製品概要
世界中がCOVID-19パンデミックとの闘いに奔走する中、サイバー犯罪者はこの機会を捉え、このテーマを利用して多数のサイバー攻撃を拡散させています。最新の事例としては、インドの協同組合系銀行に対する標的型攻撃が挙げられます。2020年XNUMX月、Quick Heal Security LabsはAdwind Java RATキャンペーンの新たな波を観測しました。その主な標的は協同組合系銀行のようです。これらの銀行は通常、規模が小さく、訓練を受けた大規模なサイバーセキュリティ担当者を抱えていない可能性があり、それがサイバー犯罪者の標的となっている可能性があります。
COVID-19関連のサイバー攻撃の多くと同様に、この最近のJava RAT攻撃も、 スピアフィッシング メールです。今回のケースでは、メールはインド準備銀行(RBI)または国内の大手銀行組織から送信されたと主張しています。メールの内容は、RBIの新しいガイドラインや取引に関するもので、詳細情報が添付されたzipファイルには悪意のあるJARファイルが含まれています。添付ファイル名にドキュメントファイル拡張子(例:xlsx、pdfなど)が使用されているため、Excel文書やPDFファイルのように見え、何も知らないユーザーを開かせようとします。このJARファイルは、Windows、Linux、Macなど、Javaがインストールされたあらゆるマシンで実行可能な、リモート管理者を狙うトロイの木馬です。
ユーザーが添付ファイルを開くと、悪意のある ペイロード レジストリキーを改変し、%appdata% に JAR ファイルをドロップすることで、自己永続化を行います。この JAR ファイルは多層的な難読化が施されており、分析を困難にし、アンチウイルス製品による検出を回避します。実行されると、この JAR ファイルはリモート管理ツール(JRat)に変換され、キーロギング、スクリーンショットのキャプチャ、追加ペイロードのダウンロード、ユーザー情報の取得など、様々な悪意のあるアクティビティを実行します。
感染ベクトル
下図に示すように、攻撃者はソーシャルエンジニアリングの手法を用いて、複数の協同組合銀行にスピアフィッシングメールを送信していました。ユーザーは、このメールが信頼できる送信者からのものだと思い込み、添付ファイルを開いてしまいました。
上記のメールに示されているように、添付ファイルはすべてzipファイルです。このアーカイブを解凍すると、悪意のあるJARファイルが解凍されます。JARファイルはPDF、xls、またはxlsxファイルに偽装されており、この偽装によってユーザーがJARファイルをクリックするように誘導され、Java RATが実行されます。
以下はキャンペーンで見つかった件名と添付ファイル名の一部です。
| メール件名 | 添付ファイル名 |
| 緊急 – COVID対策モニタリングテンプレート | Covid_19_measures_Monitoring_Template-Final_xlsx.zip |
| RBI INSPECTIONのクエリレポート | NSBL-AccListOnTheBasisOfKYCData_0600402020_pdf.zip |
| モラトリアム | 官報通知&RBI_Directives_file-00000120_pdf.zip |
| FMRが戻ってくる | Fmr-2_n_fmr_3_file_000002-pdf.zip |
| 評価アドバイス-MH-603 | MON01803_DIC_pdf.zip |
| [874890897] – NEFT/RTGSのMIS、06年04月2020日 [1] | FIXEDCOMPNULL_xls.zip |
| 取引会議 | SHRIGOVARDHANSING0023JI001_pdf.zip |
| DIフォーム | DI_form_HY_file_00002_pdf .zip |
JARの分析
分析したサンプル: D7409C0389E68B76396F9C33E48AB72B
添付ファイル名: Covid_19_measures_Monitoring_Template-Final_xlsx.jar
この JAR は多段階の難読化によって難読化されています。最初の段階の分析を確認してみましょう。
ステージ1 JAR
このJARファイルはAllatori難読化ツールによって難読化されています。下図に示すように、すべての文字列が難読化されています。
上記のJARファイルの難読化を解除すると、図5に示すように、コードは非常に判読しやすくなります。このコードは、getResourceAsStream関数を使用して、bxcerhsdj.lspというファイルからAES暗号化されたデータを読み込んでいることがわかります。AESキーはコード内にハードコードされています。この暗号化されたデータは、復号後にJARペイロードの第XNUMX段階になります。この第XNUMX段階のJARファイルは%APPDATA%にドロップされ、java.exeによって実行されます。
レジストリ実行キー技術を使用して永続性を実現します。
ステージ2 JAR
第二段階のJARは、主要な悪意ある活動の全てを担っています。このJARは再びAllatori難読化ツールによって難読化されており、パッケージ構造は下図のようになっています。
上記の JAR の難読化を解除すると、図 9 に示すように新しい JAR が構築されます。
この難読化解除されたJARを使用すると、簡単に静的解析を行うことができます。 マルウェア 活動。
RAT機能の分析
理解を容易にするために、一部のパラメータと関数の名前を手動で変更しました。
構成
以下のクラスは、接続用のURL、ポート番号、スリープ間隔、現在のJAR名など、必要なすべての構成を保存します。
接続機構
Adwindは、非標準ポートでコマンド&コントロール(C2)サーバーと通信します。URLとポート番号はハードコードされており、今回のケースではポート9045が使用されました。また、C2サーバーに接続する前にスリープ状態になるように設定されています。
RAT には、C2 から受信したコマンドに基づいて接続を終了または再開する機能があります。
C2の詳細
ドメインは、IP「05」でホストされ、2020 年 20 月 2020 日から 151.106.30.114 年 XNUMX 月 XNUMX 日までアクティブでした。
図13: ドメインヒートマップ。参考 – パッシブトータル
ペイロードのダウンロードメカニズム
ペイロードのリクエストは「User-Agent」とともに次のように送信されます。
「Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML、Gecko など) Chrome/80.0.3987.87 Safari/537.36」
「dn」コマンドはダウンロード機能に使用され、「dn.e」コマンドはペイロードのダウンロードと実行に使用されます。
一時停止・再開メカニズム
AdWind RATには、コマンドアンドコントロールサーバーに接続する前にスリープ状態をスケジュールできるPause & Goメカニズムが搭載されています。このメカニズムにより、C2サーバーがオフになっている際のネットワークアクティビティを最小限に抑えることができます。攻撃者は必要に応じて、スケジュールされたスリープ状態をキャンセルすることもできます。
「メイン」コマンドのメカニズム
「main」の下にある 3 つのコマンドは、攻撃者が被害者のマシンをシャットダウン、再起動、またはログオフするのに役立ちます。すべてのコマンドは被害者の OS として実行されます。
永続化メカニズム
このバックドアは、コマンドを送信することで永続性を作成または削除できます。
永続性は、reg コマンドを使用して、ファイル パスを HKCU Run レジストリ キーに追加することによって作成されます。
クリーンアップの場合、現在のエントリに対して 'REG DELETE' を呼び出すコマンドによって永続性を削除できます。
リモートデスクトップ制御
Adwind RATは、被害者のデスクトップをリモートで制御する機能を備えています。この亜種では、攻撃者はロボットクラスを使用して、リモートマシンからコマンドを送信することでマウスやキーボードを制御していました。
スクリーンショットのキャプチャ
以下のコードはスクリーンショットを撮る役割を果たします。
下の表はC2から送信できるさまざまなコマンドを示しています
| コマンド | 詳細説明 | サブコマンド | 詳細説明 |
| AUT | Authenticate | ||
| cm | コマンドライン | ||
| ln.t | ランチャー終了 | ||
| ln.rst | ランチャーを再起動 | ||
| PNG | 一時停止・アンド・ゴー | ||
| dg | 対話 | ||
| dn | ダウンロード | dn.e | ダウンロードして実行 |
| メイン | メインメニュー | メイン.shd | シャットダウン |
| メイン.rbt | リブート | ||
| メイン.lgf | ログオフ | ||
| st | スタートアップ | st.is | 登録を追加 |
| st.us | 登録を削除 | ||
| sc | 画面/スクロールキャプチャ | スコープ | 店は開いています |
| sc.ck | マウスクリック | ||
| dblck | マウスのダブルクリック | ||
| dn | Down | ||
| up | Up | ||
| sc.mv | マウス移動 | ||
| sc.cap | キャプチャ | ||
| sc.ky | キーボードのキー押下 | ||
| sc.mw | マウスホイール | ||
| fm | ファイルマネージャー | fm.dv | ディレクトリビュー |
| fm.get | 環境変数を取得する | ||
| fm.nd | mkdirs | ||
| fm.e | 実行する | ||
| fm.op | 店は開いています | ||
| fm.sp | WMIC を使用したプロセス生成 | ||
| fm.ja | Javaアプリの実行: java -jar | ||
| fm.sc | スクリプト実行: wscript.exe //B | ||
| fm.es | cmdシェルで実行 | ||
| fm.cp | コピー | ||
| fm.chm | ファイルの権限を変更する | ||
| fm.mv | 移動 | ||
| fm.del | 削除 | ||
| fm.ren | リネーム | ||
| fm.chmod | ファイルの権限を変更する | ||
| fm.down | ダウンロード | ||
| fm.up | アップロード | ||
攻撃の影響
潜在的なリスクを評価する際、銀行は直接的なコストだけでなく、多くの間接的な側面も考慮に入れる必要があります。
直接的な影響
盗まれたデータ
銀行へのサイバー攻撃は、あらゆる顧客データや重要な金融インフラの詳細の窃盗につながる可能性があります。こうしたデータ漏洩は、攻撃者が標的型攻撃を含む次の段階の攻撃を計画する上で役立ちます。
金融詐欺
バックドアは、SWIFTログインのような重要な金融インフラの認証情報の盗難につながることが多く、銀行に多大な経済的損失をもたらします。これまでにも、サイバー攻撃によって銀行が多額の経済的損失に直面した事例が数多く発生しています。
より大規模な攻撃
ここ数年、銀行に対する長期にわたるサイバー攻撃がいくつか発生し、銀行とその利用者に甚大な経済的影響を与えています。こうした攻撃は通常、サイバー犯罪者がネットワーク内のリソースにアクセスできるようになる最初の感染から始まり、そこから攻撃はネットワーク全体に水平展開し、攻撃者が機密情報や機密情報にアクセスするまで続きます。今回のJava RATベースの攻撃が、そうした攻撃の起点の一つとなる可能性は否定できません。
間接的な影響
ビジネスのダウンタイム
サイバー攻撃は銀行の業務停止につながる可能性があり、そのコストは金融詐欺などの直接的なコストよりも何倍も高くなる可能性があります。
評判の喪失
これは、企業がサイバー攻撃によって支払わなければならない最も破壊的なコストです。攻撃に関するニュースが漏洩すると、被害者は侵害を受けたことを公表せざるを得なくなります。これは、投資家やその他の利害関係者の銀行に対する潜在的な見方を変える可能性があります。
顧客への影響
銀行への攻撃は顧客の個人情報の漏洩につながる可能性があります。業務停止による取引の失敗は顧客の不満を招き、顧客維持に悪影響を及ぼす可能性があります。
結論
ここ数ヶ月、サイバー犯罪者は世界的なコロナウイルスのパニックに乗じて、様々なマルウェアを拡散し、機密情報を窃取しています。今回のケースでは、攻撃者はAdwind Java RATを用いてインドの小規模銀行を標的とし、金銭的利益を得るために情報を窃取し、被害者のマシンを遠隔操作することを明確な目的としています。また、攻撃者は多層的な難読化技術を用いて検知を困難にしています。 セクライト 製品はこれらの攻撃を検知・ブロックし、顧客を保護しています。
Quick Healは、迷惑メールの添付ファイルを開いたり、ウェブリンクをクリックしたりしないよう、十分な注意を払うようユーザーに勧告しています。また、オペレーティングシステムを常に最新の状態に保ち、すべてのデバイスに本格的なセキュリティソリューションをインストールしてください。Seqriteをご利用のお客様には、組織のポリシーに従ってメール保護を設定することをお勧めします。Seqriteのサポート担当者まで、下記の連絡先までご連絡ください。 こちら 電子メール保護の構成にサポートが必要な場合。
クイックヒールの研究チームは、COVID-19に関連するすべてのキャンペーンを積極的に監視し、お客様の安全を確保するために絶え間なく取り組んでいます。
IOC
- D7409C0389E68B76396F9C33E48AB72B
- 09477F63366CF4B4A4599772012C9121
- 8C5FFB7584370811AF61F81538816613
- 01AB7192109411D0DEDFE265005CCDD9
- 0CEACC58852ED15A5F55C435DB585B7D
MITRE ATT&CK TID:
| 戦術 | 手法別案内 | ID |
| 初期アクセス | スピアフィッシング添付ファイル | T1193 |
| 実行 | コマンドラインインターフェイス | T1059 |
| 固執 | ファイルシステムの権限の脆弱性 | T1044 |
| レジストリ実行キー / スタートアップ フォルダー | T1060 | |
| 権限昇格 | ファイルシステムの権限の脆弱性 | T1044 |
| 防衛回避 | セキュリティツールを無効にする | T1089 |
| レジストリを変更する | T1112 | |
| 難読化されたファイルまたは情報 | T1027 | |
| ファイルの削除 | T1107 | |
| プロセスディスカバリー | T1057 | |
| リモートシステム検出 | T1018 | |
| システム情報の発見 | T1082 | |
| ローカルシステムからのデータ | T1005 | |
| 収集 | 入力キャプチャ | T1056 |
| スクリーンキャプチャ | T1113 | |
| データ圧縮 | T1002 | |
| exfiltration | データは暗号化されています | T1022 |
| あまり使用されないポート | T1065 | |
| リモートファイルコピー | T1105 | |
| リモート アクセス ツール | T1219 | |
| データ破壊 | T1485 | |
| 影響 | システムのシャットダウン/再起動 | T1529 |
主題専門家:
-
カルペシュ・マントリ
-
パヴァンクマール・チャウダリ
-
バジュラン・マネ
