ギフトカードとともに郵送されるUSBによるマルウェア感染活動
米国のソフトウェア会社Trustwave社よりソーシャルエンジニアリング攻撃に関する、興味深い記事が公開されていたのでまとめてみます。
目次
攻撃者から送られてくるギフトカード
以下の画像をご覧ください。
BESTBUYという米国の家電量販店より、手紙とギフトカード、そして、銀色のUSBカードが届いている様子がわかります。
BESTBUYは日本でいうところのヤマダ電機みたいな感じですかね。
手紙の内容には、長年のご愛顧に感謝し、ギフトカードをお送りします。 対象となる商品のリストは、USBに格納された商品リストをご参照ください。
みたいなことが書いてあります。
なんだか、一般的な感覚だと普通に喜んでPCに挿してしまいそうですね。
同USBに関してはFBIからも注意喚起がされており、見つけたら現地のFBIに連絡してね。とのことです。
Have you received an unsolicited USB like this in the mail? It may be an attempt to compromise your computer. If you receive a USB, please contact your local #FBI office. pic.twitter.com/Zu93rSJnyt
— FBI Seattle (@FBISeattle) 2020年3月27日
また、Bleeping Computerの記事によると、FBIがこれらのパッケージ(手紙+ギフトカード+USB)は、小売店や飲食業、ホテル業界の人事部や社内情シス部門、経理部門に届いていることが確認されているとのことです。
そしてこれらのメールは、米国郵政公社(通称USPS)を介して送られるとのことですが、その送り元は、サイバー犯罪グループFIN7だとのことです。
FIN7は、金銭取得を目的とした攻撃を行うことで知られたサイバー犯罪グループで、2018年の夏に主犯格とされるメンバーが逮捕されましたが、その後も継続して、攻撃が観測されています。
FIN7, Group G0046 | MITRE ATT&CK®
ちなみに、今回の攻撃で送られてくるものには、ギフトカードの他にもテディベアが送られてくることもあるようです。
USBを挿すとどうなるか
USBを挿したあとの、挙動をキャプチャした結果から見えた分析結果をTrustwave社が解説しています。
当該USBデバイスを挿すと、まずキーボードデバイスとして認識されます。 キーボードデバイスはWindowsのデフォルトでは信頼されるため、自動実行されます。
そして、以下の通りのpowershellコマンドが実行されるのですが、こちらは難読化されています。
コマンドを解読した結果が以下です。
解読した結果からわかるURLにアクセスすると、さらにPowershellが確認できます。 このファイルをさらにダウンロードしてきます。
以下はコードの実行内容を簡単に解説したものです。
- wscript.exeを%AppData%\Microsoft\Windows\wipre.exeにコピーする
- JavaScriptコマンドをデコードし、prada.txtとして保存する
- cmd.exe /c wipre.exe /e:jscript prada.txtを実行
- 偽のメッセージボックスの警告を表示
このメッセージボックスは以下のようなものです。
おい(笑) まあ、納得してしまうようなメッセージではありますよね。
実行されたprada.txtはJavaScriptで、難読化を解除すると、このようなものになります。
このスクリプトを実行することで、ホストの情報をC2サーバに登録することができます。
idという名のfunctionがそれにあたります。
そして、送信したコードの応答として以下の内容が返ってきます。
これらのコードが実行されることで、以下の情報が攻撃者のもとに送られます。
- Username
- Hostname
- ユーザの権限
- WMIにて取得する情報
- プロセスオーナー
- ドメイン名
- 端末のモデル
- OS上の情報
- OS name
- OS build
- OS version
- Memory capacity
- Free memory available
- OS registered user
- OS registered organization
- OS serial number
- Last boot up time
- Install date
- OS architecture
- OS product type
- Language code
- Time zone
- Number of users
- Desktop monitor type
- Desktop resolution
- UAC level privilege
- OfficeやAdobe acrobatのインストール状況
- PIDを含む稼働プロセス一覧
- 仮想環境で動いているか否かの確認
これら一連の流れを表す図として、以下の図をTrustwaveが公開しています。
まとめ
斬新な手法ですよね。
ただ実際に、職場にこれらのパッケージが届いた場合に、端末に挿すかどうかというと。。。
ギフトカード受け取って、職場のPCで確認する人がいたとしたらそもそも問題な気がします。
内容がもしもう少し工夫されてしまった場合、組織内に感染してしまう可能性がありそうですね。
そのあたりは、海外の商慣習による部分もあると思うので何とも言えませんが。
言わずもがなですが、USBポートには信頼できるもの以外は挿さないようにすべきですね。