大規模なDridexスパム攻撃が発生、標的は英国

3月31日の午前9:00から深夜0時(GMT)までの間に、3回の大規模なマルウェアスパム攻撃が確認された。その規模は、添付ファイル付きのスパムの1日の平均発生数を大きく超えるものであった。

著者: F-Secure Business Security Insider
日付: 2017年04月27日
読了時間: 1 分

パイヴィ・テュンニネン

昨日の午前9:00から深夜0時(GMT)までの間に、3回の大規模なマルウェアスパム攻撃が確認された。その規模は、添付ファイル付きのスパムの1日の平均発生数を大きく超えるものであった。これらのキャンペーンの送信先は、ほとんどがco.uk(TLD)のメールアドレスのアカウントであった。

グラフのタイムゾーンはヘルシンキ時間

1回目のキャンペーンは8:30(GMT)から始まり、メールの件名は「Your Booking 938721(ご予約番号 938721)」(数字は変動)などであった。メールの本文には、予約確認の非常に長い文章と共に、添付のドキュメントを印刷しておく必要がある、と書かれている。以下を参照。

添付ファイルは、.zipまたは.rar形式の圧縮ファイルが入った.zipファイルである。二重に圧縮されたファイルは、バンキング型トロイの木馬Dridexのローダのバイナリをダウンロードして実行するvbsのスクリプトか、同じDridexバイナリをダウンロードするためのQuantローダのバイナリのいずれかである。

2回目のキャンペーンは13:30(GMT)頃に始まり、メールの件名は「uk_confirmation_ph948261563.pdf」(数字は変動)などで、1回目と内容的に似たものとなっている。添付ファイルは、同じく二重に圧縮されたzipファイルだが、こちらには中間ダウンローダマルウェアは入っておらず、中身は、Dridexローダのバイナリと、操作の指示が記されたテキストファイルとなっている(その指示に従うと感染してしまう)。

3回目のスパムキャンペーンは、18:00(GMT)の少し前から始まり、メールの件名は「Emailing: P2993995.JPG」(数字は変動)などで、二重に圧縮されたzipファイルが添付されている。メールの本文は、メールサーバから送り返されたメールであるかのような印象を与えるものだ。圧縮ファイルは2回目のキャンペーンと似ており、中身は、Dridexバイナリと、バイナリの実行が必要である旨が記された短いテキストファイルである。

今回のDridexバンキング型トロイの木馬のキャンペーン(キャンペーンID 7200)は、バークレイズ、ロイズ、およびサンタンデールなど、英国の複数の銀行の顧客を標的としている。

このローダは、以下のアドレスへ通信(Phone Home)を行う。

・8.8.247.36:443

・81.12.229.190:8043

・107.170.0.14:8043

・37.120.172.171:4143

IoC:

7f4aec2a738d13f4e0882ae917578f9176aab05d

32b442717c22a1e84d6eafbb20d794f781db4f05

694266450ffedf4008f0cf0e5573c63c56f2e5d0

e815d6b25675629a85d64a1f2d450da02c8cc579

  1. 299cd2cd9f4942b143c51e6d1e10ea240edcd65a

4379ab1633143b855e553d507366104c9d51b20d

5f9f46f34fdaceb6b2bb74043eb6cbbd2657fe16

7e3b81248835d59cfa780a315836694950fbc88c

9baf8662843220f52d0d5797efc70f886e60138f

  1. 9bddc3695c7272f3d848afe7a763d61497e518ab

d4ea89cfd13794c8c79625e74e6f4e44be9bfa27

176e33b265829b7c1922be76652ec254148eb278

4f60ec876a7b59d547c01977bb13aba95114290b

baf1d46ffeae15faffc6a905a2b6797bf06d0734

  1. 71792564c59392c6f875c18bb62b7f501ba48a5d

feebdfc11a48fb72497683aa9a3447256ea04fb2

1f98860ad4fd5b8e59069a069735864f5756bc70

2fc7a8b3fabc1c4824fd5eebd9150a7f6efce740

637d81336b0734b43fe724c7b5411bb428dec54a

  1. e13fbb78710f6b3fa1981b9e958494b1f6de6d16

f2592c565e0e3483e7aae18863e3f0558a78ba1f

539af507be8ca297ce0aa14054b31a93a5998c0e

9a418586f2741f47e7e827e67d83d6ff7ca45ab0

cc5a97d500161cd80eec1cab210583cdff003c2c

  1. 155863bcd4ea677986beb13b1e519f3f71cf2183

hxxp://solucionesfenix[.]net/33f3v3.exe

hxxp://nzhat[.]net/9jgtyft6

当社が、これらの脅威から検知したものは以下の通りである。

  • Trojan-Downloader:VBS/Kavala.Z
  • Trojan:W32/Dridex.O!DeepGuard
  • Trojan:W32/Crowti.A!DeepGuard
  • Trojan.Agent.CFKS
  • Trojan.Agent.CFKI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中