決してCerberではない

先週の初め、二重にzipされたJScriptファイルを配信しているスパムキャンペーンに気付いた。

著者: F-Secure Business Security Insider
日付: 2016年10月07日
読了時間: 0 分

パイヴィ・テュンニネン

先週の初め、二重にzipされたJScriptファイルを配信しているスパムキャンペーンに気付いた。キャンペーンが始まったのは9月8日である。メールの件名は「RE:[受信者の名前]」、本文は空で、「[受信者の名前][a-zのうちの4文字].zip」という名前のzipファイルが添付している。

locky-cerber-spam-sample

メールの特徴、添付ファイルの名前、およびサンプルで使用されている難読化の手法は、以前にCerberランサムウェアがばらまかれた際に見られたものに似ていた。1つのサンプルをテストしてみた結果は、不快な驚きであった。Cerberとはまったく似ていなかったのだ。

locky-screenshot

決してCerberではない

テストしたサンプルの最終的なペイロードはLockyランサムウェアであった。これは意外な発見である。Lockyは、より大規模なまったく異なるキャンペーンにおいてNecursボットネットによってばらまかれることが知られているからだ。このキャンペーンは1週間続いたが、1日当たりせいぜい数十件のサンプルが確認されるだけだった。さらに詳しくキャンペーンの分析を行ったところ、その週の間に添付ファイルに小規模な微調整が施され、アップデートされていることが分かった。

locky-cerber-spam-stats

8日の夕方に配信された最初の添付ファイルは、難読化されたJScriptダウンローダであった。このタイプのファイルの配布は数日続いた。2日後、次に急増した時点では、JScript Encodedスクリプトファイル(.jse)での、同じように難読化されたJScriptダウンローダが配布されるようになっていた。その後、このキャンペーンは、暗号化されたJScriptファイルをばらまき続けたが、重要な文字列のカスタムなXOR暗号化をサポートするべく難読化が変更されていた。最後のアップデートでは、ダウンローダのサイズはコメントで倍増し、配布数が急増している。

また、接続先のURLも、以前のCerberキャンペーンで見られたフォーマットに従っていた。全体として、これらのサンプルは、.topドメイン(TLD)下で登録されている7つのドメインに接続した。これらのドメインは2つのIPアドレスに変換され、?f=[1-7のうちの1つの数字].binという形式のそれぞれ異なる7つのクエリパラメータを持っていた。クエリは配信されたサンプルにハードコーディングされており、サンプルの25%はクエリパラメータ1のドメインに接続していた(比較すれば、パラメータがランダムに生成されるとすると、配信の割合は25%ではなく14%になるだろう)。

URLをさらに詳しく分析したところ、クエリパラメータ2~7のすべてのドメインで、同じLockyのサンプルが配信されたことが分かった。クエリパラメータ1はCerberランサムウェア用に割り当てられていた。

cerber-screenshot

おそらくCerberである

他のたちの悪いマルウェアとともに同じキャンペーンでCerberが配布されたのは、これが初めてではない。5月のCerberでは、Dridexバンキング型トロイの木馬と配布フレームワークを共有していた。今回のキャンペーンは、その週の間にドロッパに複数の小規模なアップデートを行う試験段階だったようであるが、ともかく、同じキャンペーンで2つの異なるランサムウェアが見られたことは珍しいことであった。

IoC:

ioc


コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中