

これらの攻撃観測に関しては、政府や企業における特に機密性の高い情報が狙われることも多いためか、多くの情報が開示されることは少ないです。

そのため、限られた情報にはなりますが、ベンダが公表している内容をベースに現状をまとめてみます。

目次

• Google脅威分析グループの調査
• FireEyeの調査(APT32について)
• まとめ

Google脅威分析グループの調査

google TAGによると、政府が後ろ盾となっている攻撃グループの活動を観測しており、それらがCOVID-19をテーマとして、フィッシングやマルウェア感染を試みていることが確認されています。

以下に示す通り、12か国以上の国が標的となっているとのことです。

一例として、米国政府に所属する個人のアカウントを狙ったフィッシング攻撃が挙げられており、COVID-19の対応として、米国のファストフードフランチャイズが無料で食事やクーポンを提供する内容やオンライン注文やデリバリーサービスを装った内容が確認されています。

これらのメールに記載されたURLをクリックすると、フィッシングページへと誘導されGoogleアカウントの認証情報を取得しようと試みます。

ただし、これらのフィッシングサイトでgoogleが確認したものについては、すでにセーフブラウジングにて対応が行われており、以下のような警告画面が出力されることも多いようです。

また、以下のようにWHOを装うメールの利用も確認されています。

そして、WHOを装う攻撃として南アメリカの攻撃グループであるPackratの活動の活動や、逆にWHOを狙った攻撃として、イランの攻撃グループCharming Kittenの活動も確認されているとのことです。

• Charming Kittenによるメール(左図)
• Packratが利用するフィッシングサイト(右図)

FireEyeの調査(APT32について)

APT32については、断定こそできないものの、ベトナム政府との結びつきがかねてより指摘されています。

www.volexity.com

the01.jp

そんな中、FireEyeの脅威分析チームMandiantの調査の中で、APT32による「武漢の行政機関」および中国の防災相「応急管理部」を対象としたフィッシングメールが確認されました。

応急管理部は2018年にできた省庁みたいですね。

http://www.lij.jp/news/research_memo/20190830_4.pdf

以下は、応急管理部に対して送られたメッセージで、タイトルは日本語で「オフィス機器の入札における第1四半期の結果報告」といったところでしょうか。

メールに埋め込まれたリンクのURLを参考にMandiantが調査した結果、武漢の行政機関への攻撃を試みた可能性がわかったとのことです。

以下が、確認されたURL一覧になります。

libjs.inquirerjs[.]com/script/<VICTIM>@wuhan.gov.cn.png
libjs.inquirerjs[.]com/script/<VICTIM>@chinasafety.gov.cn.png
m.topiccore[.]com/script/<VICTIM>@chinasafety.gov.cn.png
m.topiccore[.]com/script/<VICTIM>@wuhan.gov.cn.png
libjs.inquirerjs[.]com/script/<VICTIM>@126.com.png

また、別で発見されたとみられるマルウェアの挙動よりこのフィッシングメールとは別に、添付ファイルを用いた攻撃が行われた可能性も示唆しています。

このマルウェアの実行時には、COVID-19をテーマとしたRTF形式のデコイ(おとり)ファイルが展開され以下のようなNewYorkTimesの記事が表示されるとのことです

おそらく、これですね。

www.nytimes.com

デコイファイルの記事に記載の時刻が16分前となっているところから見ると、攻撃者は、攻撃の直前にCOVID-19の記事を検索してすぐにスクリーンショットを撮ったようにも取れます。

そして、このデコイファイル表示の裏で、先述のURLに完成した端末の端末名とユーザ名を加えて通信を試みます。

この通信が成功すると、ペイロードがメモリ上に読み込まれるとのことです。

感染後のC2サーバとしてはvitlescaux[.]comが用いられるようです。

まとめ

COVID-19の話題が気づいたら多くなってきたので、タグを作りました。 よろしければ、ご活用ください。

ここから、まるでサイバーセキュリティ関係ない話をするのですが、悪しからず。。

武漢という言葉を新型コロナウィルスの話で耳にしたとき、どこかで聞いたことがあったな～と思ったのですが、武漢は三国志でいうところの赤壁の戦いがあった場所でしたね！

高校の時やたらはまって、授業中ずっと三国志を読んでいた記憶が。。。(笑)

自粛生活中のお供に、もしよろしければ。

あとは、武漢は、四面楚歌の語源となった楚の地でもあり、項羽と劉邦のエピソードとの関連も深いようです。

劉邦との争いに敗れた項羽が追い詰められた先で、敵に囲まれ、四面から楚の歌が聞こえたとか。

あと、個人的には、楚と言えば、こちら。

kingdom-anime.com

ちょうど合従軍編が始まり、めちゃくちゃおもしろいです！

ぜひ、今からでも見ることをお勧めします。

PaloAlto社の脅威インテリジェンスチームUnit42の提供するブログにて、新型コロナウィルスCOVID-19をテーマにしたサイバー攻撃に関する観測内容が公開されました。

unit42.paloaltonetworks.com

同記事では、ランサムウェア攻撃と情報窃取マルウェアAgentTeslaの攻撃について、紹介されています。

以前より、新型コロナウィルス関連のサイバー攻撃については記事にしてきましたが、実際の被害状況や注意喚起が目立つようになってきたことも踏まえ、まとめてみます。

以前に公開した記事としては以下の3点になりますので、ご参考まで。

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com

目次

• 公的機関による注意喚起とその背景
• ランサムウェアEDA2の亜種を用いた攻撃
• AgentTeslaを用いた攻撃
• まとめ

公的機関による注意喚起とその背景

昨今の新型コロナウィルスの情勢を鑑みてか、BleepingComputerの独自調査などから、フィッシングとは違いますが、ランサムウェアの配布グループは病院などを狙わないとみられていました。

www.bleepingcomputer.com

ただ、Interpolの注意喚起にもあるように、世界中の病院や医療機関がランサムウェア攻撃のターゲットになっていることが確認されています。

www.interpol.int

また、FBIからもBEC(ビジネスメール詐欺)の観測を踏まえ、政府機関および医療機関に対して、注意喚起が発行されています。

www.fbi.gov

日本でも、「人命第一で自粛を」という意見と「経済活動を止めたら生きていけない」といった意見を多々目にします。

肩を持つつもりはないですが、金銭を目的としたハッカーにとっても、生きていくための必要な行動だと正当化されているのかもしれません。

ランサムウェアEDA2の亜種を用いた攻撃

今回、PaloAlto社は、カナダ政府の医療機関および医療研究を行う大学にて観測されたランサムウェアの攻撃が、EDA2と呼ばれるオープンソースのランサムウェアの亜種であることを確認しました。

当該ランサムウェアは以下のGithubレポジトリにて公開されているのですが、Metasploitなどのペネトレーションテストツール同様、「勉強用途での使用に限る」と注意書きがなされています。

malware-1/Eda2 at master · m0n0ph1/malware-1 · GitHub

攻撃を防ぐために攻撃手法やツールを知ることは大切だと思う一方で、便利になればなるほど悪用も容易になってしまうジレンマですかね。

だからこそ、ホワイトハッカーと呼ばれる人がしっかり食べていけるよう雇用を守ることが、かえって攻撃の抑止になったりしないですかね。

では本題に戻ります。

まず、観測されたキャンペーンでは、3月の下旬「noreply@who[.]int」という、WHOを偽装したメールアドレスから、先述の通り、カナダの医療機関および医療研究を行う大学に向けて、悪意のあるRTFを含む文書ファイルが添付されて送られました。

• メールの件名
  • Coronavirus disease COVID19
• 添付ファイル名
  • 20200323-sitrep-63-covid-19.doc

当該ファイルはMicrosoft Officeの脆弱性CVE-2012-0158を悪用しており、実行後ランサムウェア本体を以下のパスに配置します。

C:\Users\<victim username>\AppData\Local\svchost.exe

ファイルは、隠しファイル属性をセットされており、Adobe Acrobatを装ったアイコンを呈しているとのことです。

ランサムウェアの実行後HTTP通信が発生し、RANSOM20.jpgを取得します。 当該イメージファイルは取得後、感染端末の壁紙に設定されます。

感染後の挙動として、ユーザやホスト名に基づいて作成された鍵の交換をC2サーバと行ったのち、端末でのファイル暗号化を始めます。 対象となるファイルの拡張子は以下で、暗号化されると、拡張子が「.locked20」に変更されます。

“.abw”, “.aww”, “.chm”, “.dbx”, “.djvu”, “.doc”, “.docm”, “.docx”, “.dot”, “.dotm”, “.dotx”, “.epub”, “.gp4”, “.ind”, “.indd”, “.key”, “.keynote”, “.mht”, “.mpp”, “.odf”, “.ods”, “.odt”, “.ott”, “.oxps”, “.pages”, “.pdf”, “.pmd”, “.pot”, “.potx”, “.pps”, “.ppsx”, “.ppt”, “.pptm”, “.pptx”, “.prn”, “.prproj”, “.ps”, “.pub”, “.pwi”, “.rtf”, “.sdd”, “.sdw”, “.shs”, “.snp”, “.sxw”, “.tpl”, “.vsd”, “.wpd”, “.wps”, “.wri”, “.xps”, “.bak”, “.bbb”, “.bkf”, “.bkp”, “.dbk”, “.gho”, “.iso”, “.json”, “.mdbackup”, “.nba”, “.nbf”, “.nco”, “.nrg”, “.old”, “.rar”, “.sbf”, “.sbu”, “.spb”, “.spba”, “.tib”, “.wbcat”, “.zip”, “7z”, “.dll”, “.dbf”

特徴的なのが、このランサムウェアが暗号化するのは、デスクトップ配下のファイルおよびフォルダに限定している点です。

なんでだろう。。。

AgentTeslaを用いた攻撃

一方、もう一つの攻撃として、情報窃取マルウェアAgentTeslaを用いた攻撃についても観測内容が紹介されています。

PaloAltoの観測によると、ターゲットとなったのは以下の国の組織です。

• 米国の国防研究組織
• トルコの公共事業を管理する政府機関(日本でいう国土交通省？)
• カナダ、ドイツ、イギリスに本社を置くテクノロジーおよび通信系企業
• 日本とカナダにある医療機関および医療研究施設

以下の画像は攻撃を試みた際の、メールの例です。

メールの添付ファイルを解凍すると、AgentTeslaであることが確認できるとのことです。

AgentTeslaは、ハッキングツールの売買を行うようなフォーラム上で取引されている情報窃取マルウェアで、米国のセキュリティリサーチャKrebs氏の記事によると、以下の値段設定にて、やり取りされていることが確認できます。

詳細については、以下の記事を参照していただくと勉強になるかと思います。

Who Is Agent Tesla? — Krebs on Security

攻撃者の用いているインフラ情報を確認すると、以下のドメインはいずれも、正規のドメインであると推測され、おそらく侵害されているのではないかと推測できます。

• メールアドレスに使われていたliquidroam[.]com
• マルウェアのC2ドメインであるlookmegarment[.]com

まとめ

通常の倫理観で考えると、現状医療機関を対象とした攻撃を行うことは、非常に冷酷な行為であるように思えます。

ただ、先述の通り攻撃者にも守るべき生活があると考えた場合、攻撃者なりの正当性もあったりするんだと思います。

もちろん、脅迫にしても窃盗にしても立派な犯罪であるのは明確ですが、正義感をもってその正当性を議論するのは不毛だなーと個人的に思っています。

もちろん、昨今の、自粛云々や休業補償などの話に対して、テレビやネットで感情的な意見交換をしているのに対しても。。。

昨今の新型コロナウィルスの影響による在宅ワークの推奨を受けて、ビデオ会議ツールの利用が進んできています。

その中でも利便性含め、多くの組織で使われ始めているソフトウェアがZoomです。

ただこのZoom、セキュリティ感度の高い方々からは、そのセキュリティ上のリスクについて連日話題になり始めていることにお気づきかと思います。

諸々の脆弱性については、随時対処していることをZoom側が公表しており、少しずつ改善されている様子です。

ただ、これまでにどのような問題が存在したのか、そして、今後もZoomを使い続けて問題ないかという点で不安を抱える方もいるかと思いますので、本記事にて、大まかにまとめてみようかと思います。

詳細については、各出典元のリンクも記載いたしますので、そちらをご参照いただくようお願いいたします。

目次

• 特に話題になっているいくつかの問題
  • Windows版クライアントにおける脆弱性
  • Mac版クライアントにおける脆弱性
  • Zoom-bombing(会議の乗っ取り)
  • facebookへの情報送信
  • エンドツーエンドでの暗号化
• Zoomの利用を自粛する企業の登場
• まとめ

話題になっているいくつかの問題

まず、現時点で、CEOのEricよりZoom社のブログ記事にて、これまでに報告された問題とその対処について述べられています。

blog.zoom.us

「What we’ve done」の部分ですね。

記載の通り、現在、これらの問題に対する対策はおおむね実施されています。

その中でも、特にここ数日、ニュース記事やベンダのブログ等での言及が多かった以下5つの問題について、取り上げていこうと思います。

それぞれの問題について、情報ソースとなったと思われる記事を集めたので、ご参考まで。

英語アレルギーの方や長文アレルギーの方は、以降の章で簡単に述べていますので、ご参照ください。 (とはいえ、本記事もなかなか長いですが。。。)

• Windows版クライアントにおける脆弱性

https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/

• Mac版クライアントにおける脆弱性

https://objective-see.com/blog/blog_0x56.html

• Zoom-bombing(会議の乗っ取り)

https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic

• Facebookへの情報送信

https://www.vice.com/en_us/article/pke4vb/zoom-faces-class-action-lawsuit-for-sharing-data-with-facebook

• エンドツーエンドでの暗号化

https://theintercept.com/2020/03/31/zoom-meeting-encryption/

Windows版クライアントの脆弱性

まずは、Windows版のZoomクライアントについてです。

www.bleepingcomputer.com

チャット機能におけるUNCパスに係る脆弱性

Windows版クライアントのチャット機能にてUNCパスを入力すると、URL同様、図のようにハイパーリンクになります。

UNCはUniversal Naming Conventionの略で、Windowsネットワーク上のフォルダやファイルの位置を表記する手法です。

この手法により、ローカルの任意のプログラムの実行も可能になります。 以下はリンクをクリックすることで電卓が自動起動する様子です。

NTLM認証情報が送られてしまう

もう一つ大きな問題なのが、UNCパスに外部のサーバを指定した場合、アクセス時に、NTLM認証のユーザ名とパスワードのハッシュ値がサーバに送信されてしまう点です。

NTLMはWindowsネットワークにおける利用者認証方式なのですが、この認証情報を送る動作はデフォルトであることがわかっています。

以下の図は、ユーザ名とパスワードのハッシュが送信されている様子です。

また、このハッシュ化されたパスワードについても復号化が可能であり、Hashcatなどの無償ツールで復号できてしまうことがBleepingComputerの記事でも紹介されています。

所要時間はなんと16秒！

修正版のリリース

なお、本脆弱性は、4/2のリリースにて修正されています。

support.zoom.us

Mac版クライアントの脆弱性

続いて、Windows版のZoomクライアントについてです。

以前にもMacクライアントで動作する脆弱性について記事を書きました。 この時は、会議用のURLをクリックするとZoomが作動し、Webカメラが有効になるというもので、ユーザが無意識のうちに監視されてしまうというものでした。

micro-keyword.hatenablog.com

そして今回、以下のブログ記事にて、新たに2つの脆弱性が公開されました。

https://objective-see.com/blog/blog_0x56.html

rootへの権限昇格

まず、このツイートにご注目ください。

If the App is already installed but the current user is not admin, they use a helper tool called “zoomAutenticationTool” and the AuthorizationExecuteWithPrivileges API to spawn a password prompt identifying as “System” (!!) to gain root (including a typo). pic.twitter.com/gp9DVCoVCm

— Felix (@c1truz_) 2020年3月30日

MacからZoomの会議に参加しようとした際、macOSのインストーラーが起動します。

どうやら管理者グループに所属している端末は、macに標準でインストールされたスクリプトを使うことにより、手動での解凍(7zip)およびインストールが実行されるとのことでした。

ツイートからもわかる通り、確認の画面は出てくるものの、多くの人はContinueをクリックしてしまうと思われます。

インストールされたアプリケーションは、zoomAuthenticationToolとAuthorizationExecuteWithPrivileges APIを呼び出し、アプリケーション更新のため認証用のポップアップを呼び出します。(いわゆる管理者の資格情報要求ですね)

ただ、問題は、このAuthorizationExecuteWithPrivileges APIがApple非推奨のAPIであること。 そして、パラメータに指定するファイルの検証を行わず、操作をrootで実行できてしまうことにあります。 以下の図でいうところの"/path/to/binary"の部分です。

もし攻撃者が、このファイルを改ざんした場合に、操作がrootで行えるため、事実上の権限昇格が行えてしまうわけです。

実際に攻撃の検証を行った様子も報告者のブログに乗っているので、興味ある方はご確認ください。

マイクやWebカメラへの不正アクセス

こちらは端的に述べますが、攻撃者が悪意を持って作成したライブラリを読み込ませることで、マイクとWebカメラを有効にするというものです。

通常であれば、有効にする前にアクセス確認画面が表示されるのですが、その表示を回避することができます。

仕組みとしては、アプリケーション自体のアクセス権にてマイクとWebカメラを一度有効に設定しているという条件下で、攻撃者が用意したライブラリが読み込まれた場合、アクセス継承が行われ、許可を求めることなく作動するというもののようです。

修正版のリリース

なお、これら2つの脆弱性についても、4/2のリリースにて修正されています。

support.zoom.us

Zoom-bombing(会議の乗っ取り)

続いてこちら、FBIのボストン支局より注意喚起もあったZoomBombingという会議の妨害行為です。

www.fbi.gov

Web会議に招待されていないユーザが勝手に会議に参加し、差別コメントやアダルト動画の再生を行うなどの妨害行為が確認されています。

このような妨害行為が起きる要因として

• ミーティングIDが特定されてしまっていること
• 会議にパスワードがかかっていないこと

などが原因になっています。

ミーティングID自体は9~11桁のランダムな値で構成されます。

のですが、ブルートフォース攻撃でも有効なIDを発見することができてしまっており、CheckPointの検証では、4%の確率で有効なIDを発見できたとのことです。

research.checkpoint.com

ただ、個人的にはこの検証結果より的中率は高いと考えています。

というのも、このミーティングIDについて、

• 10桁もしくは11桁のID
  • パーソナルミーティング、つまり、個人のアカウントに割り当てられるID
• 9桁のID
  • インスタントミーティングまたはスケジュール済みミーティングで割り当てられるID

このような内容がヘルプセンターのページに記載されているからです。

support.zoom.us

現在の状況でおそらく多く使われているのは、インスタントミーティングだと個人的には想像しています。

対策としては、会議にパスワードをしっかりつけましょう！

というところだと考えてはいますが、この声がどこまでとどくか。。。

ちなみに、日本のヘルプセンターのリンクは以下なのですが、情報が古すぎる！

IDは9桁もしくは10桁と言っています。

support.zoom.us

facebookへの情報送信

先ほどは、Mac版クライアントについて記載しましたが、iOS版クライアントでも問題を抱えていました。

www.vice.com

概要は以下です。

• Zoom利用者の情報をユーザの同意なしにFacebookに送っている
• iOSを搭載する機器iPadやiPhoneが対象
• Facebookアカウントを持っていなくてもデータを送ってしまう
• 送信情報
  • ユーザのデバイス情報
  • タイムゾーン
  • 接続元の地域情報
  • 携帯のキャリア
  • 広告のターゲティングに用いられるユーザ識別子
• iOS版クライアントにFacebookが提供するSDKを使用して実装していることに起因
  • Facebookアカウントでログインできる目的で採用していたとのこと

blog.zoom.us

修正版のリリース

なお、本脆弱性について、3/27のリリースにて修正されています。

support.zoom.us

エンドツーエンドでの暗号化

さらに、Zoomが謳っていたエンドツーエンドの通信について、実際はエンドツーエンドになっていないことが、誤解を招く表現だと述べる記事が公開されました。

theintercept.com

概要は以下です。

• エンドツーエンドで暗号化していると表示されるが、暗号化はTLSで行われているのみで通常のHTTPSと変わりない
  • デスクトップアプリケーションの左上でもメッセージが確認できます。

• エンドツーエンドの暗号化の一般的な認識(報告記事やWikipedia参照)
  • 暗号化を設定した本人のみが鍵を持つ
  • データをやり取りする自分と相手の端末以外ではデータにアクセスできない
  • たとえ第三者がデータを盗んでも解読できない
• Zoomの場合、HTTPS通信でZoomと利用者間の通信が暗号化されているが、Zoomサーバ自体が通信の復号化可能

他社の動画コミュニケーションツールにおけるエンドツーエンド実装状況

ちなみに、Zoomとの比較対象として例示されることの多いSlackやMicrosoft Teamsもエンドツーエンドの暗号化は実装できていなさそうです。(2019年8月6日時点)

appuals.com

一方で、WhatsAppおよびFacetimeやiMessageはエンドツーエンドの暗号化を実装しています。

faq.whatsapp.com

www.apple.com

エンドツーエンドを実装しない理由

WhatsAppはビデオ通話の上限が4人(2018年7月時点)、Facetimeは32人が上限だとされている一方で、Zoomは1000人、Teamsでは250ユーザ、Slackは15人がWeb会議の上限数になっています。

このことから、Slackはともかく、ZoomおよびTeamsのWeb会議における同時接続が桁違いであることがわかります。

今回結果的に叩かれてしまってはいますが、そもそも、提供する機能を考えれば、エンドツーエンドを実装することが現実的ではないことがわかるかと思います。

ここに関しては、少しかわいそう。。。

Zoomの利用を自粛する企業の登場

さて、これまでにZoomが抱える問題点について、ご紹介しました。

この影響でテスラのCEOが率いる宇宙産業ベンチャーであるSpaceXやNASA(アメリカ航空宇宙局)ではZoomの使用を禁止したことをロイター通信が報じました。

jp.reuters.com

新型コロナウィルスの影響で利用者が急増したため対応が間に合っていないとも取れますが、さすがに多すぎるよ。。。

と思う気持ちもわかります。

まとめ

今回、Windows、Mac、iOSクライアントの問題に加えZoom-bombingなどを詳細に紹介しました。

とはいえ、Web会議を行う組織では何かしらのアプリケーションを使わざるを得ないと思いますし、利便性は高いと思うんですよね。Zoom。

こうなってくると、ブラウザで利用するしかないですかね。

今回紹介したことを踏まえ、しっかり会議にパスワードをつけて、ブラウザでアクセスして、快適なリモートワークを行うよう努めていくのが得策なのかな。

情報は情報としてとらえ、環境に適した対応をご検討いただければと思います。

米国のソフトウェア会社Trustwave社よりソーシャルエンジニアリング攻撃に関する、興味深い記事が公開されていたのでまとめてみます。

www.trustwave.com

目次

• 攻撃者から送られてくるギフトカード
• USBを挿すとどうなるか
• まとめ

攻撃者から送られてくるギフトカード

以下の画像をご覧ください。

BESTBUYという米国の家電量販店より、手紙とギフトカード、そして、銀色のUSBカードが届いている様子がわかります。

BESTBUYは日本でいうところのヤマダ電機みたいな感じですかね。

手紙の内容には、長年のご愛顧に感謝し、ギフトカードをお送りします。 対象となる商品のリストは、USBに格納された商品リストをご参照ください。

みたいなことが書いてあります。

なんだか、一般的な感覚だと普通に喜んでPCに挿してしまいそうですね。

同USBに関してはFBIからも注意喚起がされており、見つけたら現地のFBIに連絡してね。とのことです。

Have you received an unsolicited USB like this in the mail? It may be an attempt to compromise your computer. If you receive a USB, please contact your local #FBI office. pic.twitter.com/Zu93rSJnyt

— FBI Seattle (@FBISeattle) 2020年3月27日

また、Bleeping Computerの記事によると、FBIがこれらのパッケージ(手紙+ギフトカード+USB)は、小売店や飲食業、ホテル業界の人事部や社内情シス部門、経理部門に届いていることが確認されているとのことです。

そしてこれらのメールは、米国郵政公社(通称USPS)を介して送られるとのことですが、その送り元は、サイバー犯罪グループFIN7だとのことです。

www.bleepingcomputer.com

FIN7は、金銭取得を目的とした攻撃を行うことで知られたサイバー犯罪グループで、2018年の夏に主犯格とされるメンバーが逮捕されましたが、その後も継続して、攻撃が観測されています。

www.justice.gov

FIN7, Group G0046 | MITRE ATT&CK®

ちなみに、今回の攻撃で送られてくるものには、ギフトカードの他にもテディベアが送られてくることもあるようです。

USBを挿すとどうなるか

USBを挿したあとの、挙動をキャプチャした結果から見えた分析結果をTrustwave社が解説しています。

当該USBデバイスを挿すと、まずキーボードデバイスとして認識されます。 キーボードデバイスはWindowsのデフォルトでは信頼されるため、自動実行されます。

そして、以下の通りのpowershellコマンドが実行されるのですが、こちらは難読化されています。

コマンドを解読した結果が以下です。

解読した結果からわかるURLにアクセスすると、さらにPowershellが確認できます。 このファイルをさらにダウンロードしてきます。

以下はコードの実行内容を簡単に解説したものです。

1. wscript.exeを％AppData％\Microsoft\Windows\wipre.exeにコピーする
2. JavaScriptコマンドをデコードし、prada.txtとして保存する
3. cmd.exe /c wipre.exe /e：jscript prada.txtを実行
4. 偽のメッセージボックスの警告を表示

このメッセージボックスは以下のようなものです。

USBデバイスは故障しているようです。Windowsでは認識できませんン

おい(笑) まあ、納得してしまうようなメッセージではありますよね。

実行されたprada.txtはJavaScriptで、難読化を解除すると、このようなものになります。

このスクリプトを実行することで、ホストの情報をC2サーバに登録することができます。

idという名のfunctionがそれにあたります。

そして、送信したコードの応答として以下の内容が返ってきます。

これらのコードが実行されることで、以下の情報が攻撃者のもとに送られます。

• Username
• Hostname
• ユーザの権限
• WMIにて取得する情報
  • プロセスオーナー
  • ドメイン名
  • 端末のモデル
  • OS上の情報
    • OS name
    • OS build
    • OS version
    • Memory capacity
    • Free memory available
    • OS registered user
    • OS registered organization
    • OS serial number
    • Last boot up time
    • Install date
    • OS architecture
    • OS product type
    • Language code
    • Time zone
    • Number of users
    • Desktop monitor type
    • Desktop resolution
    • UAC level privilege
  • OfficeやAdobe acrobatのインストール状況
  • PIDを含む稼働プロセス一覧
  • 仮想環境で動いているか否かの確認

これら一連の流れを表す図として、以下の図をTrustwaveが公開しています。

まとめ

斬新な手法ですよね。

ただ実際に、職場にこれらのパッケージが届いた場合に、端末に挿すかどうかというと。。。

ギフトカード受け取って、職場のPCで確認する人がいたとしたらそもそも問題な気がします。

内容がもしもう少し工夫されてしまった場合、組織内に感染してしまう可能性がありそうですね。

そのあたりは、海外の商慣習による部分もあると思うので何とも言えませんが。

言わずもがなですが、USBポートには信頼できるもの以外は挿さないようにすべきですね。