寄稿: Eduardo Altares、Wei Wang Dai、Mingwei Zhang
最近シマンテックは、Necurs ボットネットから送信されるメールが急増していることを発見しました。直近のメール攻撃では、Locky ランサムウェア(Ransom.Locky)と Trickybot(Trojan.Trickybot)の新しい亜種が拡散されています。今回の活動で目につくのは、被害者から遠隔測定のデータを収集する新機能がダウンローダに導入されたことです。新しいダウンローダは、スクリーンショットを取得し、リモートサーバーに送信する機能を備えています。また、エラーをレポートする機能もあり、ダウンローダが活動の実行を試みてエラーが発生した場合には、その情報も攻撃者に送信できるようになっています。
偽の請求書が添付された不審なメール
今回のメールで使われているのは、定番とも言えるソーシャルエンジニアリングの手口です。おおむね以下のような体裁で、請求書が添付されています。
件名: Status of invoice(ご請求の状況について)[偽の請求書番号]
添付ファイル: [偽の請求書番号].html
メールの本文には、添付ファイルを開いて請求内容を確認するよう催促する文言が書かれています。
この段階で、まず常識的な警戒心をはたらかせましょう。見覚えのない差出人から、心当たりのない請求書が届いた、あるいはメール添付で送られてきた場合、最も確実な対応は、何もせずに破棄することです。
図 1. Necurs ボットネットによって送られてくる請求書メールの一例
添付されている .html ファイルを開くと、埋め込まれた iframe を介して JavaScript がダウンロードされます。この JavaScript が、ペイロードとして Locky か Trickybot をダウンロードします。
攻撃者はオペレーショナルインテリジェンスも狙う
ダウンローダは、最終的なペイロードをダウンロードして実行するだけはなく、PowerShell スクリプトも実行します。このスクリプトで実行されるのが、スクリーンショットを取得して generalpd.jpg というファイル名で保存する機能です。
保存操作が完了するまで数秒待ってから、保存した .jpg ファイルをリモートサーバーにアップロードするコマンドが実行されます。
図 2. スクリーンショットを取得してからアップロードする PowerShell スクリプト
この動作は注目に値します。というのも、ダウンローダというのは、ペイロードをダウンロードしたら、できるだけ速やかに姿を消そうとするのが一般的だからです。スクリーンショット取得の機能と、新しいエラーレポート機能をあわせて考えると、Necurs を利用する攻撃者は、攻撃の成否に関するオペレーショナルインテリジェンス(OPINTEL)を集める意図があると考えられます。OS のクラッシュレポートが、ソフトウェア上の問題を解決して製品を改良するとき参考になるのと、よく似ています。Necurs のエラーレポートも、攻撃者が実際の問題を特定し、改良して成功率を引き上げるうえで役に立つのでしょう。なにしろ、被害者のほうがエラーや問題をレポートしてくれるはずはないのですから。
[click_to_tweet:1]
Necurs: 再流行の兆しが明らかに
Necurs は、2016 年末から 2017 年のはじめまで、長きにわたって沈黙を守ってきました。突如としてサイバー世界に再登場したのは今年の 3 月で、それ以来活動が活発化し、ここ数カ月は 2017 年に入ってからの最高水準を記録しています。
図 3. シマンテックの遠隔測定によると、スクリプトが添付された Necurs メールは 6 月時の 4 倍に増加
シマンテックのデータからも Necurs の再流行は明らかであり、オペレーショナルインテリジェンス収集の意図も明白であることを考えると、機能の進化は今後も続きそうです。今後の数カ月で、Necurs の活動レベルは引き続き上昇傾向を示すでしょう。
攻撃者がどんな行動をとろうと、シマンテックのアナリストは攻撃活動の推移を厳重に監視し続けていきます。
対処方法
ランサムウェアなどの脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
- 疑わしいメール、特にリンクが記載されていたり、ファイルが添付されていたりするメールを受信した場合には削除する。
- セキュリティソフトウェアは常に最新状態に保ち、マルウェアの新しい亜種に備える。
- オペレーティングシステムをはじめ、あらゆるソフトウェアを常に最新の状態に保つ。ソフトウェア更新には、新しく見つかったセキュリティ脆弱性に対するパッチが含まれていることが多く、攻撃者による悪用を防ぐことになります。
- コンピュータに保存しているファイルはすべて定期的にバックアップする。 万一コンピュータがランサムウェアに感染した場合でも、マルウェアを駆除した後でファイルを復元できます。
保護対策
シマンテックとノートンの製品をお使いであれば、以下の検出定義で Downloader.Ratankba から身を守ることができます。
ウイルス対策
侵入防止システム
【参考訳】
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
* 日本に特化したセキュリティ情報は、シマンテックビジネスセキュリティステーション https://business-security-station.com/securityinfo/?utm_source=symcom&utm_medium=owned&utm_campaign=rblog もご覧ください。