ブログ(脅威調査)

景気刺激法案と新型コロナウイルス感染症(COVID-19)補助金制度に基づくソーシャル・エンジニアリングにより、 数週間後に攻撃の増加が予測される

現在、米国議会で検討されている経済的刺激法案を取り巻くコミュニティへの関心とマスコミ報道を踏まえて、攻撃者が新たな景気刺激法案や関連の回復活動(景気刺激検査、失業補償、中小規模企業向け融資など)に合わせて調整したおとりの活用がますます増大することが予想されます。攻撃グループはこれらの問題に関連するテーマを採用したキャンペーン攻撃をまだ始めたばかりですが、今後のキャンペーン攻撃(主に金銭目的の攻撃グループが行うキャンペーン攻撃)では、メディアがこれらを取り上げる記事の量に比例して採用されていくと予測されます。

様々な動機を持つ攻撃グループが、現在の世界的流行やコロナウイルス(COVID-19)に対する市民の恐怖感を積極的に活用しており、これはFireEyeの予測と一致しています。悪意のある攻撃者は、一般に、繰り返し発生するイベント(休日、オリンピックなど)のほかに主要なきっかけを悪用しようと、ソーシャル・エンジニアリングのおとりを迅速に変化させます。FireEyeおよび広範なコミュニティのセキュリティ・リサーチャーはすでに、補助金、支払い、または経済的な回復をあしらったEメールと添付ファイルを使用した、COVID-19をテーマにしたキャンペーン攻撃を特定し、報告し始めています。

マルウェア展開キャンペーン攻撃の例

3月18日、広範な産業や地域の企業の個人が、SILENTNIGHT バンキング・マルウェア(Zloaderとも呼ばれる)の展開を目的とした「COVID-19 Payment(COVID-19に関する支払い)」という件名のEメールを受け取りました。広範なキャンペーン攻撃であったにもかかわらず、複数の関連メッセージがカナダを拠点とする組織に送信されました。興味深いことに、これらのEメールの内容はいくらか汎用的で、受信者の地理的、文脈的に関連性のある政府に関連した通貨での支払いを言及するように変更されることもありました(図1と図2)。これらのEメールは、ドメイン名@gmx.comの付いたさまざまなEメール・アドレスから大量に送信され、「COVID 19 Relief.doc」(図3)というファイル名のパスワード保護されたMicrosoft Word文書が添付されていました。Eメールは自動生成されているように見え、<名前>.<名前><7桁の数字>@gmx.comという形式でした。添付のドキュメントを開いてマクロを有効にすると、.JSEスクリプトをダウンロードして実行しました。スクリプトは、http://209.141.54[.]161/crypt18.dllからSILENTNIGHTのインスタンスをダウンロードして実行するように作られていました。

このURLからダウンロードされたSILENTNIGHTの解析済みサンプルは、9e616a1757cf1d40689f34d867dd742eのMD5ハッシュを有し、RC4鍵「q23Cud3xsNf3」を使用して、SILENTNIGHTボットネット「PLSPAM」と関連付けられました。このボットネットは、主に米国およびカナダの金融機関を標的とするWebInjectの設定ファイルをロードすることが確認されています。さらに、このサンプルは、以下のコントローラーに接続するように設定されています。

  • http://marchadvertisingnetwork4[.]com/post.php
  • http://marchadvertisingnetwork5[.]com/post.php
  • http://marchadvertisingnetwork6[.]com/post.php
  • http://marchadvertisingnetwork7[.]com/post.php
  • http://marchadvertisingnetwork8[.]com/post.php
  • http://marchadvertisingnetwork9[.]com/post.php
  • http://marchadvertisingnetwork10[.]com/post.php


図1:カナダドルのおとりの例


図2:豪ドルのおとりの例


図3:不正なWordドキュメント

フィッシング・キャンペーンの例

米国の金融サービス機関の個人宛てに、「Internal Guidance for Businesses Grant and loans in response to respond to COVID-1(COVID-19への賠償に対応するビジネスの補助金、融資に関する内部ガイダンス)」(図4)という件名のEメールが送られてきました。これらのメールには、.ODP(OpenDocument Presentation)形式のファイルが添付されていました。この添付ファイルをMicrosoft PowerPointまたはOpenOffice Impressで開くと、米国Small Business Administration(SBA)をあしらったメッセージ(図5)と、https://tyuy56df-kind-giraffe-ok.mybluemix[.]net/でホストされているOffice 365フィッシング・キット(図6)にリダイレクトするインライン・リンクが表示されます。


図4:ビジネス補助金と貸付に言及するおとりEメール


図5:SBAをあしらったメッセージ

図6:Office 365のフィッシング・ページ

予想される結果

悪意ある攻撃者は常に、ユーザーの緊急度、恐怖心、善意、および不信感を悪用して、攻撃を拡大してきました。こういった危機を悪用する攻撃グループは目新しいものではなく、新しい情報を早急に探している、特に負荷の大きな標的を利用しているに過ぎません。この課題に対処するためには、このダイナミックな情勢を認識し、慎重で懐疑心を持って新しい情報に接することをお勧めします。

 

本ブログは、米FireEyeが公開した March 27, 2020「Social Engineering Based on Stimulus Bill and COVID-19 Financial Compensation Schemes Expected to Grow in Coming Weeks」(英語)の日本語抄訳版です。

日本語版:Reviewed by Toru Tanimura

 

関連リンク