IT業界の関係者なら誰でも、サイバー犯罪者が従業員にマルウェアを感染させるために最もよく使う手段がメールであることは周知の事実でしょう。しかし、ウェブサイトのお問い合わせフォームから初めて連絡を受けた場合、一見すると全く正規のメールのように見え、安心感を抱かせてしまう可能性があります。そこで、この新しいソーシャルエンジニアリング手法が悪名高いBazarLoaderマルウェアの拡散にどのように利用されたのか、そしてその対策方法について解説します。
BazarLoader とは何ですか? どの程度の脅威ですか?
BazarLoaderは、第一段階の感染手段として使用される、ステルス性に優れた高度なマルウェアです。コンピュータが感染すると、他のマルウェアをダウンロードして実行します。BazarLoaderは非常にステルス性と耐性を備えて設計されており、過去にはTrickBot、Ryukランサムウェア、Contiランサムウェアなど、様々な種類のマルウェアを使ったキャンペーンに使用されていました。Trickbotギャングによって開発されたと考えられています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
BazarLoader は EmerDNS システムを使用します。このシステムは、ドメイン名の記録が完全に分散化され、検閲不可能なブロックチェーンで構成されており、これは Emercoin で明確に述べられている側面です (図 A )。
図A
これにより、ドメインのブロックチェーンの秘密鍵を所有している人以外は誰もそれをシャットダウンできないため、マルウェアは非常に耐性が高くなります。
BazarLoaderは技術的に非常に進化しているだけでなく、その管理者は革新的な手法を用いて拡散し、時間をかけてユーザーに感染させてきました。例えば、リンクや添付ファイルのないメールを使用し、無料トライアルサービスがまもなく終了し、受信者のクレジットカードに1~2日以内にサブスクリプション料金が請求されるという企業を装います。この支払いをキャンセルするには、ユーザーは詐欺師が運営する電話番号に電話をかけなければなりませんでした。すると、詐欺師はユーザーに感染するためのリンクを提供します。この手法は、リンクやファイルをメールで送信しないため、脅威検出を回避するのに非常に効果的です。また、標的を感染させるために、VLCやTeamviewerのソフトウェアインストーラーを侵害したものも使用されました。
BazarLoaderの新しい拡散チャネル:ウェブサイトのお問い合わせフォーム
Abnormal Security は最近、BazarLoader コントローラーがマルウェアを拡散してユーザーに感染させる新しい革新的な方法を発見しました。
この新たな感染手法では、サイバー犯罪者はまず組織のウェブサイトのお問い合わせフォームを介して連絡を取ります。サイバーセキュリティ企業Abnormal Securityが提供した例では、攻撃者がカナダの高級建設会社を装い、標的の製品に関する見積もりを求めている様子が明らかになっています。
ターゲットが電子メールで返信すると、攻撃者はソーシャル エンジニアリングの手法を使用して、被害者に悪意のあるファイルをダウンロードさせ、コンピューターを BazarLoader マルウェアの亜種に感染させる前に、偽の身元を確立します。
Abnormal Security が報告した例では、攻撃者からの最初の電子メールの返信には、追加情報が別のメールで届くことが記載されています (図 B )。
図B
1 分以内に、攻撃者からの 2 番目の電子メールが、TransferNow または WeTransfer オンライン サービスから被害者のメールボックスに届きます (図 C )。
図C
ダウンロードされたファイルは、通常の .exe ファイルや、感染する XLSX ファイルや DOCX ファイルではありません。
このファイルは2つのコンポーネントを持つ.ISOファイルです。最初のコンポーネントはフォルダを装っていますが、実際には.LNKショートカットであり、2番目のコンポーネントは.LOGファイルを装ったDLLファイルです(図D)。
図D
ショートカットをクリックすると、regsvr32.exe を介して2番目のファイルを起動するコマンドライン命令が実行されます。この2番目のファイルは BazarLoader DLL ファイルです。
最終段階である、BazarLoaderが別のマルウェアを取得して起動する動作は、Abormalでは検出できませんでした。しかし、このサンプルは、ランサムウェア、トロイの木馬、またはビットコインマイナーの拡散元として以前にフラグ付けされたIPアドレスへの接続を試みていました。
この種の攻撃から身を守る方法
この記事で明らかにされた攻撃は、よくあるようにソーシャルエンジニアリングに基づいています。攻撃者はまず連絡フォームで最初のコンタクトを確立し、その後、標的がメールで連絡してくるのを待ち、正規のオンラインファイル配信サービスから送られてきたファイルを開くように誘導します。こうすることで、標的は安全なファイルを開くという誤った認識に陥り、感染に至ります。
不明なソースから送られてきたファイルは、注意深く扱い、すぐに実行しないでください。ファイルが安全かどうかを判断するには、いくつかの手順が役立ちます。
- 署名ベースのマルウェア検出以上の機能を備えたセキュリティ製品でファイルを分析します。
- 可能であれば、静的分析に加えて動作分析も行うため、サンドボックスでファイルを分析してください。この分析は、IT部門またはマルウェアに関する深い知識を持つアナリストが行う必要があります。
- それでも疑問がある場合は、スナップショット システムを備えた仮想マシンでファイルを開きます。ファイルを実行して分析が完了したら、仮想マシンを起動前の状態に戻すことができます。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
