Comando作戦: クレジットカード窃取ビジネスを格安で効果的に運営する方法

This post is also available in: English (英語)

概要

2018年12月、Palo Alto Networks脅威インテリジェンス調査チームUnit 42のリサーチャーは進行中のキャンペーンを確認しました。このキャンペーンはホスピタリティセクタ、とくホテルの予約に重点を置いていました｡最初の分析ではとくに目新しいテクニックや高度なテクニックは見つかりませんでしたが、このキャンペーンの見せる執拗さに興味を引かれました｡

ネットワークの痕跡をたどり、そこからこの攻撃者が残した情報(C2 上の閲覧可能ディレクトリ、ドキュメントのメタデータ、バイナリの特性など)に探索を広げました。ここからカスタムメイドのマルウェアが見つかり､これを 「CapturaTela」と名付けました。このマルウェアファミリを発見したことで、なぜホテルの予約が主な攻撃ベクターとして執拗に狙われているのかという理由が分かりました｡つまり､顧客からのクレジットカード情報窃取を狙っていたのです。

私たちはこの攻撃者のプロファイルを作成しました。その結果、攻撃者がとる配信メカニズムのほかに､RAT(リモートアクセスツール)や情報窃取用トロイの木馬などの常用ツールについて判明しました｡彼らはそうしたツールをGitHubリポジトリにあるオープンソースツールやアンダーグラウンドフォーラムから入手していました。

皆さんは､攻撃者がクレジットカード窃取事業を格安で効果的にドキュメントを調査しているところ運営する方法について疑問に思ったことはありますか｡だとすれば「Comando作戦」についてぜひお読みください。

攻撃者の配信メカニズム

このキャンペーンのテレメトリでは、電子メールが主な配信メカニズムとして特定され、2018年8月に最初の関連サンプルが配信されたことがわかりました。攻撃者がよく使用するトピックは旅行の予約やバウチャーに関連したもので、主にブラジル人を対象にしています。表1は、キャンペーン中に見つかった代表的な件名と添付ファイル名の代表的なリストです。

表1このキャンペーンを代表する電子メールの件名と添付ファイル名

キャンペーンで使用されている悪意のあるドキュメントを調査したところ、ドキュメントメタデータに興味深い一貫性があることがわかりました。作成者は徹底して頭字語「CDT Original」を使用しているのです(詳細は図1で確認してください)。

攻撃者は多くのキャンペーンで見られる一般的な方法を複数利用しています。たとえば､MSHTAが実行するリモートスクリプトを外部参照することなどです｡このアプローチのおかげで、攻撃者は自身の活動に使うツールやリソースを複数見つけられます｡同時にアナリストによるアトリビューション､追跡をより困難にすることができます。観測された方法のなかでもっとも一般的な組み合わせを図2に示します。

2018年12月のキャンペーンで配信された電子メールをサンプルとして見てみましょう｡この電子メールに添付されていたファイルは会議室リスト(SHA256: ac70d15106cc368c571c3969c456778b494d62c5319)を偽装していて､図2に示したプロセスのひとつを使って配信されていました｡図3に記載したのがその詳細なプロセスです｡

悪意のあるドキュメントには、MSHTAを使用してリモートにホストされたスクリプトを実行する単純なマクロが含まれています。

ランディング用URLは次のURLに解決されます。

hxxps://internetexplorer200[.]blogspot[.]com/

bit.ly上のURL短縮リンクの統計は弊社のテレメトリでの観測内容を裏付けるものでした｡図4の「12月27日から28日にかけてのBit.lyキャンペーンの分布」からも分かるとおり､攻撃者は主にブラジルをターゲットとしています。

MSHTAは、ごく単純なアルゴリズムを使用してエンコード/難読化されたVBScriptコンテンツを実行します(コード全体にポルトガル語の単語があることに注意してください)。

これにより、次のスケジュールされたタスクがシステム内に作成され、そこで別のリモートロケーションからMSHTAを介して新しい第2段階のVBスクリプトが呼び出されます。このスクリプトでもコメントに「CDT」への言及が見られることに注目してください。

この第2段階のVBスクリプトは、PowerShellリフレクションを介して最終的なペイロードをメモリにロードし、GIFの拡張子を持つファイルからバイナリコンテンツを取得します。

このケースで配信されている最後のペイロードは、商用ツールRevenge Remote Access Trojan(RAT)です。このツールを使うことで､情報窃取が容易になります｡

インフラ分析

インフラのレベルを見てみると､攻撃者はDuckDNS、WinCo、No-IPなどの動的DNS(DDNS)サービスを利用しています。これらの多くは無料アカウントを提供しているので､攻撃者がインフラにかける投資を削減してくれます。使用中のドメインサンプルを表2に示します。

表2 このキャンペーンに関連付けられているドメインサンプルのうちDDNSプロバイダを使用しているもの

無料サービス、ペーストサイト、侵害されたサイトなどの利用にくわえて、おそらくは攻撃者が所有していると思われるドメインが少なくとも1つ特定されています。ドメイン"fejalconstrucoes[.]com[.]br"は、ペイロードをホストし､潜在的な被害者に電子メールを送信するために使用されてきました。図7は､DNS WHOISレコードに表示されるドメインの詳細です｡このドメインはブラジルのUOLサービスを利用して登録されていました｡

このキャンペーンに属する悪意のある添付ファイル付きの電子メールは、次のような特徴があります。

ドメイン: fejalconstrucoes[.]com[.]br
送信者: mmcorrea@fejalconstrucoes.com.br, marcos@fejalconstrucoes.com.br
添付ファイル名: Contrato Anual FEJAL Construçoes.ppa

先に述べたように、この攻撃者は､自身の使用するドメインやパスに繰り返し頭字語 「CDT」を使用するという興味深い特徴が見られます｡

hxxp://bit[.]ly/cdtqueda
hxxp://cdtoriginal.ddns[.]net

ビジネスに貢献する主な要因は「CapturaTela」

本件の調査中､C2上に閲覧可能なディレクトリが見つかり､ここから攻撃者が使用したペイロードをいくつか見つけることができました。表3に､見つかったペイロードとドキュメントの組みあわせ一覧を示します。ここでもやはり頭字語 「CDT」がファイル名に繰り返し利用されています。

表3 cdtmaster[.]com[.]brの閲覧可能ディレクトリで確認できた内容

ファイル名こそ「quasar.jse」となっていますが､その中身はQuasarRATではなく､base64エンコードされたベーシックなペイロードドロッパー(図8参照)を含むJSスクリプトでした｡調査してみると､ごくシンプルですが興味深いペイロードが見られました。

デコードされたペイロードは.NETで作成されたPEファイルで､情報窃取機能を備えています。このなかでメインとなるメソッドの1つが「CapturaTela」で､私たちはここからマルウェアファミリ名前を付けました｡そのポルトガル語の名前が示すように、このマルウェアはスクリーンショットをBitmapオブジェクトとして保存する機能を備えています。

この情報窃取用トロイの木馬の主な機能は次のとおりです(図10を参照)。

• 開いているプロセスのリストを順に確認し、特定のウィンドウタイトルを探します。対象となるタイトルに「ls . B」または「o . B」という文字列が含まれていれば､次の活動を実施します｡
• これらの条件を満たすタイトルが見つかれば､スクリーンショットが撮影され、JPEG添付ファイルとして電子メールで送信されます(図12を参照)。
• 完了すると、既存のChromeプロセスを強制終了します。ウィンドウのタイトルは、おそらくChromeのタグの内容に基づいたものでしょう。

CapturaTelaの機能を検証するため、私たちはタイトルに先の条件に一致する文字列を含めたシンプルなWebページと検証用の電子メールアカウントを用意し、悪意のあるサンプルにパッチを当てました(図12を参照)。

この結果、図13に示すとおり、攻撃者が被害者から収集しようとした情報を抽出する際の形式と内容を確認できました。

ここまでの調査で残った唯一の疑問は「情報窃取用トロイの木馬が探していたコンテンツの種類とウィンドウのタイトルは何だったのか」ということです｡どういった種類のWebページが「ls · B」ないし「o· B」継続敵という文字列をタイトルに含むのでしょうか｡

当初､こうした特徴を持つWebサイトを見つけるのはまず無理ではないかと思われましたが､キャンペーンの設定した標的や電子メール配信セッションのメタデータなどの分かっていることから調査を開始しました。このデータから、英語とポルトガル語の両方で、Webサイトのページタイトルに特定の(ただし業界と業界の性質に共通の)用語を含む潜在的なターゲットWebサイトを特定することができました。そして､この用語が含まれていれば､マルウェアのクレジットカード窃取機能が呼び出されるのです。見つかったWebサイトから、攻撃者は特定の購入プロセスにおいて被害者のクレジットカード情報をすべて取得することに重点をおいていることが分かりました。

いくつかのCapturaTelaサンプルを分析し、電子メールの設定部分の内容を抽出すると、表4に示すとおり興味深い文字列が複数見つかりました。

表4 電子メールの設定に含まれていた興味深い文字列

攻撃者が繰り返し「CDT」という頭字語使用していること､「CoManDo」という単語の各音節がCDTの最初の文字に紐付くこと､これらの特徴から､私たちはこのキャンペーンを「Comando作戦」という名前で説明することにしました。

リモートアクセス用トロイの木馬を多用

この攻撃者はカスタム作成したトロイの木馬CapturaTelaのほかに何種類ものリモートアクセストロイの木馬を使って悪意のある活動を行っています。次のRATマルウェアファミリは同攻撃者によるキャンペーン活動中に観測されたものです。

表5 同キャンペーンで観測されたRATファミリのうち主なもの

攻撃者は､複数のRATツールを使用することで､自身のビジネス上の目標を高めようとしているものと考えられます。攻撃者が感染した被害者を使って標的となったWebサイトから窃取できるクレジットカード情報にくわえてさらに多くの情報を窃取できるからです｡

彼らが使用しているRATファミリーのいくつかは､GitHubで見つけることができます｡

• https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp
• https://github.com/NYAN-x-CAT/Lime-RAT

公開されているリサーチ内容との重複

この調査で見つかったドメインとサンプルのいくつかは､すでに過去にYoroiが研究・報告がしていたものでした｡ですが､私たちは今回の研究の結果､使用された技術に若干の重複は見られるものの、このキャンペーンはGorgonグループに関連していないという強い信念を持っています。

結論

Comando作戦は、ホスピタリティセクタに的を絞って執拗に付け狙う純粋なサイバー犯罪キャンペーンで､おそらくはブラジル起源のものです。この作戦から、脅威攻撃者が予算は格安に抑えつつ､目的をうまく達成している方法が見て取れます。DDNSサービス、パブリックに利用可能なリモートアクセスツール、ソフトウェア開発(この場合はVB.NET)に関する最低限の知識さえあれば、月単位でキャンペーンを継続し、クレジットカード情報そのほかのデータを集めるのに十分なのです。

このサイバー犯罪キャンペーンは引き続き活発に行われていますが､Palo Alto Networksのお客様は次のようにしてこれらの脅威から保護されています。

• WildFireは、マルウェアとして配信されたすべての悪意のあるドキュメントとペイロードを検出します。
• AutoFocusをお使いのお客様は、OperationComandoタグを使用してこのキャンペーンを追跡できます｡
• Trapsは、このキャンペーンに関連付けられているすべてのファイルをブロックします。

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細についてはwww.cyberthreatalliance.orgをご覧ください｡

IOC

インフラ

• internetexplorer200[.]blogspot[.]com
• office365update[.]duckdns[.]org
• olhomagicocdt[.]duckdns[.]org
• 498408[.]ddns[.]net
• Systenfailued[.]ddns[.]com[.]br
• internetexploter[.]duckdns[.]org
• ssl9294[.]websiteseguro[.]com
• fejalconstrucoes[.]com[.]br
• c-d-t[.]weebly[.]com

悪意のある文書

• 55732ba1b1e94add5e75e90d5eba137bfbfbd35e537b8d5c9a01365f5a6407d7
• 7f13f449c80cc003d369c6b6002fd4912788e014ce35e97b29ba168136c6ece6
• 47c471da52aa808250357c4638078c9e13797bb6a8a8b169d4b33d95ff230e89
• 0c85b2ebc7c5316b7878239daf6a611fc2d0a05966f541e83e19db96f41fd3aa
• 62f82e636924980b622204368f586723feb82594ce256e2e65ac5307fd67d669
• 1c637cf4276b589f1b2806a77310b90c214cd0b026e4ec69448887be331ba5b3
• d96eaf8f22ec5cb9edba6369f9980efc8b0f76bf35eaf92aa5cb5e03669ddd9f
• 1df7ace77a7f146b1bbd5c881134083f886ea83017f4619a9e62a9743909cdd1
• 03483d2e701f8f90c9cc46b37f12f1cef995e4cca4b5c4b9e67947f560275677
• ac70d15106cc368c571c3969c456778b494d62c5319dc366b7e2c116834c6187
• 796c02729c9cd5d37976ddae205226e6339b64859e9980d56cbfc5f461d00910
• d67e160ccc6ac2fb8cd330e9fd53389fb1f99fad680d27045e5291e9d23d9317
• 7f41ae21f3ad37505e5b3d0551caeb85bc9e07571d7d98acd3489b5db8ba6741
• 3f3718b7e50eee8b0b3e4a4da8c5a0302623b5800eb7bc0718036f77a6ec72c0
• a44e08b7ebd6bf73a9eb1b5a483987a1f0e3fdfe12b05a7a8f4ec1febfcf959e
• 4211e091dfb33523d675d273bdc109ddecf4ee1c1f5f29e8c82b9d0344dbb6a1
• fd8781f125ac1ee68afb8dba61e17373ebe57bfd18850a01d41caaddde4cffcb
• 269eb444415489a7898af36f1ba105129655226c98753d87afec651219e158c7
• ee9d3c90df5c01dc6e2079d1219be752542a452988c4a25f34b8ee22be799332
• 41b57429b00383f2b5d60fb22283b5c14a94ab8619c527e7d749e64b56d31518
• ce44559beb4a5d52d962ab9e375970ef1d8e9f22a0be8c971b0244ebca61b2f2
• ccd23e44662953d0837ca12728854bfd61f5ea14293a1620c3b48ba8f435a432
• 57f31ef70a8b8b39659659abd0f1c8974fe23d2cbd2194d097375b2667a5424b
• f534f9b1cc64f03c32d59acdf9d58653bb0076798805af12e6cd914cbbfcf5fa
• 846a89bbcf6c907fd915699a232c1f9acae0756fdc12c590198bfe65b4c90f44
• 4f2ce6883b7057bde6baed2607e4645e4745db9ebfb20872e425944ba8ec3425
• 722a2d8d4c1fb1e5195df50b159cdce0b05333acbb3ec90d24310331d21d2514
• e54bfccc796a4f779d332e535f78a5b118dbcd8a8971e39ac059ee9f069a1203
• 4f4ea063d5bd22f1c57cdcf89d40339ddd5d5741c1b1dabfe52a474d70be9d04

CapturaTela

• c7f3673ca116f76b16a7e00d81553abb0df02e75d4ac8fb6d3af52d351d9b46a
• 904a4799edf642e6e685a137c88691f08b51643e539bea8de9e4cdf8c6251c7f
• a03bc280123541518845cc167b4e812bbe9682696af4eeac041385cc0a00f5c6

RAT

• 2b343e0b0aa8de557fa11c9918f1b93ab6e88d9bd11565c587852d4d17bcf5a8
• 57d83d5928bb8926718e732a85dd69dffe6ff61ff7edd9b843a50959f2fd1256
• 33195ec463ba9d627a0c177eca366bbefa34306170449a5c0ef7661319ba2b05
• 7eaea64fdfdc4f35ffe3036ee03f54c4aace204533a9d157faafa4a23221980c
• e76772ae83e2c79ed4aa80b5b7f4b42c46cea45ed1d15bd004b0dc71bfc41945
• 977d940de630fff225e4917927d47100b75b56444c4117a22aa34b1450dc2930
• 8a700793012385a706ef277f043bb5bf8a5ef877e3ba1fac3b5601df7fb36a30
• c740fe0dbf5aebf5f34e392a9bff0d4a19bf20ff553bb734574c2593ddcbbfa1
• 10a7ba12bebaa572eb6eb4bef6d1a5043c5403bf796626a478205b344c4dc8c2
• 4aff04954efd6cb02b1ba18831a72d44b2346db94e944a9f96c652f5944834d0
• d735d39de62009d09d7125f71cd774b23b6ab4a51d1dbb3d49003a5657b3477f
• 9ad38281585897b1d49632ad049c700814f72e20edc46bbc43ba510413ac6f92
• 877453c0e614e732eb9ee378693cf92263d2373e09c8287e3a4a821ecee29764
• b82c7535e41cddade675587ddaac9cb63fdf1973968f10f3a2bc1ea5409a29c2
• ec824085dac0d7e0d2e3953d241756a78635a32ad442b7909f0895fd62b08010
• 5c073adb376b57c99faa9cf10114beda732b13d04b7ed45a32c23eb043ec608f
• 8d1db84b71eb1f38f95c13c89a6adfbc64d7ca5c5a5165ae7919e0d1e6fadc45
• b278ccf189d51b085390a985526ff37455ebe249ca9da69f64e2376979c56e6b
• e99df30a89dee25f56c2f35b20de2206406934f2e6ab043e299482649dce2cb8
• 8e738b2239bbca9f50eab5f3cf3cbe58138e3b2515221c67e7eb934e2d3c7486
• b904e2823144ca9ab3161c3e508a88dc35922340e4ff2858e06b40e638bfd359
• 99b70d49377117000eaf367c037ed68c4898b0d8769f7bff88a438a9d82db214
• 982e2abc769f579a8753e8b2f65e0b0bbfbbdbae14b88f0ed697b635a9f4e38f
• 03cb44736cdd60318af8399047507b011b95fadd4784b1607b28ad4940a9a36e
• e9f42c7fbedf0054391c3a85b79a34b5be134b40a83961cc90d0e473380fde1c
• 6c45909d6311f8d356ddc704b27bd975cb3336a7b6e172206165bff613f94a2a
• 9025c9b8cfc57e7dda5e742f18d69b4c4477f9254d10c5df15b7a6ffcf7d5985
• ae3cddb0f665d739ebf5342a968585a5d13d54068ef59a51e82e739d184c6b3b
• d5baf4a27994ef2110bcc3a0b3ff2cd3815bac36d271462d1a39f77063bae9a5
• b0593829ea59d267f511f2685aa8ecf31860e123e0928ca8bf3fc1e30b3c4953
• 1c30a54a8ad30faff0a7b309d377127ed739ea80c510d7526bbb5cbe6ef5cfc9
• 498fd1c4cb16f39974555d6e596fcea6c7da73f9f0f30f57fdc8177fc3feaa4e
• 1c604e040c04be9fad3129d7bd9c69b7f8057050b2002605dde1f5e60817f89a
• 5dfd79503b19b67052ec060d74e1f2a9a5ee34de74d578c5b4499468bad8f1cb
• bc4c98116fadbcef2abfd0fe62a15b154a3b8a8eb329a877d64edc59260519c4
• 9c794069b4d6346f8152b938e4f846af63d1f1015c935579d99af1c434789406
• 7923c59d1405deacaceb26722db97714cf955610e02bf6d28051505331603606
• a03bc280123541518845cc167b4e812bbe9682696af4eeac041385cc0a00f5c6
• c7f3673ca116f76b16a7e00d81553abb0df02e75d4ac8fb6d3af52d351d9b46a
• 824d080a4da2275951a28285b66faac1698205dff181fe5fa1cf172ac1a17d8f
• 0b04028774f0e166dcbe0f993b72c430dc15364e9cc52c221bdadcc9833816f2
• 22e9260c6a4af1d42c353c7004cb2f5f245cea5e22572b111fcef4318c17e567
• 904a4799edf642e6e685a137c88691f08b51643e539bea8de9e4cdf8c6251c7f
• 7a9e3038d498d5ecaed19f6a80d9b0b7d73d47e669be8d61ca32d87566d7a035
• 16ea765b2c51eadc61c6501b4ba96073a7d50f8cd7898285ffad49ba14a121dd
• 18199bb3ad69901ef0040aa7445d6f0c8571a19cdade3115ffc9c142c0b5b721
• b940dc214f6a0be58e93f07aafcbc5a7518544f745413360269949664909fecd
• 2d26bc42a499c4658523193ade85df13ab397d375fa593a757c54a6f1c71f221
• 94a38857ebeed7d10480fb91a391a891d5a11137fabb8fc67b71c989b5e328e6
• 116da8803ac9b2dd7e1149567f227d552e84db86dd7a33ad69e15b560f0fa177
• 2945e6424f51e6077620a867e0f9c725b9b816164366912289ab6c24fdfcb9e6
• 88d1a891cfdf09b7e1882582a82c3218d5606ed530764d34ee1410198ca9ee8b
• 96424d66b7423dc54b35e4968a809a8b67d1dd8e7d8d3b0d84434edb94c822c5
• 3158906cf7cb3186654bbb62d087b9a150c12c51d2ad67dd9003abeb0f69626a
• 4e62dcea72cf73481dd8dae2bbeb8e1352a5f2510f3deb98ec0b653a4d21f8d8
• 5370711dd45b84b9644b635d03baad08d75ff740364e93ed023adc9c4a297c43
• 02254a03f08055399806b6457ee5e4fe6cfc47c6f75254434a14332d4c43afe5
• bf07b4ba117eb7d0ac59cbdd775e6a509c06a462b709b4f2d10979c9e5b3cf85