日本語ばらまき型メールに添付されるマルウェア

2016年6月中旬、ラック公式ブログでも紹介されたように、日本サイバー犯罪対策センターやセキュリティベンダなどによってネットバンキング情報の窃取を目的とする Ursnif(別名:Gozi)が 猛威を振るっていることが報告されました。この時期に発生したUrsnifへの感染原因は、日本語ばらまき型メールに起因しているものがほとんどであり、Ursnifは、メールに添付された実行形式のファイル(URLZone[別名:Shiotob/Bebloh])によって ダウンロードされます。
最近、実行形式のファイルが添付されたばらまき型 メールを見かけなくなったなと思った矢先の2016年9月6日、図1のようなメールをそして、翌日の9月7日「件名：宅急便受取指定ご依頼受付完了のお知らせ」といったメールが再び拡散されていることを 確認しました。添付された実行形式のファイルを確認したところ、いずれの実行形式のファイルもURLZoneであり、現在も日本語ばらまき型メールのキャンペーンは続いているようです。今回は、このURLZoneの通信先について少しまとめてみました。

図2は、2016年1月から8月末までで確認できた日本語ばらまき型メール情報と添付されていたマルウェア(URLZone)に関する情報をMaltegoで表したものです。中心の青い丸点がURLZoneというマルウェアとなり、 その情報に日本語ばらまき型メールを紐付かせ、 マルウェアのハッシュ値、ファイル名、C2などの情報を線で結んでいます。少し図を俯瞰してみますと赤枠の箇所に多くのマルウェアが集まっており、 いくつかの同じドメインに通信をすることが確認できます。 これらは、2016年6月下旬から2016年8月下旬頃に確認できた日本語ばらまき型メールになり、この期間は多くのメールが拡散されていたことがわかります。 なお、9月7日に確認した日本語ばらまき型メールのマルウェアも上記期間と通信先が同じでありこの赤枠の中に含まれます。

表3は、ばらまき型メールを受信した際の時期とURLZoneの通信先ドメイン、ドメインから名前解決できたIPアドレスを表したものです。 通信先ドメイン(※1)については、現在、過去を含め名前解決ができ攻撃者がC2サーバとして利用した可能性が高いものです。

(※1)sinkholeとして利用されている可能性があるドメインは記載していません。

図4は、表3のIPアドレスを集計したものであり、いくつかのドメインについては、名前解決後のIPアドレスが同じであることが確認できます。このことにより、攻撃者は、ある程度決まったIPアドレスを攻撃インフラとして利用している可能性が高いことが伺えます。

あくまで推測となりますが、攻撃者が同様の攻撃を継続しているということは、ばらまき型メールによる攻撃によりそれなりの数のユーザがマルウェア感染し、攻撃者に情報を窃取されている可能性が考えられます。 もしかしてと思うところがありましたら、表3に示すドメインをプロキシログなどから確認いただき日本語ばらまき型メールによるURLZoneの感染チェックとして、あるいはフィルタリングルールの1つとして利用いただければ幸いです。