営業担当者へ連絡
ホーム   /  政府・公共機関  / 脅威アクターは、Stealerium-infostealerの新しい戦術で米国の税務セッションを狙っています
脅威アクターは、Stealerium-infostealerの新しい戦術で米国の税務セッションを狙っています

脅威アクターは、Stealerium-infostealerの新しい戦術で米国の税務セッションを狙っています

著者 ディキシット・パンチャル
ディキシット・パンチャル
政府・公共機関

イントロダクション

Seqrite Labsのセキュリティ研究者は、15月XNUMX日の納税日が近づく中、米国市民を標的とした悪意のあるキャンペーンを発見しました。Seqrite Labsは、税金関連の話題をソーシャルエンジニアリングの手段として利用し、ユーザーの認証情報を盗み出し、マルウェアを拡散させる複数のフィッシング攻撃を確認しました。これらのキャンペーンは、主にフィッシングメールなどのリダイレクト手法を利用し、悪意のあるLNKファイルを悪用して目的を達成しています。

サイバー犯罪者は毎年、納税シーズンを悪用し、様々なソーシャルエンジニアリング戦術を用いて、個人情報や財務情報の機密性を侵害しようとします。これらの犯罪者は、納税者を騙して機密情報を漏洩させたり、偽造サービスや詐欺行為を働いたり、意図せずデバイスに悪意のあるペイロードをインストールさせたりすることで、個人情報の盗難や金銭的損失を招いたりすることを目的とした、非常に巧妙なキャンペーンを仕掛けてきます。

感染チェーン:

図1: 感染連鎖

キャンペーンに関する初期分析:

納税シーズンのフィッシング攻撃は幅広い個人にリスクをもたらしますが、当社の分析によると、特定の層が特に脆弱であることが示されています。具体的には、グリーンカード保有者、中小企業経営者、新規納税者など、政府の税務手続きに関する知識が限られている個人が、高リスクの標的となります。

調査結果から、脅威アクターが巧妙なフィッシング手法を用いており、偽装した拡張子を持つファイルをメールで配信していることが明らかになりました。その一例が「104842599782-4.pdf.lnk」というファイルで、これは悪意のあるLNK拡張子を使用しています。この手法は、正規の決済代行文書を装うことでユーザーの信頼を悪用し、最終的にはユーザーが操作した際に悪意のあるペイロードを実行させます。

おとり文書:

脅威アクターは、税務セッションに関連する議事録を悪意のある添付ファイルとして電子メールで共有することで、個人を標的に拡散しています。これらのサイバー犯罪者は、この文書を悪意のあるペイロードを配信するための手段として利用し、受信者のセキュリティを侵害しています。

 

図2: おとり文書

テクニカル分析:

攻撃に使用された「04842599782-4.pdf.lnk」というLNKファイルを取得しました。このLNKファイルは、Base64でエンコードされたペイロードをファイル構造内に埋め込んでいます。

図3: LNKファイルの内部

文字列をデコードすると、別の Base64 エンコードされたペイロードが埋め込まれた PowerShell コマンドラインが抽出されました。

図4: エンコードされたPowerShellコマンドライン

 

その後、ネストされた Base64 文字列をデコードすると、ペイロード内に埋め込まれた最終的な PowerShell コマンド ラインが明らかになりました。

図5: デコードされたコマンドライン

抽出されたPowerShellコマンドラインは、 rev_pf2_yas.txtそれ自体は PowerShell スクリプトです (ペイロード.ps1) には、さらに別の Base64 エンコードされたペイロードが埋め込まれています。

図6: Base2エンコードされた64番目のPowerShellコマンド

上記の Base64 でエンコードされたコマンド ラインをデコードし、以下の最終実行可能ファイルを取得しました。

図7: デコードされたPowerShellコマンド

PowerShellのコマンドラインによると、スクリプトは ペイロード.ps1 (または rev_pf2_yas.txt)が追加ファイルのダウンロードを開始しました。 revolaomt.rarコマンドアンドコントロール(C2)サーバーから。このアーカイブには、 Setup.exeを or revolaomt.exe.

Setup.exe / revolaomt.exe の詳細な分析:

図8: 簡単に検出

Setup.exe バイナリを詳細に調査した結果、PyInstaller でパッケージ化された Python 実行ファイルであることが判明しました。その後の抽出と逆コンパイルにより、DCTYKS.pyc や追加の Python モジュールコンポーネントを含む Python バイトコードアーティファクトが埋め込まれていることが判明しました。

図9: PyInstallerでパッケージ化されたPython実行ファイル
図10: DCTYKS.pycの内部

DCTYKS.pyc サンプルを分析したところ、ファイルには難読化または暗号化されたペイロード データが含まれており、上の図に示すように、実行時にプログラムによって復号化されて実行されることが判明しました。

図11: Base64でエンコードされたDCTYKS.pyc

スクリプトの復号に成功したところ、サンプルにはBase64でエンコードされた実行可能ペイロードが埋め込まれていることが確認されました。復号されたペイロードはプロセスインジェクション技術を利用してmstsc.exeをターゲットとして実行します。第XNUMX段階のペイロードをさらに分析したところ、.NETでコンパイルされたバイナリであることが判明しました。

分析2nd ペイロード(Stealerium マルウェア):

図12: .NETベースのマルウェアのサンプル

第1.0.35段階のペイロードは.NETベースのマルウェアサンプルとして特定されています。クラス構造、メソッド、および全体的な機能を調査した結果、このサンプルはStealeriumマルウェアファミリーと動作および構造において強い類似性を示しており、具体的にはバージョンXNUMXと一致しています。

Stealeriumは、Webブラウザ、暗号通貨ウォレット、そしてDiscord、Steam、Telegramといった人気アプリケーションから機密データを盗み出すように設計されたオープンソースの情報窃取マルウェアです。アクティブなプロセス、デスクトップのスクリーンショット、利用可能なWi-Fiネットワーク設定といった詳細情報を収集することで、広範なシステム偵察を行います。さらに、このマルウェアは高度な分析回避メカニズムを組み込んでおり、仮想化環境内での実行を識別し、デバッグツールの存在を検出します。

アンチ分析

図13: 分析対策技術
図14: GitHubのURL
図15: 疑わしいENVの検出

このAntiAnalysisクラスは、サンドボックス、仮想マシン、エミュレータ、不審なプロセス、サービス、ユーザー名などを検出するように設計されたマルウェアの一部です。システム属性をオンラインソース(GitHub)から取得したブラックリストと照合します。不審な環境が検出された場合は、その検出結果をログに記録し、場合によっては自己破壊をトリガーします。これにより、マルウェアは管理された環境やセキュリティ調査環境での分析を回避できます。

ミューテックスの作成

図16: ミューテックスの作成

このMutexControlクラスは、マルウェアの複数のインスタンスが同時に実行されるのを防ぎます。Config.Mutex(QT1bm11ocWPxミューテックスが既に存在する場合、別のインスタンスが実行中であることを意味するため、プロセスを終了します。このチェック中にエラーが発生した場合は、エラーをログに記録して終了します。

図17: StringsCrypt.DecryptConfigの設定

StringsCrypt.DecryptConfig で必要な値を復号し、設定します。サーバーのベースURLとWebSocketアドレスの復号も処理します。有効にすると、暗号通貨ウォレットアドレスをBase64からデコードし、AES-256暗号化を使用して復号します。

「hxxp://91.211.249.142:7816」

ランダムディレクトリの作成

図18: ランダムディレクトリの作成

InitWorkDir() メソッドは、%LOCALAPPDATA% 以下にランダムなサブディレクトリを生成し、存在しない場合は新規作成して、ステルス性を高めるためにそのサブディレクトリを非表示にします。これは、データの保存や、検知されずに永続性を維持するために使用されると考えられます。

\AppData\Local\e9d3e2dd2788c322ffd2c9defddf7728 ランダムディレクトリが隠し属性で作成されます。

BoT登録

図19: BOT登録

RegisterBot メソッドは、ボットインスタンスを登録するためのHTTP POSTリクエストを開始します。このリクエストでは、一意のハッシュ識別子と認証トークンが用いられます。登録ペイロードをシリアル化し、必要なHTTPヘッダーを付加し、サーバー応答または発生した例外をログに記録します。このメソッドはブール値を返します。実行が成功した場合はtrue、処理中に例外が発生した場合はfalseです。

RequestUri: ‘http[:]//91[.]211[.]249[.]142:7816/api/bot/v1/register’

 

ブラウザからの窃盗活動:

図20: ブラウザからの窃盗活動

指定されたユーザー データ プロファイル パスからブラウザー関連のデータ (パスワード、Cookie、クレジットカード、履歴、ブックマーク、自動入力) を抽出します。

FileZilla の資格情報窃盗活動

図21: FileZillaの認証情報窃取アクティビティ

上記のコードは、以下のものをターゲットとしたパスワード窃取コンポーネントの一部です。 FileZillaを、FTP クライアント。

ゲームプラットフォームデータ抽出モジュール

図22: ゲームプラットフォームのデータ抽出

bt.Stub.Target.Gaming の下のこのコンポーネントは、次のプラットフォームからデータを収集するように設計されています。

  • バトルネット
  • Minecraftの
  • Steam
  • Uplay

各クラスは、ユーザーデータ、ゲーム構成、または機密ファイルを抽出して持ち出すルーチンを実装している可能性があります。

図23: Minecraftのインストールの確認

Minecraftのインストールを確認し、保存ディレクトリを作成して、MOD、ファイル、バージョン、ログ、スクリーンショットなどの様々なデータを盗み出します。Config.GrabberModuleの設定に基づいて、ログとスクリーンショットを条件付きでキャプチャします。

メッセンジャーデータ窃盗モジュール

さまざまな通信プラットフォームをターゲットにして、次のユーザーデータまたは資格情報を抽出します。

  • Discord
  • 素子
  • ICQ
  • Outlook
  • ピジン
  • シグナル
  • Skype
  • Telegram
  • TOX

以下はOutlook資格情報収集の一例です。

Outlookプロファイルに関連付けられた特定のレジストリキーを標的とし、メールアドレス、サーバー名、ユーザー名、パスワードなどの機密情報を抽出します。複数のメールクライアント(SMTP、POP3、IMAP)のデータを収集し、収集した情報をファイル(Outlook.txt)に書き込みます。

図24: メッセンジャーデータの抽出

 

ウェブカメラのスクリーンショットキャプチャ

接続されたウェブカメラを使用してスクリーンショットを撮影し、画像をJPEGファイルとして保存します。接続されているカメラが1台のみの場合、一連のメッセージをトリガーしてウェブカメラの画像をキャプチャし、指定されたパス(camera.jpg またはタイムスタンプ付きのファイル名)に保存します。この方法は、構成設定(Config.WebcamScreenshot)によって制御されます。

 

図25: ウェブカメラのスクリーンショットキャプチャ

 

Wi-Fiパスワードの取得

 

このコマンドは、netsh wlan show profileコマンドを実行し、出力からパスワードを抽出することで、指定されたネットワークプロファイルのWi-Fiパスワードを取得します。このコマンドはfindstrキーを使用してパスワードをフィルタリングし、その後、パスワードを分割してトリミングすることで、以下の値を取得します。

 

図26: Wi-Fiパスワードの取得

 

VPNデータ抽出

さまざまな VPN アプリケーションを標的にして、ログイン資格情報などの機密情報を盗み出します。

  • NordVPN
  • オープンVPN
  • プロトンVPN

例えば、NordVPNのインストールディレクトリにあるuser.configファイルからNordVPNの認証情報を抽出して保存します。「ユーザー名」と「パスワード」の設定を検索し、デコードして、指定されたsavePathにあるファイル(accounts.txt)に書き込みます。

 

図27: VPNデータ抽出

 

ポルノ検出とスクリーンショットキャプチャ

図 28: ポルノ検出とスナップショットキャプチャ。

アクティブウィンドウのタイトルにNSFWコンテンツに関連する特定のキーワード(Config.PornServicesで設定)が含まれているかどうかをチェックすることで、アダルトコンテンツを検出します。該当するコンテンツが検出された場合、スクリーンショットのキャプチャを開始します。

まとめ:

弊社の最近のプロアクティブな脅威分析に基づき、サイバー犯罪者が15月XNUMX日に予定されている納税申告期間の前後に米国民を積極的に狙っていることが判明しました。これらの脅威アクターは、この機会を利用して Stealerium マルウェアを展開し、ユーザーを欺くための欺瞞的な戦術を用いています。

Stealerium マルウェアは、感染したデバイスから個人識別情報 (PII) を盗み、それを攻撃者が制御するボットに送信してさらに悪用するように設計されています。

データとデバイスを保護するために、以下の使用を強くお勧めします。 Seqriteエンドポイントセキュリティは、進化する脅威に対して高度な保護を提供します。

安全を確保。Seqriteで保護された状態を保ちましょう。

TTPS

戦略 テクニックID 名前
初期アクセス T1566.001 フィッシング:スピアフィッシング添付ファイル
実行 T1059.001 コマンドおよびスクリプト インタープリター: PowerShell
回避 T1140 ファイルまたは情報の難読化/デコード
T1027 難読化されたファイルまたは情報
T1497 仮想化/サンドボックス回避
T1497.001 システムチェック
クレデンシャルアクセス T1555.003 パスワードストアからの資格情報: Webブラウザからの資格情報

 
T1539 Web セッション Cookie を盗む
プーケットの魅力 T1217 ブラウザ情報の検出
T1016 システム ネットワーク構成の検出: Wi-Fi 検出
収集 T1113 スクリーンキャプチャ
exfiltration T1567.004 Web サービスを介した漏洩: Webhook を介した漏洩

 

Seqrite 保護:

  • HEUR:Trojan.Win32.PH
  • トロイの木馬.49490.GC
  • トロイの木馬.49489.GC

IoC:

ファイル名 SHA-256
セットアップ.exe/revolaomt.exe 6a9889fee93128a9cdcb93d35a2fec9c6127905d14c0ceed14f5f1c4f58542b8
104842599782-4.pdf.lnk 48328ce3a4b2c2413acb87a4d1f8c3b7238db826f313a25173ad5ad34632d9d7
ペイロード_1.ps1 / fgrsdt_rev_hx4_ln_x.txt 10f217c72f62aed40957c438b865f0bcebc7e42a5e947051edee1649adf0cbf2
revolaomt.rar 31705d906058e7324027e65ce7f4f7a30bcf6c30571aa3f020e91678a22a835a
104842599782-4.html Ff5e3e3bf67d292c73491fab0d94533a712c2935bb4a9135546ca4a416ba8ca1

 

C2:

  • hxxp[:]//91[.]211[.]249[.]142:7816/
  • hxxp://91.211.249.142:7816″
  • hxxp[:]//185[.]237[.]165[.]230/

 

著者:

ディキシット・パンチャル
カルティック・ジヴァニ
ソウメン・ビルマ

ディキシット・パンチャル

ディキシット・パンチャルについて

彼はQuick Heal Technologies Ltdのセキュリティ研究者であり、Seqrite Labチームに所属しています。専門分野は脅威ハンティング、マルウェア研究などです。

ディキシット・パンチャルによる記事 »

関連記事