みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

トップ > インシデント > ギフトカードとともに郵送されるUSBによるマルウェア感染活動

ギフトカードとともに郵送されるUSBによるマルウェア感染活動

インシデント サイバーセキュリティ ベンダーレポート マルウェア

f:id:micro_keyword:20200328215054j:plain:w400

米国のソフトウェア会社Trustwave社よりソーシャルエンジニアリング攻撃に関する、興味深い記事が公開されていたのでまとめてみます。

www.trustwave.com

目次

攻撃者から送られてくるギフトカード

以下の画像をご覧ください。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a5124870200b-pi

BESTBUYという米国の家電量販店より、手紙とギフトカード、そして、銀色のUSBカードが届いている様子がわかります。

BESTBUYは日本でいうところのヤマダ電機みたいな感じですかね。

手紙の内容には、長年のご愛顧に感謝し、ギフトカードをお送りします。 対象となる商品のリストは、USBに格納された商品リストをご参照ください。

みたいなことが書いてあります。

なんだか、一般的な感覚だと普通に喜んでPCに挿してしまいそうですね。

同USBに関してはFBIからも注意喚起がされており、見つけたら現地のFBIに連絡してね。とのことです。

また、Bleeping Computerの記事によると、FBIがこれらのパッケージ(手紙+ギフトカード+USB)は、小売店や飲食業、ホテル業界の人事部や社内情シス部門、経理部門に届いていることが確認されているとのことです。

そしてこれらのメールは、米国郵政公社(通称USPS)を介して送られるとのことですが、その送り元は、サイバー犯罪グループFIN7だとのことです。

www.bleepingcomputer.com

FIN7は、金銭取得を目的とした攻撃を行うことで知られたサイバー犯罪グループで、2018年の夏に主犯格とされるメンバーが逮捕されましたが、その後も継続して、攻撃が観測されています。

www.justice.gov

FIN7, Group G0046 | MITRE ATT&CK®

ちなみに、今回の攻撃で送られてくるものには、ギフトカードの他にもテディベアが送られてくることもあるようです。

USBを挿すとどうなるか

USBを挿したあとの、挙動をキャプチャした結果から見えた分析結果をTrustwave社が解説しています。

当該USBデバイスを挿すと、まずキーボードデバイスとして認識されます。 キーボードデバイスWindowsのデフォルトでは信頼されるため、自動実行されます。

そして、以下の通りのpowershellコマンドが実行されるのですが、こちらは難読化されています。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a5124895200b-pi

コマンドを解読した結果が以下です。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a51248e4200b-pi

解読した結果からわかるURLにアクセスすると、さらにPowershellが確認できます。 このファイルをさらにダウンロードしてきます。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a51a4ec2200b-800wi

以下はコードの実行内容を簡単に解説したものです。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a51249c9200b-800wi

  1. wscript.exeを%AppData%\Microsoft\Windows\wipre.exeにコピーする
  2. JavaScriptコマンドをデコードし、prada.txtとして保存する
  3. cmd.exe /c wipre.exe /e:jscript prada.txtを実行
  4. 偽のメッセージボックスの警告を表示

このメッセージボックスは以下のようなものです。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a5124a2e200b-800wi

USBデバイスは故障しているようです。Windowsでは認識できませんン

おい(笑) まあ、納得してしまうようなメッセージではありますよね。

実行されたprada.txtはJavaScriptで、難読化を解除すると、このようなものになります。

https://npercoco.typepad.com/.a/6a0133f264aa62970b025d9b381a95200c-pi

このスクリプトを実行することで、ホストの情報をC2サーバに登録することができます。

idという名のfunctionがそれにあたります。

そして、送信したコードの応答として以下の内容が返ってきます。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a4edae85200d-pi

これらのコードが実行されることで、以下の情報が攻撃者のもとに送られます。

  • Username
  • Hostname
  • ユーザの権限
  • WMIにて取得する情報
    • プロセスオーナー
    • ドメイン
    • 端末のモデル
    • OS上の情報
      • OS name
      • OS build
      • OS version
      • Memory capacity
      • Free memory available
      • OS registered user
      • OS registered organization
      • OS serial number
      • Last boot up time
      • Install date
      • OS architecture
      • OS product type
      • Language code
      • Time zone
      • Number of users
      • Desktop monitor type
      • Desktop resolution
      • UAC level privilege
    • OfficeやAdobe acrobatのインストール状況
    • PIDを含む稼働プロセス一覧
    • 仮想環境で動いているか否かの確認

これら一連の流れを表す図として、以下の図をTrustwaveが公開しています。

https://npercoco.typepad.com/.a/6a0133f264aa62970b0240a51a4c0f200b-800wi

まとめ

斬新な手法ですよね。

ただ実際に、職場にこれらのパッケージが届いた場合に、端末に挿すかどうかというと。。。

ギフトカード受け取って、職場のPCで確認する人がいたとしたらそもそも問題な気がします。

内容がもしもう少し工夫されてしまった場合、組織内に感染してしまう可能性がありそうですね。

そのあたりは、海外の商慣習による部分もあると思うので何とも言えませんが。

言わずもがなですが、USBポートには信頼できるもの以外は挿さないようにすべきですね。