Qarallax RAT:米国ビザ申請者を偵察

スイスで米国ビザを申請しようとした米国渡航希望者が、QRATというマルウェアに関わるサイバー犯罪者によって標的にされたようだ。

エフセキュア研究所ニュース, Top // 2016-06-24

最近、スイスで米国ビザを申請しようとした米国渡航希望者が、QRATというマルウェアに関わるサイバー犯罪者によって標的にされたようだ。@hkashfi (英文)というTwitterユーザーが投稿したツイートによると、友人のもとへ米国ビザ申請サイト(USTRAVELDOCS.COM)の職員を名乗る人物から「US Travel Docs Information.jar」というファイルが送られてきたのだという。その人物のSkypeアカウントはustravelidocs-switzerlandだったということだが、ここで「travel」と「docs」との間に「i」が入っていることに注目してほしい。

qrat-fake-ustraveldocs-skype-account

本物と偽物の違いを見分ける

米国ビザに関して詳しい情報を探している渡米希望者が、結果として、悪意のあるファイルを送りつけてくるサイバー犯罪者と会話をしてしまう可能性がある。Skypeで米国ビザ申請に関する正規のアカウントを検索すると、2つのエントリが表示される。よほど目が良くないと、偽アカウントのほうを選んでしまうかもしれない。

qrat-skype-search-result-for-ustraveldocs-switzerland

Skypeで、関連のある検索結果が表示される

Skypeで「ustravelidocs」を検索すると、次のような検索結果が表示される。これらは、他の国籍のビザ申請者を標的にしているようだ。

qrat-skype-search-result-for-ustraveldocs

他の国籍のビザ申請者を標的にしている可能性がある感染ベクター

このファイルはJAVAアプリケーションであり、JAVA実行環境(JRE)がインストールされているオペレーティングシステム上で動作する。ユーザーに何も知らせることなく、バックグラウンドでひっそりと実行される。このアプリケーションは、ネットワークの活動に基づいて、95.211.141[.]215というIPアドレスからJAVAライブラリを数本ダウンロードする。このIPアドレスはQARALLAX[.]COMドメインに変換される。また、このアプリケーションは1714番ポートを用いて同じIPアドレスに接続し、コマンド&コントロール(C&C)サーバーとして使用される。

このアプリケーションは、以下の動作を実行できる。

・ マウスの動きおよびクリックを捕捉する

・ キーボード入力を捕捉する

・ Webカメラをコントロールして写真やビデオを撮影する

このアプリケーションによってダウンロードされてはいないが、このサーバーがホストしていた別のライブラリおよびアプリケーションがある。その1つが、オープンソースのアプリケーション、LaZagneであり、これは以下のソースからパスワードを取り出すことができる。

・ WIFI認証情報

・ ブラウザ

・ チャットアプリケーション

・ データベース

・ メールプログラム

このグループは、LaZagneアプリケーションをコピーして、彼ら自身のラベルをつけている。おそらく、このラベルを貼り替えたアプリケーションを、割り増し料金の支払いをいとわない顧客に向けての追加機能として利用するのだろう。「US Travel Docs Information.jar」に備わる機能は、リモートアクセス型トロイの木馬の「webcam slaves」によく似たマルウェアの実態を表している。

qrat-relabeled-lazagne

ラベルを替えたLaZagneアプリケーション

このJARファイルは、AES暗号化およびBase64エンコーダーを用い、文字列を難読化して静的解析を妨げようとしている。コード本体に「allah」や「hemze」といった文字列が見られ、難読化されているところからして、アラビア語圏が発祥と思われる。IPアドレス95.211.141[.]215の所在地はオランダだが、QARALLAX[.]COMドメインについてのWHOISの履歴からは、トルコとのつながりが見て取れる。同じWHOISのデータによれば、このドメインの所有者は「QUAverse」という組織であり、Trustwave社のブログ記事には、同名のRATについての記述 (英文) がある。また、同じ文字列は、一部のフリーランスサイトプロファイルおよびソーシャルネットワークで、ある企業として参照されている。

qrat-string-deobfuscation

元の文字列を使用する前にマルウェアにより難読化されている

「QARALLAX」で検索すると、BLACKWHITEGUYSフォーラムで提供されている製品がヒットした。販売元の名前はquanianであり、quaverseと似た名前だ。フォーラムへの参加は2016年3月。QARALLAXドメインの初登録は2016年2月で、2016年3月にIPアドレスが変更されている。フォーラムでのQarallax V9のマーケティングと時期が重なる。こうした経緯からすると、Qarallaxという改変アプリケーションはまだ新しく、6か月も経っていないようだ。Qarallax RATの販売価格は、契約期間5日~1年でそれぞれ22~900米ドルとなっている。

qrat-ecommerce-site

Malware-as-a-Serviceの提供

購入すると、Qarallax RATユーザーは「マスター」と「スレーブ」プログラムを手にする。ユーザーは、被害者を騙してアプリケーションを実行させることにより、スレーブのネットワークを拡大させる役割を担う。Skypeを介して受け取られたファイルはスレーブプログラムである。Skypeハンドル名とプログラムのファイル名にユーザーは騙され、ドキュメントが正規のソースから送られてきたものと信じ込む。

マスタープログラムはスレーブプログラムと同じIPアドレスに接続する。マスタープログラムのライセンスが有効であれば、ユーザーにスレーブポートと一致するポート番号の入力を求め、そうすることにより、被害に遭ったマシンが表示される。

qrat-master-port-prompt-message

QRATがTCPマスターポート番号の入力を求める

ライセンスが無効か期限切れの場合は、「Invalid Master!」というプロンプトメッセージが表示される。

qrat-invalid-master-error-prompt

マスターが無効というエラープロンプト

ポート番号を間違えると、「Connected Slaves」のリストは表示されない。

qrat-no-connected-slaves

ポート番号を間違えると、スレーブは表示されない

次の画像は、設定が正しい場合の、サイバー犯罪者から見た画面インターフェイス を示したものだ。

qrat-connected-slaves

Qarallax RATのスクリーンショット(販売元が宣伝している画像)

「ラッター(ratters)」ともいわれるQRATユーザー によって、被害者を感染させる手口はそれぞれ異なる。Skypeを介して被害者を感染させようとするものもいれば、メールを用いるものもいる。ラッターたちは、マスタープログラムおよびポート番号だけは共有しなければならないが、互いの被害者を見交わすことはない。

渡航ビザに関する情報を調べることがあったら、Skypeハンドル名と、受け取るドキュメントをよく確認する必要がある。小文字の「l」と大文字の「I」と数字の「1」、そして大文字の「O」と数字の「0」は紛らわしいので注意してほしい。被害者を狙う手口にはさまざまあるが、よくよく調べることを怠らなければ、防げることもあるのだ。

Indicators

・ 43c805decf1dc4da19f427f5e5f03f445447735d – US Travel Docs Information.jar

・ 9760d73ce78e643013bee69e31016542895e7dbd – Docx.jar

・ 04565e7ea292f00cfc8b527055a4e626abb823ee – QMaster_aaabidakhter_1465200828.jar

・ 707995bfbc41e7b7a7a07aa5279454f250b4a0cd – QMaster_aaabidakhter_1465196970.jar

・ 4f98bc6aa87316b8f0fd6e06d75116c741722a05 – QMaster_aaabidakhter_1465159591.jar

・ 7d8b9794242f9e048666cf8e1059f9b31ff7bb27 – QMaster_Jumbo101_1465177016.jar

・ 93559f44539470dd23a7ebc4841598b218e8b6cf – QSlave_Jumbo101_1465177106.jar

・ ac585e335a09e40005bb18821f193835c4cb7ebd – QMaster_obfrank82_1464945557.jar

・ 2df1b5efd04e2251dae7590274e80730f650e32e – QSlave_obfrank82_1464945739.jar

・ b1d4fa537863a6922708066d9f826742188b7421 – QSlave_obfrank82_1464940447.jar

・ 36ff4a825bc2ce4f68aa4af4dcc574dc21194a6c – QMaster_BZSOFTWARES_1464938048.jar

・ 38929e965798909614ba380605811d1ef4d88e74 – QMaster_maakbay_1459134783.jar

・ 0a9a57efd987a9fda4f26972ffd87311950d6f68 – QSlave_maakbay_1461488243.jar

・ 0d01bda12abaf05c80b345e2b8561ba394212985 – QSlave_maakbay_1460356003.jar

・ 2d1e3fdcfaab19c443463d0752e4ce15b61fa57d – QSlave_maakbay_1461916933.jar

・ c1157f4d4f72b3f6a8c36589d54472872c239faf – QSlave_maakbay_1464037432.jar

・ de07b58a1dce1f52ab1dd69e84ff4d2482649e68 – QSlave_mortyl212_1461488917.jar

・ 95.211.141[.]215:80 – IP address where the sample download additional JAVA libraries, plugins.

・ 95.211.141[.]215:1714 – IP address where the sample send status to command and control server.

・ Qarallax[.]com – Domain name of 95.211.141[.]215

・ ustravelidocs-switzerland – Skype user handle that sent the “US Travel Docs Information.jar”

 

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中