Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

企業ユーザーを狙うRATマルウェアを含んだフィッシングメール

2020年12月14日

株式会社Doctor Web Pacific


2020年11月、Doctor Webのウイルスアナリストは企業ユーザーを標的としたフィッシング攻撃を検出しました。攻撃に使用されたメールには、コンピューターを遠隔操作するためのツールである Remote Utilities ソフトウェアを密かにインストールして起動させるトロイの木馬が含まれていました。

このトロイの木馬のサンプルは次の2つのグループに分類することができます。

  • オリジナルの Remote Utilities 実行ファイルと、DLLハイジャックによってロードされる悪意のあるモジュールを含む自己解凍型アーカイブ。このモジュールはプログラムのウィンドウやプログラムの動作を示す証拠がOSによって表示されるのを防ぎます。また、インストールされたり起動されたりすると攻撃者に通知を行います。Dr.Webはこのトロイの木馬を BackDoor.RMS.180 として検出します。
  • オリジナルの Remote Utilities インストールモジュールと、構成済みのMSIパッケージを含む自己解凍型アーカイブ。このMSIパッケージはリモートアクセスソフトウェアをサイレントインストールし、攻撃者が指定したサーバーにリモート接続する準備ができたことを通知します。Dr.Webはこのトロイの木馬を BackDoor.RMS.181 として検出します。

攻撃のシナリオ

これらいずれのグループのマルウェアも Remote Utilities ソフトウェアを使用しており、フィッシングメールのレイアウトも同じです。フィッシングメールは比較的上手に書かれたロシア語の長いメッセージで、関心のあるさまざまなトピックを開いて読むよう受信者を誘導するものとなっています。悪意のあるペイロードがパスワード保護されていて、そのパスワードがテキストファイルとしてメールに添付されているというのも注目すべき点です。パスワードはメールの送信日となっています。

以下の画像はDLLハイジャックを使用する悪意のある添付ファイルを含んだメールの例です。

#drweb

このメールは刑事事件の捜査のために検察庁に赴くよう受信者に要求する公式通知を装っています。電子署名も付いていますが、これは Base64 形式の単なるランダムな文字列で、偽の電子署名です。

添付のアーカイブには、パスワード保護されたRARアーカイブと、そのパスワードが記載されたテキストファイルが含まれています。

#drweb

An automatic password is set to protect the privacy of this attachment: 02112020

「Электронная повестка.rar」という名前のアーカイブには、ドロッパーが自己解凍型RARアーカイブとして含まれています。そして、このRARアーカイブに BackDoor.RMS.180 が含まれています。

以下の画像はMSIパッケージを使用する添付ファイルを含んだメールの例です。

#drweb

このメールは運送会社からの荷物の到着に関する通知を装い、配送先住所を指定するよう受信者に要求しています。このメールにも偽のデジタル署名が付いています。

「Документы.rar」には悪意のあるペイロード( BackDoor.RMS.181 )とパスワードを含むアーカイブのほかに、ダミーのドキュメントが含まれています。

#drweb

Due to corporate security policy, this attachment is protected with an access code: 12112020

さらに、調査の過程において、構成済みMSIパッケージから Remote Utilities のインストールを実行するドロッパー(Dr.Webによって BackDoor.RMS.187 として検出)へのリンクを含んだフィッシングメールのサンプルも発見されました。このメールでは、異なる悪意のあるモジュールと感染モードが使用されています。

#drweb

このメールは、履歴書が添付された求職者からのメッセージを装っています。添付ファイル「CV_resume.rar」は侵害されたWebサイトへのリンクで、ユーザーはそのサイトから、 BackDoor.RMS.187 を含んだ悪意のあるアーカイブをダウンロードするための別のリソースへリダイレクトされます。

BackDoor.RMS.187 を拡散するために攻撃者によって使用されたネットワークインフラストラクチャについて分析した結果、さらに複数の侵害されたWebサイトとマルウェア Trojan.Gidra のサンプルが発見されました。データの示すところによると、Dr.Webによって Trojan.GidraNET.1 として検出されるこのプログラムは、まず初めにフィッシングメールを介してシステムに侵入するために使用され、その後、感染させたコンピューター上に Remote Utilities ソフトウェアをサイレントインストールするためのバックドアをアップロードします。

使用されたマルウェアとその動作に関する詳細についてはDr.Webウイルスライブラリを参照してください。

BackDoor.RMS.180
BackDoor.RMS.181
BackDoor.RMS.187
Trojan.GidraNET.1

結論

リモートアクセスソフトウェアをベースにしたバックドアは企業を標的としたサイバー攻撃に依然として広く使用されています。そして、標的となるコンピューターにペイロードを侵入させる最も一般的な方法がフィッシングメールです。悪意のある添付ファイルの際立った特徴の一つがパスワード保護されたペイロードのアーカイブです。これにより、メッセージはメールサーバーの組み込みセキュリティツールをすり抜けることが可能になります。偽のアーカイブを保護するパスワードが記載されたテキストファイルが存在することもまた、明確な特徴です。さらに、悪意のあるライブラリやDLLハイジャック攻撃を使用することで、不正なリモートアクセスソフトウェアが密かに動作することが可能になります。

Indicators of compromise(攻撃の痕跡情報)

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。
1992年に製品の開発をスタートしました。
Dr.Webは世界200ヶ国以上のユーザーに利用されています。
2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。
24時間体制サポート

Dr.Web © Doctor Web
2003 — 2021

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F