BazarCall手法: コールセンターを使いマルウェア「BazarLoader」を拡散

By

Category: Unit 42

Tags: , , , , ,

BazarCall uses call centers for BazarLoader malware

This post is also available in: English (英語)

概要

BazarLoader(BazaLoaderと表記されることもあります)は、感染Windowsホストへのバックドアアクセスを提供するマルウェアです。クライアントを感染させた後、攻撃者はこのバックドアアクセスを利用してフォローアップマルウェアを送りこみ、被害環境をスキャンしてネットワーク上にあるほかの脆弱なホストを悪用します。

BazarLoaderの背後にいる脅威アクターは、このマルウェアを潜在的被害者に配布するためにさまざまな方法を使用します。 2021年2月初旬には、コールセンターを利用したBazarLoaderの配布手法をリサーチャーが報告しはじめました。この手法は、お試し購読をテーマにしたメールを使い、潜在的被害者から、ある電話番号に問い合わせするようにしむけます。その後、コールセンターのオペレーターが応対し、被害者にサービスの停止を促すWebサイトを案内します。コールセンターのオペレーターは被害者に対し、脆弱なコンピュータをBazarLoaderに感染させる手順をじきじきに案内します。その様子をこちらのYouTube動画からご覧いただけます。

このコールセンターを利用したBazarLoaderのコンピュータへの感染プロセスは、「BazarCall」手法と呼ばれています(「BazaCall」手法と呼ばれることもあります)。

パロアルトネットワークスの次世代ファイアウォールをご利用のお客様は、この脅威から脅威防御セキュリティサブスクリプションにより保護されています。

BazarCall手法による感染イベント チェーン

BazarCallによる感染には明確な活動パターンがあります。イベントチェーンを表すフローチャートを図1に示します。

BazarCallのフローチャートキャンペーン。被害者はBazarLoaderマルウェアにシステムを感染させる手順を直接案内される。
図1 BazarCall手法による感染インベントチェーン

BazarCall手法による感染イベント チェーン

  • お試し購読をテーマにしたメールにコールセンターへの電話番号を記載したものが届く
  • 被害者がメールに記載された電話番号に電話をかける
  • コールセンターのオペレーターが被害者を偽の企業サイトに誘導する
  • 被害者はWebサイトからMicrosoft Excelのファイルをダウンロードする
  • コールセンターのオペレーターはダウンロードしたExcelファイルのマクロを有効にするよう被害者に指示する
  • 脆弱なWindowsコンピュータがBazarLoaderマルウェアに感染する
  • コールセンターのオペレーターが被害者に登録の解除に成功したと伝える
  • BazarLoaderは感染Windowsホストからコマンド&コントロール(C2)トラフィックを生成する
  • BazarLoaderを介したバックドアのアクセスにより感染後アクティビティにつながる

これらの電子メールには被害者のお試し購読が終了し、被害者のクレジットカードに課金されることが記載されています。このメールに記載されている電話番号は少なくとも日に1度は変わります。1日に2つ以上の電話番号が記載されることもあります。

被害者のふりをしてみる

YouTubeに、被害者のふりをしてセンターのオペレーターに偽の登録解除手続きを案内させる様子を記録した動画が投稿されています。このコールセンターには少なくとも5回以上問い合わせをしましたが、そのつど対応したオペレーターは別の人でした。オペレーターは全員、英語を母国語としない人たちだったようです。オペレーターは女性が2名、男性が3名でした。各オペレーターは基本的には同じスクリプトに従っていましたが、その内容にはバリエーションがありました。

以下の会話は、2021年4月14日(水)に、図2に示したメールの電話番号を使って行われたものです。

2021年4月14日(水)にメールに記載された電話番号を使って行われたメール会話の例。
図2 被害者を装ったさいに使用されたメール

オペレーター: カスタマーサービスです。どのようなご用件でしょうか?

被害者: お世話になっております。今日Paradise Booksという会社からメールが届きまして、メールによれば私がいまなにか購読していることになっていてクレジットカードに課金されることになるとあります。ただ、Paradise Booksなんて契約したことありませんし、Paradise Booksのホームページを見てもいないし、何かをした覚えもないんです。

オペレーター: なるほどわかりました。購読番号はお手元にございますか?

被害者: ええ、ちょっと待ってください。040*********ですね。[注:この番号の下9桁があると受信者のメールアドレスが特定されるのであえてここでは表示していません]

オペレーター: 承知いたしました、復唱させていただきます。040*********ですね。

被害者: はい。

オペレーター: 少々お待ちください、システムをチェックいたします。

被害者: わかりました。

[保留音が流れる]

オペレーター: お客様?

被害者: はい。

オペレーター: ええとですね、このアカウントはJohn Edwardsという方が開設したもののようです。ところでお客様のメールは[被害者のファーストネーム]で始まっていますね。

被害者: はい。私の名前は[被害者のファーストネーム]です。John Edwardsなんて人は私知りません。

オペレーター: なるほどわかりました。ご解約をしていただく必要がありますので、「ワールドブックス・ドット・ユーエス」にアクセスしていただけますでしょうか。

オペレーター: Worldbooks[各文字を文字通りに発音しながら]ドット、ユー、エス、です。

被害者: ちょっとお待ちください。ウェブブラウザを開いて見てみます。

オペレーター: お客様、もう一度申し上げましょうか?

被害者: いえ結構です、こちらでわかります。[キーボードの入力音]

オペレーター: お客様?

被害者: はいちょっと待ってください。読み込み中のようです。

オペレーター: ホームページは表示されましたでしょうか。

被害者: ええ準備できました。「World Books」と書いてありますね。Webページに行けましたが、こんなサイト初めて見ましたよ。

オペレーター: 大丈夫です、解約すればいいだけですから。必要なのは先ほど教えていただいたお客様の契約者番号だけです。

被害者: わかりました。

BazarCallの手法で使用されるニセWebサイトのスクリーンショット。
図3 2021年4月14日以降のBazarCallサイト

オペレーター: [Subscribe] ボタンはご確認になれますか?

被害者: はい。

オペレーター: そのボタンをクリックすれば購読の停止が表示されるはずです。

被害者: はい、[Subscribe] ボタンをクリックしました。

オペレーター: 購読の停止が確認できますか?

被害者: 「Do you want to unsubscribe?(購読を停止しますか?)」と書かれた行が表示されました。

BazarCallの偽Webサイトの購読ページのスクリーンショット。
図4 BazarCall Webサイトの購読ページと購読停止用リンク

オペレーター: そこに行く必要があります。クリックしてみてください。

被害者: わかりました。

オペレーター: そこで購読番号を入力してください。

被害者: わかりました。[キーボードの入力音]

BazarCallの偽Webサイトの購読停止ページのスクリーンショット。
図5 BazarCallサイトの購読停止ページ

オペレーター: 購読を停止するとお客様に確認書類が送られてきます。

被害者: はい。「subscription 16184 なんとか XLSB」がこれからどうしたいのか聞いてきます。

偽のWorld Books WebサイトはExcelファイルをダウンロードできるようになっています。
図6 BazarCallサイトの購読停止ページではExcelファイルを配布している

オペレーター: それが確認資料です。そのなかにお客様の確認コードが記載されています。

被害者: 開けばいいですか?それとも保存すべきですか?どうしたら?

オペレーター: 確認が必要であれば開けていただいて構いません。確認コードが重要ですので。何かあればお電話でその確認コードをお伝えいただくことができます。

被害者: わかりました。

オペレーター: それで問題は解決します。

被害者: わかりました。それでかまいません。

オペレーター: ご理解いただけましたでしょうか。

被害者: わかりました。今、開いているところです。Excel Office 365が見えます。This document is protected.(このドキュメントは保護されています。)Previewing is not available for protected documents. (保護されたドキュメントではプレビューを利用できません。)I have to press enable.(有効化を押す必要があります。)とあります。

BazarCall中にダウンロードされたExcelファイルのスクリーンショット
図7 BazarCallの WebサイトからダウンロードされたExcelファイルのスクリーンショット

オペレーター: [Enable(編集)]をクリックして、コンテンツを有効にしてください。

被害者: わかりました。[間があく] はい。スプレッドシートが変わりました。[間があく] 会社名、名前、姓、誕生日とかそういうのを入力するフォームが表示されました。

マクロを有効にすると名前が変わるExcelファイルのスクリーンショット
図8 マクロ有効化後のExcelファイル。タイトルバーのファイル名が変わったことに注意

オペレーター: なるほど分かりました。コードは見えていますか?重要なのはこのコードです。

被害者: コードはないです。ありませんね。

オペレーター: そうですか。ページが複数あるんですが、次のページは見えますか?

被害者: そのコードはどこにあることになっているんですか?

オペレーター: 課金されたくない場合の確認コードがありますので、万が一課金されてしまった場合は、課金をキャンセルするためにそのコードを使ってお電話ください。

被害者: 分かりました、ですがそのコードがどこにあるはずなのかが私にはわからないのですが。

オペレーター: 少々お待ちください、IT部門に確認します。

被害者: わかりました。

[保留音が約1分続く]

オペレーター: もしもし、お客様?

被害者: はい。

オペレーター: IT部門に確認したところ、キャンセルは正しく行われたとのことでした。こちらのサーバーに問題が発生しているのですが、キャンセルは正常に行われました。

被害者: わかりました。

オペレーター: お客様のアカウントになにか請求が行くことはございません。IT 部門でコードを発番しました。読みあげてよろしいでしょうか?

被害者: はい。

オペレーター: コードは[ここで7文字の英数字コードを読み上げる]です。

被害者: わかりました。

オペレーター: 何か問題がございましたら、お電話でそのコードをお伝えください。どのような問題でも解決できるようにいたします。

被害者: わかりました。ありがとうございました。

オペレーター: こちらこそありがとうございました。折り返しお電話をいただく場合は[オペレータのファーストネーム]をご指定ください。[不明瞭]が多いので。

[被害者がオペレーターの名前を復唱]

オペレーター: はい、それが私の名前です。

被害者: なるほど、では、ありがとうございました。

オペレーター: お電話ありがとうございました。

被害者: では失礼します。

オペレーター: はい、失礼いたします。

感染トラフィック

ダウンロードしたExcelファイルでマクロを有効にするとBazarLoader DLLがドロップされcampoという文字列を含むURLが生成されます。この種のURLはCampo Loaderと呼ばれ、トラフィックをマルウェアにリダイレクトするゲートウェイとして機能します。BazarLoader DLLが生成するCampo LoaderのURLの例を以下の表1に示します。

日付 URL
2021-03-25 hxxp://whynt[.]xyz/campo/w/w
2021-03-29 hxxp://veso2[.]xyz/campo/r/r1
2021-03-31 hxxp://about2[.]xyz/campo/a/a1
2021-04-07 hxxp://basket2[.]xyz/campo/u/u1
2021-04-08 hxxp://dance4[.]xyz/campo/d8/d9
2021-04-14 hxxp://glass3[.]xyz/campo/gl/gl3
2021-04-15 hxxp://idea5[.]xyz/campo/id/id8
2021-04-16 hxxp://keep2[.]xyz/campo/jl/jl7

表1 BazarCallのスプレッドシートのマクロが生成した最近のCampo LoaderのURL

図9は、2021年4月14日に生成されたCampo LoaderのURLがBazarLoaderのURLにリダイレクトされる様子を示しています。

BazarLoaderメソッドのリダイレクトコード。
図9 Campo LoaderのURLがBazarLoaderのURLへのリダイレクトに成功したところ

BazarLoader EXEファイルの最近のURL例を以下の表2に示します。

日付 URL
2021-03-25 hxxp://whynt[.]xyz/uploads/files/dl8x64.exe
2021-03-29 hxxp://admin.yougleeindia[.]in/theme/js/plugins/o1e.exe
2021-03-29 hxxp://admin.yougleeindia[.]in/theme/js/plugins/rt3ret3.exe
2021-03-31 hxxp://about2[.]xyz/uploads/files/ret5er.exe
2021-04-07 hxxp://www.carsidecor[.]com/wp-content/uploads/2021/04/cv76.exe
2021-04-08 hxxp://dance4[.]xyz/uploads/files/10r3.exe
2021-04-14 hxxp://glass3[.]xyz/uploads/files/hah5.exe
2021-04-15 hxxp://idea5[.]xyz/uploads/files/ratan.exe
2021-04-15 hxxp://idea5[.]xyz/uploads/files/rets.exe
2021-04-16 hxxp://keep2[.]xyz/uploads/files/suka.exe

表2 BazarLoaderマルウェアの最近のURL

BazarLoaderの実行ファイルは図10に示すようなHTTPSのC2トラフィックを生成します。

BazarBackdoor C2トラフィックのExcelスプレッドシート上のWebトラフィック例
図10 BazarLoader感染によるトラフィック

感染Windowsホストのフォレンジック

このセクションでは2021年4月14日に感染したWindowsホストのフォレンジックについて解説します。ダウンロードしたスプレッドシートのSHA256ハッシュ値は以下の通りです。

db53f42e13d2685bd34dbc5c79fad637c9344e72e210ca05504420874e98c2a6

ダウンロードしたExcelファイルのマクロは図11に示すようにWindowsコンピュータのC:Users\Publicディレクトリにアーティファクトを生成します。

マクロをダウンロード後のWindowsコンピュータのフォルダのスクリーンショット
図11 2021年4月14日にダウンロードしたExcelファイルからマクロ有効化後に生成されたアーティファクト

ファイル情報は以下の表3の通りです。最初の2つは、同じSHA256ハッシュ値を持つテキストファイルで、もう1つのファイルはBazarLoader DLLです。

ファイル名 ファイルタイプ SHA256ハッシュ値
130486.xlsb ASCIIテキスト 2632c0cc222a6d436b50a418605a7bd4fa8f363ab8d93d10b831cdb28a2ac1bc
130486.dot ASCIIテキスト 2632c0cc222a6d436b50a418605a7bd4fa8f363ab8d93d10b831cdb28a2ac1bc
130486.pgj DLL f3b5cf1e40aed4567a8996cf107285907d432b4bc8cc3d0b46aae628813d82d4

表3 2021年4月14日に確認されたBazarCallスプレッドシートが生成したアーティファクト

130486.xlsb130486.dotは、Base64テキストのASCII(American Standard Code For Information Interchange)文字列で構成されています。このテキストがBazarLoaderのダイナミックリンクライブラリ(DLL)ファイルにあたる部分です。ダウンロードしたExcelファイルのマクロコードは、このBase64テキストを130486.pgjという名前のDLLに変換し、以下のスクリプトコマンドを使ってこのDLLを実行します。

なおこれらのファイルはある特定のサンプルからのものであることはご承知おきください。他のスプレッドシートから生成されたアーティファクトは、これとは違う名前やファイル拡張子になるでしょう。共通する特徴は以下の通りです。

  • これら3つのアーティファクトはベース名が同じで拡張子が異なる
  • 2つのアーティファクトはbase64テキストのASCII文字列
  • アーティファクトの1つがBazarLoaderのDLL
  • テキストベースのアーティファクトの1つに.xlsbというファイル拡張子が使われる

このDLLはBazarLoader EXEを取得するように設計されています。2021年4月14日のサンプルではBazarLoader EXEは以下の図12に示すようにC:\ProgramDataディレクトリの下のフォルダに保存されています。

ProgramDataとPropertiesフォルダのWindowsスクリーンショット
図12 BazarLoaderのWindows EXEファイル

フォローアップアクティビティ

BazarLoaderは感染Windowsホストにバックドアアクセスを提供します。場合によってはCobalt Strikeがフォローアップマルウェアとして使われる様子が確認されており、これがAnchorのようなさらに別のマルウェアにつながることもあります。BazarLoaderマルウェアからCobalt Strike、さらにAnchorマルウェアへとつながった事例は少なくとも2件、文書化されて公開されています。うち1件は2021年2月、もう1件は2021年3月に起きた事例です。

ただしBazarLoaderマルウェアはCobalt StrikeやAnchor以外のフォローアップマルウェアを使うこともあります。2020年にはBazarLoaderがRyukのようなランサムウェアにつながった報告も見られます。感染Windowsホストへのバックドアアクセスは、あらゆる種類のマルウェアにつながる可能性があります。

結論

早くも2021年2月時点でBazarCall手法を使ってコールセンター担当者によりBazarLoaderマルウェアを配布しているという報告が複数確認されています。これらBazarマルウェアの感染には顕著なパターンがあり、Cobalt StrikeやAnchor、Ryukランサムウェアなどのほかのマルウェアにつながる可能性があります。

適切なスパム フィルタリング、適切なシステム管理、最新の Windows ホストを備えている組織では、BazarLoaderマルウェアおよびその感染後のアクティビティによる感染リスクははるかに低くなります。パロアルトネットワークスの次世代ファイアウォール製品をお使いのお客様は、脅威防御のセキュリティサブスクリプションによりこの脅威からさらに保護されています。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

IoC

付録A

BazarCallメールのサンプル(2021年3月、4月のもの)はこちらのGitHubのリポジトリから入手できます。

付録B

BazarCall手法を使用する偽Webサイトをホストするドメインのサンプル(2021年3月、4月のもの)はこちらのGitHubリポジトリから入手できます。

付録C

BazarCall手法を使用する偽Webサイトの購読停止ページのExcelスプレッドシートサンプル96個(2021年3月、4月のもの)はこちらのGitHubリポジトリから入手できます。

付録D

ExcelシートのマクロによりドロップされたBazarLoader DLLファイルのサンプル11件(2021年3月、4月のもの)はこちらのGitHubリポジトリから入手できます。

付録E

BazarLoaderが取得した24個のBazarLoader EXEファイルサンプルのSHA256ハッシュ値(2021年3月と4月のもの)はこちらのGitHubリポジトリから入手できます。