Emotet 常にペイロードや感染ベクトルを変更することで知られており、スパムメール、悪意のあるドキュメント、さらには 悪意のあるJSファイルインターネット上の非常に多くのウェブサイトが侵害されました。 エモット マルウェア攻撃キャンペーンは2014年から存在しています。このキャンペーンは、異なる手法や亜種を用いて、定期的に発生し、被害者のマシンにマルウェアを送り込みます。ほとんどのウェブサイトは本物ですが、何らかの方法でEmotetを配信するように仕向けられています。しかし今回は、これらのウェブサイトの一部がEmotetを配信していることが確認されました。 GandCrab ランサムウェア V 5.1 しばらくの間。
ペイロードは、VBAマクロを使用して被害者のコンピュータ上の悪意のあるドキュメントを通じてダウンロードされました。 PowerShellスクリプト マクロは侵害されたウェブサイトに接続し、URLからGandCrabランサムウェアをダウンロードしました。同じウェブサイトが他の悪意のあるキャンペーンにも使用され、時間の経過とともに異なる目的で利用されていたことが確認されています。
感染ベクター:
テクニカル分析:
Microsoft Office Doc ファイルの名前は「Urgent notification.doc」で、「Urgent notification」というテキストのみが含まれていました。
ファイルを開くと、ダウンロードタスクを実行するためにマクロを有効にするように求められます。
マクロ:
悪意のあるマクロには3つのモジュールと3つのフォームが含まれていました。「f」という名前のフォームには難読化されたPowerShellデータが含まれており、cBbOFw、BJXTRQZOY、lC0gFL58mといったランダムな名前を持つXNUMXつのモジュールには、難読化解除されたPowerShellスクリプトを実行するコードが含まれています。
フォーム:
これは、単に「5820.5840869546」をnullに置き換える(つまり、文字列から「5820.5840869546」を削除する)ことで難読化を解除できます。
出力:
この出力には、先頭に変数を使用して最初の3文字「P」、「o」、「w」が付加されます。これによりPowerShellの最初の単語が形成され、関数love()によって使用され、ペイロードのダウンロードと起動に実行されます。
この PowerShell スクリプトの実行後、GandCrab のペイロードである putty.exe が被害者のマシンの 'C:\Windows\Temp' ディレクトリにダウンロードされ、実行されました。
ガンドクラブ ペイロード:
実行されると、すべてのファイルが暗号化され、GandCrabの壁紙が表示されました。身代金要求メッセージから、ペイロードはGandCrab V 5.1ランサムウェアであることが明らかです。
ガンドクラブ GandCrabは、被害者のコンピュータ上でアンチウイルス(AV)プロセスを検出し、SQLデータベースサーバーなどの他の実行中のプロセスを強制終了することで、重要なファイルの暗号化を確実にします。その後、GandCrabはすべてのファイルをSalsa20暗号化アルゴリズムで暗号化します。このSalsa20キーはRSA-2048で暗号化され、ファイルのデータに付加されます。秘密鍵がなければデータを復号することはできません。ユーザー名、コンピュータ名、ワークグループ、IPアドレスなど、ユーザーに関連するすべてのデータを収集することが確認されています。これらのデータはRC4暗号化アルゴリズムで暗号化され、C&Cサーバーに送信されます。
GandCrab v5 ランサムウェアは、感染したコンピューターのシステム権限を取得するために、タスク スケジューラの ALPC の脆弱性を利用し始めました。
暗号化後、700ドル相当のダッシュ/ビットコイン仮想通貨を要求されます。さらに、マイナー手数料として10%の手数料が課せられます。過去には、被害者が身代金全額を支払えない場合、ファイルの復号に割引が適用されていました。
最終的に、GandCrabは、前述のように特定のURL形成アルゴリズムを持つ侵害されたドメインに接続しようとすることが観察されています。 前にこの行動は、 Emotetキャンペーン.
数時間後、同じドメインでポルノフィッシングコンテンツの配信が開始されました。
侵害の兆候:
Doc File (Urgent notice.doc): 64F3F3CC1E121B295DA1FF74CC180473
Exe File (Putty.exe): 5B1B6AF59E29D9A2AA120277CAB14D0C
注意事項:
- 不明なソースからのメールを開かないでください。
- 信頼できないソースから受信した添付ファイルをダウンロードしないでください。
- メールに記載されている URL をクリックする前に、送信者のメール ID を検証してください。
- デフォルトではマクロ/編集モードを有効にしないでください。
ユーザーの皆様には、最新のMicrosoftアップデートパッケージを適用し、ウイルス対策ソフトを最新の状態に保つことをお勧めします。 アクティブな電子メール保護を備えています。
主題の専門家
ジェイシュ・クルカルニ、アミット・ガダブ |クイックヒールセキュリティラボ
