標的型攻撃では、攻撃者ごとに特徴的な攻撃手法を使用するものと考えられており、標的型攻撃の攻撃手法を分析する上で重要な要素となっています。本記事ではトレンドマイクロが確認した標的型攻撃の中から、「APT33」と呼ばれる攻撃者（以下簡略化のためAPT33とします）について、遠隔操作通信の追跡困難化手法をまとめます。APT33の数年にわたる活動については多くの報告が出ており、石油産業および航空産業を標的として活発な攻撃を行っているものと考えられています。トレンドマイクロは最近、APT33が、12台ほどのCommand＆Control（C＆C）サーバを攻撃に利用していることを確認しました。これはC＆Cサーバの運用をわかりにくくするための手口と考えられます。APT33はこのような追跡困難化の手口を何層も加え、中東や米国、アジアにおいて標的型攻撃キャンペーンを展開しています。

トレンドマイクロでは、APT33は利用するボットネットをそれぞれ12台ほどの感染コンピュータの小グループで構成しているものと考えています。そして、これらのボットネットは標的組織のネットワーク内で活動を持続化させます。利用するマルウェアは、追加のマルウェアをダウンロードして実行する、ごく基本的なダウンローダです。2019年には、米国の国家安全保障関連サービスを提供する民間企業、大学あるいは米軍関係者を対象とした感染が確認された一方、中東とアジアにおいても検出が確認されています。

APT33はここ数年間で攻撃をより活発化させているようです。たとえば、少なくとも過去2年以上に及んで、ヨーロッパの高位の政治家で、防衛委員会のメンバーでもある個人のWebサイトを利用し、石油製品サプライチェーンの一部を担う企業宛に標的型メール（スピアフィッシングメール）を送信していました。攻撃対象には、軍事基地の1つに飲料水を供給するために米軍が使用する給水施設が含まれていました。

これらの攻撃は、石油産業に明らかな感染被害をもたらしました。たとえば2018年の秋には、英国を拠点とする石油会社が英国およびインドに保有するコンピューターサーバと、APT33 のC＆Cサーバ間の通信が観察されました。また、別のヨーロッパの石油会社がインドに保有するサーバの1つが、2018年11月と12月の間に3週間以上にわたって、APT33関連のマルウェアによる攻撃を受けました。他にも2018年秋に、他の石油サプライチェーンの企業がいくつか侵害されています。APT33は破壊的なマルウェアを使用することでも知られており、石油産業関連企業にとっての大きな危険を示唆しています。

石油製品サプライチェーンを対象とする標的型攻撃の他にも、トレンドマイクロは、それぞれ12台ほどのボットで構成される小さなボットネットに、複数のC＆Cのドメインが使用されていることを確認しました。C＆Cのドメインは通常、クラウドホスト型のプロキシでホストされています。これらのプロキシは、感染してボット化したコンピュータからのURLリクエストをバックエンドに中継します。バックエンドは、他に多くの正規のドメインもホストしている共有Webサーバ上にあります。バックエンドからは、ボットのデータが、専用のIPアドレスにある「データアグリゲータ（データを集約する場所）」と「ボット制御サーバ」に報告されます。攻撃者は、頻繁に変更される出口ノードを持つ「仮想プライベートネットワーク（Virtual private Network、VPN）」を介してこれらのデータアグリゲータに接続します。次に、ボットにコマンドを送信し、これらのVPN接続を使用してボットからデータを収集します。このC&Cに関する多層レイヤ構造は追跡困難化のための特別な仕組みと言えます。

図１：追跡困難化のためのC&C多層レイヤ構造の概要図

2019年の秋、トレンドマイクロは、稼働中の10台のデータアグリゲータおよびボット制御サーバを確認し、それらの数台を数カ月にわたって追跡しました。これらのデータアグリゲータは、1つか2つのC＆Cサーバからデータを取得し、しかも一つのC＆Cドメインにつき最大でも12の攻撃対象のみをカバーしています。以下の表２は、現在も稼働している古いC＆Cドメインの一部を示しています。

私有VPNは、世界中にあるデータセンターからいくつかサーバをレンタルし、「OpenVPN」などのオープンソースのVPNソフトウェアを使用することで、簡単にセットアップできます。私有VPNからの接続は、特に関連性のない世界中のIPアドレスからの接続に見えますが、この種のトラフィックは実際には追跡が可能です。ある出口ノードが特定の何者かによって使用されていることがわかれば、その出口ノードのIPアドレスから作成された接続の属性について高い確率で言い当てることが可能です。たとえば、私有VPNの出口ノードからC＆Cサーバを管理する以外にも、攻撃者は標的組織のネットワークの偵察を行っている場合があります。

APT33は、おそらくVPNの出口ノードを排他的に使用していると見られます。トレンドマイクロは、APT33の私有VPNの出口ノードの一部を1年以上追跡し、関連する既知のIPアドレスを下の表３に一覧にまとめました。IPアドレスは、観測の期間よりも長時間使用されていた可能性があります。

これらのプライベートVPNの出口ノードは、石油産業のサプライチェーンに関連するネットワークの偵察にも使用されているようです。例えば、表3のIPアドレスの一部が、中東の石油探査会社と軍の病院、および米国の石油会社のネットワークで偵察を行っているのを確認しています。

図2：私有VPNを使用したアクセスの概念図

■被害にあわないためには

石油、ガス、水、電力関連の施設は、近代化に伴い安全の確保がより困難になっています。徹底した攻撃、容易に利用できる脆弱性の存在、また、監視制御システム（Supervisory Control And Data Acquisition、SCADA）やヒューマン・マシン・インターフェイス（HMI）のようなインフラストラクチャの露出は重大な問題となっています。以下は、組織が適用できるベストプラクティスです。

• すべてのシステムに対して定期的なパッチの適用および更新ポリシーを導入する。攻撃者にこれらのセキュリティ上の欠陥を悪用されることを防ぐために、できるだけ早くパッチをダウンロードして適用する
• IT管理者は、受信および送信トラフィックの監視を容易にするために、最小権限の原則を適用する
• ゲートウェイからエンドポイントへの悪意のある侵入を検出してブロックできる多層保護システムをインストールする
• 攻撃者が使用する最新の攻撃手法に備えるために、従業員の認識を向上させる

複雑であるとともに多国籍システムであるケースが多いサプライチェーンの保護もまた困難です。通常は、必要なサードパーティのサプライヤが中核となる運用に組み込まれています。これらのサードパーティは、セキュリティにおいて見過ごされる可能性があり、サードパーティとの通信または接続上にみられる脆弱性は、攻撃者にとって狙われやすい場所といえます。サプライチェーン攻撃に関する調査とセキュリティに関する推奨事項は、こちらをご覧ください。

■トレンドマイクロの対策

標的型攻撃の攻撃者は、標的型メールを利用して標的組織のネットワークに侵入します。彼らの攻撃活動は継続的であり、深刻な脅威となっています。トレンドマイクロの法人向けエンドポイントセキュリティ製品「Trend Micro Apex One」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。
「Trend Micro Hosted Email Security」は、メンテナンス不要のクラウドソリューションであるため、継続的に更新される保護機能が、スパム、マルウェア、標的型メール、ランサムウェアなど、より高度な標的型攻撃がネットワークに到達する前に阻止します。Microsoft Exchange、Microsoft Office 365、Google Apps などの SaaS およびオンプレミスのメール環境を保護します。
ネットワークの侵害に対しては、侵入の兆候を早期に可視化することが重要です。ネットワーク型対策製品「Deep Discovery Inspector（DDI）」では、ネットワーク内に侵入した標的型攻撃などの脅威による活動の兆候を可視化することができます。また総合サーバセキュリティ製品「Trend Micro Deep Security」では、仮想パッチや変更監視などの機能により、公開サーバおよび社内サーバの侵害リスクを低減させることができます。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡はこちらを参照してください。
参考記事：

• 「More than a Dozen Obfuscated APT33 Botnets Used for Extreme Narrow Targeting」
  by Feike Hacquebord, Cedric Pernet, and Kenney Lu

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

スマートスピーカーで利用されるアプリは、「Amazon Alexa」では「スキル」、「Google Home」では「アクション」と呼ばれています。今回、ドイツのセキュリティ企業「Security Research Labs（SRL）」のリサーチャーは、これらスマートスピーカーのアプリ（スキルやアクション）を介してセキュリティ上の欠陥を突く手法を実証しました。これはつまり、スマートスピーカー用不正アプリを初めて実証した実験ということができます。

SRLのレポートでは、この手法を利用することで、以下の手順により、ユーザのアカウント認証情報や決済情報などの機密データが窃取可能なことが示されていました。

• 無害なアプリを作成し、Amazon社もしくはGoogle社へ審査を依頼する
• 審査通過後、アプリ起動後のメッセージをエラーメッセージに見えるよう設定を変更する。例えば「ようこそ」を「このスキルは現在お住まいの国では利用できません」といった文言へ変更。もしくは遅れて表示させて「発音不可能な文字に対応中です」といったメッセージに変更する
• さらにユーザをだますためのメッセージ変更も行う。例えば「重要なセキュリティ更新プログラムが利用可能です。更新開始と発言してパスワードをお知らせください」というメッセージに変更し、ユーザの個人情報を窃取する
• 窃取されたデータは「スロット値（ユーザの発話内容）」として攻撃者に送信される

盗聴の手口についても、SRLのリサーチャーは、情報窃取のさまざまな技術を駆使して実証しました。今回の実証実験の場合、AlexaおよびGoogle Homeの「インテント」を使用していました。スロットがユーザの発話である一方、インテントとは、ユーザが発話で要求した活動内容のことを意味します。

今回実証された攻撃の場合、「停止して（英語でStop）」という音声コマンドの言葉で実行される機能が利用されます。その他、「メール（英語でemail）」、「パスワード（英語でpassword）」、「住所（英語でaddress）」のような言葉も攻撃に利用できるでしょう。例えば、アプリ審査通過後、「停止して（英語でStop）」という言葉で実行される機能や「さよなら（英語でGood-bye）」で実行される機能へ変更を施し、これらの音声コマンド後、一時停止が長く続くようにします。これにより、ユーザにアプリが終了したと思い込ませることが可能になります。その他、攻撃者が指定した言葉をユーザが発して、さらに一定の文言を発話した場合、その内容をスロット値として保存して攻撃者へ送信するような変更を施すことが可能です。なお、２つのスマートスピーカーの中でも、Google Homeの場合は、事前に言葉を指定する必要がなく、盗聴も無期限に実行できるため、これらの攻撃に対しては、より脆弱であると言えます。

SRLは、今回実証された手法については既にGoogle社およびAmazon社に通知しており、両社ともSRLの実験で使用されたアプリ（スキルおよびアクション）を削除しています。

SRLによる今回の実証実験は、IoT（モノのインターネット、Internet of Things）デバイスが脆弱性悪用やプライバシーリスクから免れないことを示す一例と言えるでしょう。その他、2017年には、トレンドマイクロのリサーチャーStephen Hiltの実証実験により、Sonos社のスピーカーシステムに関して、パスワードを初期設定のままにしたり、インターネットに露出させたり、誤った設定のルータに接続させたりすることで、フィッシング攻撃や機密情報漏えいの危険性があることを示しました。さらに2018年には、複数の大学のリサーチャーの共同研究により「ボイススクワッティング」の手法に関する報告がなされました。ボイススクワッティングとは、タイポスクワッティングの手法に似ており、後者がURLの打ち間違いを利用して不正なWebサイトへ誘導する手法に対し、前者は、AlexaやGoogle Homeなどのスマートスピーカーデバイスにユーザが誤って発した音声コマンドを利用して攻撃者のアプリを起動させる手口となります。

■被害に遭わないためには

トレンドマイクロでは、「2019年上半期セキュリティラウンドアップ」でもIoTの脅威状況を取り上げており、これまで確認された攻撃はまだ兆候に過ぎず、今後、IoTの導入が増加し続けるにつれ、この脅威の手法や標的がさらに多様化していくことが懸念されています。IoTの脅威によるプライバシーやセキュリティリスクは、ユーザの自宅だけではなく、IoTの導入が職場へ進む中、企業などのビジネスの現場にも及ぶことになるでしょう。

IoTのセキュリティ対策は、協働で対応すべき責任と考えることができます。企業とユーザは、認証情報の更新、IoT機器が使用するルータなどのアクセスポイントのセキュリティ、最新の修正パッチの適用など、それぞれの責任に応じてセキュリティ対策を講じておく必要があります。開発および配布する製品のプライバシーやセキュリティに関しては、販売事業者、製造元、サードパーティのアプリ開発者などが協働して組み込む必要があります。

■トレンドマイクロの対策

トレンドマイクロの「Trend Micro Smart Home Network」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、トレンドマイクロがクラウド上に保有するWebレピュテーションデータベースと連携し、フィッシング詐欺サイトやウイルスの配布サイトなど不正サイトへのアクセスをブロックします。また、家庭内に接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックし、ルータなどの脆弱性を悪用する攻撃に対応します。

参考記事：

• 「Alexa and Google Home Devices can be Abused to Phish and Eavesdrop on Users, Research Finds」
  by Trend Micro

翻訳： 下舘 紗耶加（Core Technology Marketing, Trend Micro Research）

トレンドマイクロは、2019年、Linuxを狙うさまざまな攻撃を確認してきました。そうした中、このプラットフォームのデバイスを狙う注目すべき不正活動を確認しました。入手した検体を解析したところ、この不正活動は、ボットネット「Momentum」に関連していることが判明しました。Momentumという名称は、このボットネットが使用している通信チャンネルで確認された画像に由来しています。今回の解析では、デバイスへの感染や分散型サービス拒否（DDoS）攻撃に際してこのボットネットが使用しているツールや手法について新たな詳細を確認しました。

Momentumは、ARM、MIPS、Intel、Motorola 68020などの各種CPUアーキテクチャのLinuxプラットフォームを標的としています。主な目的は、標的のデバイスへバックドア型マルウェアを感染させ、その上でコマンド＆コントロール（C&C）サーバからのコマンドを待機し、特定のターゲットへさまざまなサービス拒否（DoS）攻撃を仕掛けることです。このボットネットで拡散されるマルウェアは、Mirai、Kaiten、Bashliteなど一般にIoTボットとされているものです。今回解析した検体はMiraiの亜種となります。その他、このボットネットは、各種ルータやWebサービスの脆弱性複数を悪用し、標的のデバイス上でシェルスクリプトをダウンロードして実行することで自身のネットワークを拡大させます。

■Momentumの活動

Momentumは、バックドア型マルウェアを標的のデバイスに感染させた後、「rc」ファイルを変更して感染デバイス内にとどまります。そしてC＆Cサーバに接続した上で、インターネットリレーチャット（IRC）のチャンネル「＃HellRoom」に参加して自身を登録し、コマンドを待機します。なお、このIRCプロトコルは、C＆Cサーバとの主要な通信方法として悪用されています。こうしてMomentumの運営者は、登録したIRCチェンネルへメッセージを送信することにより、感染デバイスの制御が可能になります。

図1：デバイスは、バックドア型マルウェアの感染後、
IRCチャンネルを介して攻撃者のC&Cサーバへ接続する

図2：C&C通信パス（ダウンローダ／配信サーバおよびIRCサーバ）

上図のとおり、まず配信サーバがバックドア型マルウェアの実行ファイルをホストします。そしてもう1つのサーバがIRCによるC＆Cサーバとなります。このC＆Cサーバは、2019年11月18日まで稼働していたことが確認されています。

C&Cサーバとの通信が確立すると、Momentumは、自身のボットネット上の感染デバイスを駆使し、さまざまなコマンドを用いて攻撃を仕掛けます。特にDoS攻撃の場合、以下のとおり、多数のさまざまな攻撃手法を展開します。

このバックドア型マルウェアは、既知のリフレクション手法やアンプ手法を用いることで、分散型メモリキャッシュシステムのモジュール「Memcache」、ディレクトリサービスのアクセスプロトコル「LDAP」、IPアドレスとドメイン名の管理システム「DNS」、Valve社開発の汎用ゲームエンジン「Valve Source Engine」など、さまざまなサービスを利用して標的に攻撃を仕掛けます。リフレクション、アンプ攻撃では標的サーバのIPアドレスに偽装して利用するサービスに通信することにより、大量の応答が標的に集中するように仕向けます。こうして発生した大量の応答が、標的サーバを圧倒し、被害が発生することになります。

なお、Momentumは、DoS攻撃だけでなく、その他、指定されたIPのポートでプロキシを開いたり、クライアントのニックネームを変更したり、クライアントからのパケットを無効や有効にしたり、複数の不正活動が実行できることも確認されました。

以下、Momentumが行使可能な各種DoS攻撃について説明します。

■Momentumによる各種DoS攻撃

LDAP DDoSリフレクション攻撃

この攻撃の場合、デバイスに感染したバックドア型マルウェアは、LDAPの公開サーバへアクセス可能で同時に標的でもある特定のシステムのソースIPアドレスになりすまします。これにより、最終的に標的のシステムに対して大量の応答が送信されることになります。

Memchache攻撃

この攻撃の場合、遠隔の攻撃者が、標的のシステムになりすましたソースIPアドレスを用いて、脆弱なUDP memcachedサーバに対して（通信プロトコルUDPによる）不正なUDPリクエストを作成して送信します。これにより、Memcachedサーバから膨大の応答が標的のシステムへ送信されることになります。この際、Momentumは、HTTP GETリクエストを使用してリフレクションファイルをダウンロードします。なお、このHTTP GETリクエストは、別のアンプDoS攻撃を行使する際にも使用されます。

オンライン検索エンジン「Shodan」のデータによると、この攻撃の影響を受ける可能性がある脆弱性なMemcachedサーバの数は、4万2,000台以上に至ることが確認されています。

Momentumは、以下のHTTP GETリクエストを使用して、リフレクションファイルをダウンロードします。

UDP-BYPASS攻撃

この攻撃の場合、Momentum上の正規の通信プロトコルUDPによって特定のポートを介し、標的となるホストへフラッド攻撃が仕掛けられます。攻撃に際しては、デバイスに感染したマルウェアが任意のポートをランダムに選択します、これにより、各ポートに対応した攻撃が、標的のホストへ送信されることになります。この際、マルウェアは複数のスレッドを使用し、各スレッドに振り分けられたポートを介して攻撃が仕掛けられます。

フラッド攻撃は、各ポートに応じて以下のように異なります。

上記のスクリプトは、主にサービスの検出に使用されます。このため、これらが長期に渡り標的のデバイスに送信されることで、該当サービスがクラッシュし、結果的にサービス拒否が発生することになります。

Phatwonk攻撃

この攻撃の場合、TCPクリスマスツリースキャン（FIN、URG、PSHフラグのパケットの同時送信）や、すべてのフラグのパケットの同時送信、USYNスキャン（URGおよびSYNフラグのパケットの同時送信）、任意のTCPフラグのパケットの組み合わせによる同時送信など、複数のDoS攻撃が一度に実行されます。

■その他の機能

上述の攻撃は、ボットネットが駆使する他の機能に依存することで大きな成果を上げることができます。例えば、拡散されるマルウェアが備える検出回避機能、公開サーバ上での通信を維持する機能、その他の各種機能が挙げられます。

特に以下の機能は、ボットネットを介してマルウェアを拡散させ、デバイスへ感染させる上で有効です。

• Fast-Flux手法：Momentumは、C&Cサーバのネットワーク復元力を高めるためにこの手法を駆使します。この手法により、特定のドメイン名に複数のIPアドレスを関連づけられ、それらをすばやく連続的に変更させるFast-Fluxネットワークが確立されます。これにより、攻撃者は、セキュリティリサーチャーの追跡を回避したり混乱させたりすることが可能になります。
• バックドア機能：攻撃者は、BASH、SHD、もしくはSHなどのコマンドをボットネット上のIRCチャンネルに送信します。そして感染デバイスがこれらのコマンドを受信して実行します。これらのコマンド内容が該当のIRCチャンネルへ応答されることで、攻撃者は、感染デバイスをコントロールすることが可能になります。
• 脆弱性を介した拡散：Momentumは、複数の脆弱性を悪用して影響範囲を拡大せます。今回調査したC&Cサーバだけでも、その範囲は、1,232台のデバイスに及んでいます。Momentumの他の亜種およびそれに利用されるC＆Cサーバを含めると、範囲はさらに大きくなる可能性があります。

■被害に遭わないためには

スマートデバイスやネットワーク機器は、セキュリティ設定と保護オプションが限定されており、さまざまな脅威にさらされやすい状況にあります。これらのデバイスは、多くの場合、セキュリティよりも操作性を優先する形で製造されており、ユーザは、こうした条件を念頭に、ご使用のデバイス、特にルータを保護するためのセキュリティ対策を講じる必要があります。とりわけ、Momentumの場合、Linuxデバイスを対象としています。近年、Linuxプラットフォームを狙うボットネット、ランサムウェア、コインマイナーなどの攻撃が表面化しており、このようなデバイスを攻撃から保護するセキュリティ対策を講じることが求められています。

■トレンドマイクロの対策

Trend Micro Smart Home Network（SHN）は、家庭用ネットワークに接続されたすべてのデバイスに対するネットワークアクセス管理を可能にし、サイバー攻撃のリスクから守る組込み型ネットワークセキュリティソリューションです。大手家庭用ルータベンダーの多くがすでにこのソリューションを採用し、すでに国内外の100万以上の家庭で利用いただいており、トレンドマイクロの豊富な脅威リサーチの経験と業界をリードするDPI（Deep Packet Inspection）技術に基づいて、SHNはインテリジェントなサービス品質（QoS）、保護者による利用制限（ペアレンタルコントロール）、ネットワークセキュリティなどを提供します。

統合型サーバセキュリティソリューション「Trend Micro Deep Security」は、仮想パッチ機能によって脆弱性を狙う攻撃からサーバを防御します。トレンドマイクロ製品に組み込まれたクロスジェネレーション（XGen）セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くなどの今日の目的に特化した脅威からユーザを保護します。

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery」は、ネットワーク内に侵入した標的型攻撃などの脅威による活動の兆候を可視化することができます。今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処できます。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体に対する相関分析を可能にします。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事：

• 「DDoS Attacks and IoT Exploits: New Activity from Momentum Botnet」
  by Aliakbar Zahravi

翻訳： 与那城 務（Core Technology Marketing, Trend Micro Research）

あるハッカーが、515,000以上に及ぶサーバ、ルータ、およびIoTデバイスの認証情報のリストを、人気のあるハッキングフォーラム上で公開しました。ZDNetによれば、公開されたリストはデバイスのIPアドレスと、Telnetサービスの認証に使用されるアカウント名とパスワードで構成されていました。Telnetは、これらのデバイスの遠隔操作を可能にするプロトコルです。

ハッカーはこのリストを、インターネットを検索して露出しているTelnetのポートを見つけ出し、工場出荷時のアカウント名とパスワード、または、推測されやすいありがちなパスワードの組み合わせを用いてログインすること、つまり「辞書攻撃」を行って作成したようです。リストの項目にある日付は2019年10月から11月で、既に数カ月が経過しているため、認証情報の一部はすでに無効であるか変更されている可能性があります。

ZDNetはIoT検索エンジンを使用し、リストにあるデバイスが世界各地からのものであることを確認しました。ほとんどのデバイスは知名度の高いインターネットサービスプロバイダを利用しており、これらのデバイスはホームルータあるいはIoTデバイスであることが確認されています。ただし、一部のIPアドレスについてはクラウドサービスプロバイダのネットワーク上にありました。

このリストを公開したハッカーは、分散型サービス拒否（DDoS）攻撃サービスの提供者と考えられています。彼は、DDoSサービスのアップグレードにともないリストの公開に至ったようで、新サービスでは、IoTボットネットをベースにしたものから、クラウドサービスプロバイダからのレンタルの高出力サーバで動作するものに「改良」されている、とのことです。

■IoTボットネットを構成するマルウェアの性質

IoTボットネットのキャンペーンでは、こうしたリストを用いてアクセスしたデバイスに、マルウェアを感染させることが常套手段です。公開された膨大な認証情報のリストにより、サイバー犯罪者は強力なボットネットを構築することが可能になります。構築されたボットネットは主にDDoS攻撃を実行したり、暗号通貨をマイニングしたりするために利用されます。

通常このようなリストがインターネットで公開されることはありません。しかし一旦公開されれば、リストを入手したサイバー犯罪者によって、何度も何度も攻撃に利用されることになります。サイバー犯罪者はリスト上のIoTデバイスなどに対し、認証情報の他に、脆弱性を利用した攻撃を仕掛けることもできます。修正プログラム公開済みであっても、サイバー犯罪者は未適用のIoTデバイスが残っていると算段し、以前の攻撃で利用されたものと同じ脆弱性を狙う攻撃、つまり「ｎデイ攻撃」を行う事例が確認されています。

IoTデバイスに対する脅威の存在が軽視されている限り、このようなリストがIoT関連の攻撃を助長し続けると考えられます。トレンドマイクロによる「2020年セキュリティ脅威予測」でも、サイバー犯罪者によるアンダーグラウンドでのIoTボットネットの販売が継続すると予見しています。これらの実情は、ユーザのIoTデバイスに対するセキュリティ保護がいかに重要であるかを表しています。以下に、実践するべきベストプラクティスを示します。

• できるだけ迅速にデバイスに修正プログラムを適用する。修正プログラムやアップデートがリリースされたら、なるだけ早めに適用することにより、脆弱性を狙う攻撃を回避できます。
• 破られにくい複雑なパスワードを使用する。破られにくいパスワードを使用すれば、推測しやすいパスワードや初期設定のままのパスワードのリストを利用した攻撃を回避できます。
• 不要なサービスを無効にする。IoTデバイスの不要なサービスを無効にすることによって、潜在的な攻撃の可能性を最小限に抑えることができます。

■トレンドマイクロの対策

個人利用者の家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network（VBHN）  」では、接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックするとともに、不正サイトへのアクセスブロックや保護者による利用制限（ペアレンタルコントロール）などの機能を提供します。「Trend Micro Smart Home Network（SHN） 」は、家庭用ネットワークに接続されたすべてのデバイスに対するネットワークアクセス管理を可能にし、サイバー攻撃のリスクから守る組込み型ネットワークセキュリティソリューションです。大手家庭用ルータベンダーの多くがすでにこのソリューションを採用し、すでに国内外の100万以上の家庭で利用いただいており、トレンドマイクロの豊富な脅威リサーチの経験と業界をリードするDPI（Deep Packet Inspection）技術に基づいて、SHNはインテリジェントなサービス品質（QoS）、保護者による利用制限（ペアレンタルコントロール）、ネットワークセキュリティなどを提供します。

法人利用者向けには、統合型サーバセキュリティソリューション「Trend Micro Deep Security」が、仮想パッチ機能によって脆弱性を狙う攻撃からサーバを防御します。トレンドマイクロ製品に組み込まれたクロスジェネレーション（XGen）セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くなどの今日の目的に特化した脅威から利用者を保護します。

参考記事：

• 「Hacker Publishes Credentials for Over 515,000 Servers, Routers, and IoT Devices」
  by Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

長期にわたって活動を継続しているマルウェアは、時間と共にその活動内容を変化させていく傾向にあります。2013年前後に登場したAndroid向けバンキングトロジャン「FakeToken（フェイクトークン）」もその1つです。2017年に確認されたFakeTokenは、タクシー配車アプリを偽装し、感染端末から個人を特定できる情報（PII）を窃取する機能に加え、ランサムウェア機能まで持っていました。そして2020年に入り、カスペルスキーのリサーチャは、約5,000台のスマートフォンがSMSで海外へ迷惑メッセージを送信していたことを検知しました。そしてそれは、FakeTokenの新しい機能によるものであることが確認されました。

今回の新たに確認された「最新」のFakeTokenは、ユーザの銀行口座にアクセスして情報を収集すると共に、利用者に無断で国際SMSを送信します。もちろん、SMSの送信料金は感染端末の利用者の負担であり、不要な金銭的損失に繋がります。トレンドマイクロでは、この新たなFakeTokenの活動を継続して追跡および監視中です。アプリをダウンロードする際には十分注意してください。

FakeTokenがセキュリティ保護されていないAndroidデバイスに感染すると、まずデフォルトのSMSアプリとその機能を確認します。FakeToken は2FA（二要素認証）コードやトークンなどのSMSの送信、傍受が可能で、スキャンしたユーザの連絡先へフィッシングメッセージを送信したり、収集した情報を遠隔操作用のサーバ（C＆Cサーバ）に送信したりできます。また、ユーザの銀行口座をチェックして十分な預金があるかをまず確認し、SMSを送信する前にその口座からスマートフォンのアカウントへチャージ（入金）していました。

大量のメッセージが海外の電話番号に一斉送信されるため、感染したスマートフォンの利用者はこの不正なメッセージ送信によって金銭的損失を被ることになります。加えて、スパムメール対策アプリによってスマートフォンの電話番号がブラックリストに登録される、あるいは、携帯電話事業者にスパムメールの発信元とみなされ利用停止へと追い込まれる可能性もあります。バンキングトロジャンのこのような活動変化は珍しいため、この攻撃キャンペーンの監視が継続されています。この攻撃自体が、まだテストあるいは開発の段階にある可能性もあります。もしくは、今回確認された変化が、今後のバンキングトロジャンの攻撃キャンペーン自体の変化を示しているかもしれません。

■被害に遭わないためには

■トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けにはGoogle Playで利用可能な「ウイルスバスター モバイル for Android」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」技術や「Web レピュテーション（WRS）」技術により、不正／迷惑アプリの検出や不正／迷惑アプリに関連する不正 Web サイトのブロックに対応しています。

参考記事：

• 「Mobile Banking Trojan FakeToken Resurfaces, Sends Offensive Messages Overseas from Victims’ Accounts」
  by Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロは、「モノのインターネット（Internet of Things、IoT）」デバイスに感染するマルウェア「Mirai」の亜種２つを確認しました。 「SORA」（検出名「IoT.Linux.MIRAI.DLEU」）と「UNSTABLE」（検出名「IoT.Linux.MIRAI.DLEV」）と名付けられたこれらの亜種は、脆弱性「CVE-2020-6756」を利用して監視カメラ用ストレージシステム「Rasilient PixelStor5000」へ侵入します。

悪名高いMiraiは、脆弱性を持つIoTデバイスを積極的に検索し、感染させたデバイスをボット化するマルウェアの一種です。ボット化されたデバイスは、次に、他に感染可能なデバイスを探して感染させます。Miraiは数年に渡る活動の中で、ルータやスマートテレビを標的とするタイプなど、いくつかの亜種を派生させてきました。

Miraiのボットネットの多くは、分散型サービス拒否（DDoS）攻撃に利用されます。多くのサイバー犯罪者は、膨大な数のボットを必要とするDDoS攻撃をサービスとして提供することで利益を上げています。そのため、サイバー犯罪者はできるだけ多くのデバイスを感染させようと、常に拡散方法の探求に余念がありません。

確認されたMiraiの亜種は、Rasilient製の監視カメラ用ストレージシステムが抱える脆弱性「CVE-2020-6756」を利用することによってシステムに侵入します。攻撃者がこの脆弱性を利用すると、リモートでのコード実行（RCE）が可能になります。

これまでに確認されているMiraiの脆弱性悪用方法と同様、サイバー犯罪者は遠隔操作用サーバ（C&Cサーバ）からシェルスクリプトをダウンロードさせます。次にシェルスクリプトは、ペイロードとして「SORA」あるいは「UNSTABLE」をダウンロードして実行します。

■「SORA」

リサーチャが確認した「SORA」は典型的な「Mirai」の亜種で、キーDEDEFBAFでXOR暗号化されたパスワードリストによる「辞書攻撃」を実行します。この亜種は2種のホームルータの脆弱性、攻撃者による遠隔からのコードの実行を可能にする「CVE-2017-17215」と、攻撃者によるデバイスの不正アクセスを可能にする「CVE-2018-10561」を利用します。

■「UNSTABLE」

上述の「SORA」と同様に、「UNSTABLE」もキーDEADDAADでXOR暗号化を使用し、文字列を隠蔽します。リサーチャが確認したいくつかは圧縮ソフトUPXを使用して圧縮されており、実行バイナリのサイズを縮小することによって検出回避を図ったものと考えられます。

脆弱性「CVE-2017-17215」と「CVE-2018-10561」に加えて、「UNSTABLE」はオープンソースのWeb開発フレームワークThinkPHPの脆弱性も利用します。これにより、RCEが可能になり、マルウェアのダウンロードと実行が行われます。

■IoTデバイスを保護するためには

新しい脆弱性を利用する「Mirai」の亜種が確認されたということは、サイバー犯罪者が、セキュリティ保護されていないIoTデバイスを検索しボット化するために熱心であることを意味しています。 ユーザは、以下のベストプラクティスに従い、こうした脅威からIoTデバイスを保護することができます。

• ルータや他のIoTデバイスのパスワードを工場出荷時のままにしない
• 適切なセキュリティ設定を行い、使用していない機能は無効にする
• ネットワークトラフィックを注意深く監視し、見たことのないドメインへの接続試行が増加していないか確認する
• 修正プログラムとアップデートを適用して脆弱性に対処し、新旧の脆弱性を狙う脅威からIoTデバイスを保護する

■トレンドマイクロの対策

組込み型ホームネットワークセキュリティ「Trend Micro Smart Home Network 」を搭載したルータをご利用のお客様は、以下のルールによって本記事で解説した脆弱性を利用する脅威から守られています。

• 1134610 – WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
• 1134611 – WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
• 1134891 – WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
• 1134892 – WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
• 1134287 – WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
• 1135215 – WEB ThinkPHP Remote Code Execution

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

※調査協力：Raymart Paraiso and Augusto Remillano II

参考記事：

• 「SORA and UNSTABLE: 2 Mirai Variants Target Video Surveillance Storage Systems」
  by Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

マルウェア検出の技術は進歩していますが、その検出を回避しようとするサイバー犯罪者側の動きも、様々なものが見られています。現在では多くのセキュリティベンダーが取り入れている、機械学習型検出では、不正コードの特徴などマルウェア特有の共通点を学習し、不審なプログラムファイルを警告します。これに対しサイバー犯罪者は、正規ファイルの情報をマルウェア内に取り込むことにより、特徴を変化させて検出を回避しようとする試みを行うことがあります。この機械学習型検出に対する回避の試みの例として、米ドナルド・トランプ大統領のニュースを利用したとみられるマルウェアが相次いで確認されました。

■トランプ大統領弾劾裁判ニュースを利用した「Trickbot」

2020年1月末、トランプ大統領に関する記事の一部が「Trickbot（トリックボット）」の検出回避に利用されていたと、セキュリティ会社「SentinelLab」の「Vitali Kremez」氏とセキュリティリサーチャグループである「MalwareHunterTeam」が報告しました。2016年に初めて確認されたTrickbotは、個人を特定できる情報（PII）を窃取するバンキングトロジャン（オンライン銀行詐欺ツール）です。

確認された手口では、英国のオンライン新聞「The Independent 」によるトランプ大統領の弾劾裁判記事から文字列を抜き出し、マルウェアのファイルバージョン情報の「InternalName」、「FileDescription」、「OriginalFileName」として埋め込んでいました。別の亜種では、トランプ大統領の弾劾裁判に関するCNNの記事の文章の一部が画像ファイルのEXIF情報へ追加されていました。Kremez氏によれば、これは、不正なファイルでないと判断される文字列をバイナリに追加することによって、静的な機械学習検出の回避を意図した手法と考えられています。

■トランプ大統領インタビュー記事を利用した「EMOTET」

また、トレンドマイクロのリサーチャは、トランプ大統領に関する別の記事である、今年のスーパーボウル前のインタビューの記事を利用する「EMOTET（エモテット）」を確認しています。EMOTETは、バンキングトロジャンとして、トレンドマイクロのリサーチャによって2014年に初めて確認されました。現在では、EMOTETは巧妙化し、情報窃取と遠隔操作のために使用されるマルウェアとしてさらに攻撃力を増しています。最近では、前出のTRICKBOTなど他のマルウェアをペイロードとして送り込む役割を果たす活動や、検出回避の手法を強化したバージョンも確認されています。

■被害に遭わないためには

セキュリティ専門家がシステムのセキュリティを強化するための新しい方法を考案すると、サイバー犯罪者もまたセキュリティソリューションを回避するための方法を発案します。このような脅威から企業や組織を保護するため、以下のサイバーセキュリティのベストプラクティスが役立ちます。

• 新しく確認された脆弱性を利用する攻撃を回避するために、更新プログラムの適用やシステムのアップデートのインストールを行う
• 誤作動や遅延が頻繁に発生する場合はマルウェア感染が原因である可能性を考慮し、調査を行う
• パスワードやセキュリティ設定は初期設定のままで放置せず、必要に応じた設定に変更する
• サイバー犯罪の手口を共有し、セキュリティリテラシトレーニングを実施する
• 最小特権の原則に基づいてアクセス制御する

今回解説したTrickbotおよびEMOTETが利用する侵入の手口は、ソーシャルエンジニアリングの手法を用いた電子メールの添付ファイルであるケースがほとんどです。これは、TrickbotとEMOTETで通常用いられる拡散方法です。また、注目されているニュースをマルウェア拡散に利用する手口は、これまでにも他の事例で確認されています。被害に遭わないために、ユーザは電子メールを精査し、特に不明な送信元からのメールのリンクをクリックしたり添付ファイルを開封したりしないように注意してください。

■トレンドマイクロの対策

EMOTET のような脅威に対抗するためには、ゲートウェイ、エンドポイント、ネットワークおよびサーバにいたる多層的で積極的なセキュリティ対策が必要です。

マルウェアの拡散に使用される不正メールに対しては、「E-Mail レピュテーション（ERS）」技術によりブロックに対応しています。また、メールやメッセージから誘導される不正サイトや侵入したマルウェアが使用する不正サイトに関しては、「Web レピュテーション（WRS）」技術によりブロックに対応しています。

本記事内で取り上げたマルウェアについては「ファイルレピュテーション（FRS）」技術により順次検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。
特に最近猛威をふるっているEMOTETに対しては、脅威の概要と対策をまとめた特設ページを用意しております。EMOTETに関する技術的対策の考え方とトレンドマイクロの具体的な対策については特設ページを参照ください。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

【更新情報】

参考記事：

• 「Trickbot, Emotet Use Text About Trump to Evade Detection」
  by Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

感染端末の近隣にある無線LAN（Wi-Fiネットワーク）に侵入して拡散する「EMOTET（エモテット）」の新しい亜種が確認されました。この拡散手法は、通常スパムメールによって拡散するこれまでのEMOTETの典型から外れています。ただし、EMOTETはこれまでも、その時々に活動を変化させてきた過去があります。EMOTETは、2014年、「TrojanSpy.Win32.EMOTET.THIBEAI」としてトレンドマイクロのリサーチャによって初めて確認されました。当初は、感染コンピュータから個人情報を窃取する「バンキングトロジャン（オンライン銀行詐欺ツール）」でした。EMOTETはこれまで、新型コロナウイルス（2019-nCoV）のような注目のニュースや感謝祭などのイベントに便乗したスパムメールを利用して拡散してきました。EMOTETの感染によって、独フランクフルトのITネットワークがシャットダウンを余儀なくされた事例も報告されています。最近では、話題のニュース記事のテキストを使用して検出回避を図るEMOTETも見つかっています。そして今回、確認されたEMOTETの亜種は、WindowsのwlanAPIインターフェイスの機能を使い、感染端末から近隣のWi-Fiネットワークへ拡散します。

■どのようにしてWi-Fi経由で拡散するのか

今回、セキュリティ企業「Binary Defense 」のリサーチャが新たに確認したEMOTETは、感染端末から他のWi-Fiネットワークに対して侵入を試みます。続いて同じWi-Fiネットワーク内に存在する他の端末にも感染を広げます。この活動のため、いったん自身のネットワーク内のEMOTETを駆除したとしても、近隣から再侵入を受ける、感染の無限ループを引き起こす可能性があります。以下は、Binary Defense の解析による、EMOTETのWi-Fiネットワーク経由での感染順序です。

1. EMOTETが宿主（ホスト）となるコンピュータその他のデバイスに感染する。その後、EMOTETは「Wi-Fi拡散モジュール」をダウンロードして実行する
2. Wi-Fi拡散モジュールは、ホストで有効化されているすべてのWi-Fiデバイスを列挙する。そして、感染可能なWi-Fiネットワークの一覧を作成する
3. Wi-Fi拡散モジュールは、一覧されたWi-Fiネットワークにログインするため辞書攻撃を開始する。攻撃には、推測されるパスワードが記載された2つのパスワードリストを使用するが、これらの内部リストがどこから得られたものかは不明
4. 最初の辞書攻撃が成功すると、今度は、侵害したWi-Fiネットワークに接続するコンピュータのログイン認証情報を特定するために、2番目の辞書攻撃を開始する
5. 2番目の辞書攻撃が成功すると、1）に戻り、新たな感染ループを開始する

攻撃で使用された実行ファイルは、既に2018年5月にオンラインスキャンサービス「VirusTotal」に最初に提出された記録があります。これはつまり、Wi-Fi経由で拡散するEMOTETの機能については、ほぼ2年間検出されていなかった可能性を示唆しています。

トレンドマイクロは、このEMOTETの亜種を、「Worm.Win32.EMOTET.AA」および「TrojanSpy. Win32.EMOTET.TIABOFHL」として検出対応します。

■ Wi-Fiデバイスを保護するためには

Wi-Fiで拡散するEMOTETのようなマルウェアによる被害に遭わないためには端末を保護することが重要です。簡単な方法の一つは、辞書攻撃などに対して複雑で破られにくいパスワードを使用することです。覚えるのが面倒なために、多くの人が「abc123」や「qwerty」など辞書攻撃に対し脆弱な、単純なパスワードを利用しがちです。初期設定のパスワードを変更せず、そのまま利用するユーザもいます。しかし、Wi-Fi接続する端末に限らず、どんな端末においても、そのような推測されやすいパスワードを使用することは、サイバー犯罪者に自宅や職場のネットワークへの無料パスを与えるようなものです。

企業や組織は、デバイスおよびネットワーク全体で破られにくいパスワードを使用するだけでなく、暗号化を有効にすることによってWi-Fiデバイスの保護を強化できます。また、システム管理者はネットワークを注意深く監視して、不審な活動の兆候を見つけることができます。

また、EMOTETの主な拡散経路は今でもスパムメールです。EMOTETやその他のマルウェアが侵入口として利用する、ソーシャルエンジニアリングの手口を利用した電子メールについて十分注意する必要があります。

■トレンドマイクロの対策

ネットワーク挙動監視ソリューション「Deep Discovery Inspector」は、以下の DDIルールによって、今回の記事で触れたEMOTETのネットワーク経由の攻撃を検知します。

• 4320 – EMOTET – HTTP (Request) – Variant 6
• 4345 – EMOTET – HTTP (Request) – Variant 7

トレンドマイクロの 「Network Defense 」製品群は、次世代IPSを超える「XGenセキュリティ」を活用することで、複数の世代の技法を組み合わせたソリューションを提供し、適切なタイミングで適切なテクノロジを適用し、ゼロデイ攻撃を始め、さまざまな脆弱性の脅威に対する統合された検出と防御を実現します。

EMOTET のような脅威に対抗するためには、ゲートウェイ、エンドポイント、ネットワークおよびサーバにいたる多層的で積極的なセキュリティ対策が必要です。脅威の概要と対策をまとめた特設ページを用意しております。EMOTETに関する技術的対策の考え方とトレンドマイクロの具体的な対策については特設ページを参照ください。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

参考記事：

• 「Emotet Now Spreads via Wi-Fi」
  by Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

パスワードや暗号通貨の情報など、機密データを収集する機能を備えた「LokiBot（ロキボット）」の開発者は、このマルウェアにさらに資金を投じ更新を加えているようです。過去、トレンドマイクロは、リモートコード実行の脆弱性を突きWindows Installerを実行してLokiBotを配信する攻撃や、ISOイメージファイルを利用して配信されるLokibotの亜種、ステガノグラフィを利用し活動を持続化させる仕組みを更新した亜種を確認してきました。そして今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー（Game Launcher）」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、​​C＃コードのファイルをドロップしてコンパイルする手法も使用されていました。この珍しいLokiBotの亜種は、配信後にコンパイルして検出を回避する手法を利用していましたが、トレンドマイクロの機械学習型検索によって「Troj.Win32.TRX.XXPE50FFF034」として予測検出されました。現在は、「Trojan.Win32.LOKI」ファミリとして検出対応しています。

■LokiBotの解析

感染は「Epic Gamesストア」のインストーラであるとされるファイルから始まります。この偽のインストーラは、Windowsインストーラ作成ツールである「NSIS（Nullsoft
Scriptable Install System）」を使用して作成されていました。今回確認された攻撃では、不正なNSIS Windowsインストーラが、人気オンラインゲーム「フォートナイト（Fortnite）」などの開発会社である「Epic Games」のロゴを使用し、ユーザに正規のインストーラだと思わせていました。

マルウェアのインストーラは、実行されると2つのファイルをドロップします。１つはプログラム言語である「C＃」で書かれたソースコードのファイル、もう1つは.NET
Frameworkの実行ファイルを、感染コンピュータの「％AppData％ディレクトリ」下に作成します。

.NETの実行ファイルをさらに解析した結果、リバースエンジニアリングを困難にさせるためのジャンクコードを大量に含む、重度に難読化されたファイルが確認されました。

次に.NETの実行ファイルは、感染コンピュータ内で、インストーラがドロップしたC＃コードファイルを読み取り、コンパイルします。このC#コードのファイル名は「MAPZNNsaEaUXrxeKm」です。

C＃コードファイルをコンパイルした後、バイナリはInvokeMemberメソッドを使用してC＃コードファイルに存在するEventLevel関数を呼び出します。呼び出された関数は、埋め込まれている暗号化されたアセンブリコードを解読してロードします。

このLokiBotのインストールには、検出を回避するために2つの手法が組み合わせられていました。まず、C＃ソースコードを利用して、実行可能バイナリのみを検出対象とする防御メカニズムを回避します。さらに、C＃コードファイルに埋め込まれている暗号化されたアセンブリコードの形式で難読化されたファイルを使用しています。

感染の最終段階で、LokiBotの本体が実行されます。LokiBotは常に、最も活発な情報窃取型マルウェアの中に数えられています。上述のインストール方式や難読化のために施された調整を見ても、今後も攻撃の手を緩める様子はないと言えるでしょう。

■被害に遭わないためには

正規ソフトウェアに偽装してマルウェアを頒布する手法は常套手段となっています。特に、有料のソフトウェアを無料で入手可能としているような場合は、そもそもライセンス違反であり、マルウェアが混入している可能性が高いものと言えます。

■トレンドマイクロの対策

トレンドマイクロ製品では、本記事で取り上げたマルウェアについて「ファイルレピュテーション（FRS）」技術で検出し実行をブロックします。マルウェアの感染経路について、「マルウェアスパム」のようなメール経由の攻撃は「E-mailレピュテーション（ERS）」技術で受信前にブロックします。不正プログラム拡散目的の不正サイトについては「Webレピュテーション（WRS）」技術でアクセスをブロックします。

個人向け総合セキュリティ対策製品「ウイルスバスタークラウド」では各技術により利用者を総合的に保護します。

「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などの法人向けエンドポイント製品ではFRS、WRSの各技術により利用者を総合的に保護します。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

【更新情報】

参考記事：

• 「 LokiBot Impersonates Popular Game Launcher and Drops Compiled C# Code File 」
  by Augusto Remillano II, Mohammed Malubay, and Arvin Roi Macaraeg, Threat Analysts

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロでは、ビデオ会議アプリ「Zoom」の正規インストーラとマルウェアをバンドルし、Zoomを利用したいユーザをだまして不正にコインマイナーをインストールさせようとするサイバー犯罪者の活動を確認しました。新型コロナウイルス（COVID-19）の蔓延に対する懸念が高まっている中、多くの企業が在宅勤務に移行しています。サイバー犯罪者はこのような最近の状況に乗じ、テレワークには欠かせないビデオ会議アプリに便乗してマルウェアを拡散させようとしているものと言えます。この脅威について、トレンドマイクロでは既にZoom社と連絡をとり、適切な対応についての協力を行っています。

■不正ファイルの解析

この不正なZoomインストーラは、Zoomの公式ダウンロードサイトではなく、不正なWebサイトに存在していたと考えられます。不正サイトへ誘導された利用者は、正規のZoomインストーラではなく、プログラミング言語「AutoIt」でコンパイルされたマルウェア（「Trojan.Win32.MOOZ.THCCABO」として検出対応）をダウンロードしてしまうことになります。マルウェアファイル内には正規のZoomインストーラと共に、コインマイナーが含まれています。これによりZoomをインストールしようとしたユーザは、意図せずコインマイナーをインストールされてしまい、不正マイニングの被害に遭うことになります。

マルウェアは実行されると、感染端末内で以下のファイルを作成します。

「asascpiex.dll」は実際には圧縮ファイルですが、最初の5バイトがNULL（何もない状態）になっています。さらにオリジナルのファイル署名「0x37 0x7A 0xBC 0xAF 0x27」の判別を困難にするため「0x00」に置き換えられ、「CR_Debug_log.txt」としてコピーされます。「CL_Debug_log.txt」は実際には7-zipの解凍ツールであり、パスワード保護された圧縮ファイルである「CR_Debug_log.txt」の解凍に使用されます。

マルウェアは、cpuinfoのフラグ情報を参照し、感染端末のアーキテクチャを確認します。64ビットシステムの場合はコインマイナーの本体である「64.exe」を作成します。一方、32ビットシステム用の「32.exe」は含まれていないため、現時点では64ビット環境でのみコインマイナーが実行されることになります。

「64.exe」は「Windows Management Instrumentation（WMIクエリ）」を使用して、グラフィックスプロセッシングユニット（GPU）などの情報を収集します。この情報はマイニング活動に利用されます。また、CPU、システム、オペレーティングシステム（OS）のバージョン、ビデオコントローラ、プロセッサに関する詳細情報も収集します。

また「64.exe」は「Microsoft SmartScreen」や「Windows Defender」のセキュリティ機能が有効になっているかどうか、さらには、以下のセキュリティ対策ソフトが実行されているかどうかもチェックします。

収集された情報は「HTTP GET」リクエストを用いて以下のURLへ送信されます。

• hxxps://2n<省略＞.co/1IRnc

「64.exe」は、さらに「helper.exe」として以下のフォルダにコピーされます。

• ％appdata％\Roaming\Microsoft\Windows\＜フォルダ＞

このコインマイナーは、プログラミング言語「AutoIt」でコンパイルされた不正ファイルであり、さらにその内部にも7-Zip解凍ツールを含んでいます。その他、匿名ネットワーク「Tor」のクライアントも、パスワード保護および圧縮が施された状態で含まれています。また、感染端末内での永続性を維持するため、「-SystemCheck」引数を使用してタスクのスケジュールを管理します。

「helper.exe」は、スケジュール管理されたタスクによって実行されると、引数「-SystemCheck91137」を使用して自身を起動します。

「helper.exe」は、検出を回避するため、以下のプロセスが実行されているかどうかを確認します。これらには、セキュリティ関連ツールの他、マイニング活動を検出するための監視ツールなども含まれています。

• aida64.exe
• AnVir.exe
• anvir64.exe
• GPU-Z.exe
• HWiNFO32.exe
• HWiNFO64.exe
• i7RealTempGT.exe
• OpenHardwareMonitor.exe
• pchunter64.exe
• perfmon.exe
• ProcessHacker.exe
• ProcessLasso.exe
• procexp.exe
• procexp64.exe
• RealTemp.exe
• RealTempGT.exe
• speedfan.exe
• SystemExplorer.exe
• taskmgr.exe
• VirusTotalUpload2.exe

そして「helper.exe」は、自身と合わせてバイナリ「Tor」も起動します。

■被害に遭わないためには

在宅勤務への早急な移行が必要となる中、企業では、遠隔業務に適合するセキュリティ対策強化を十分に検討する時間がない状況に陥りがちです。こうした状況に便乗するサイバー犯罪者が、ビデオ会議アプリなどのツールを悪用してマルウェアを増殖させることで、セキュリティ侵害のリスクにさらされます。

今回のようなリスクを阻止するため、アプリケーションの入手は、公式Webサイトからのみインストーラをダウンロードすることです。また、ユーザは在宅勤務のセキュリティ対策に則ったベストプラクティスに従う必要があります。そして、システムの所在地に関係なくあらゆる脅威を検出してブロックするためには、多層的なセキュリティ防御のアプローチが推奨されます。

■トレンドマイクロの対策

トレンドマイクロ製品では、本記事で取り上げたマルウェアについて「ファイルレピュテーション（FRS）」技術で検出し実行をブロックします。マルウェアに関連する不正サイトについては「Webレピュテーション（WRS）」技術でアクセスをブロックします。

「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などの法人向けエンドポイント製品ではFRS、WRSの各技術により利用者を総合的に保護します。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

記事構成：岡本 勝之（セキュリティエバンジェリスト）

翻訳： 与那城　務（Core Technology Marketing, Trend Micro Research）

Android向け不正アプリ「Geost（ゲオスト）」は、ロシアのモバイルバンキングを標的とするバンキングトロジャンの活動を行うものです。Geostのボットネットによる被害者は、Virus Bulletinで調査報告が公開された昨年2019年の時点で、80万人を超えていました。調査によって、Geostがユーザから収集する情報や、利用する手法、そしてボットマスターとボットネット間で行われる通信など、ボットネットの背後にあるグループの活動について明らかにされています。

Geost（トレンドマイクロでは「Android OS_Fobus.AXM」として検出対応）は、チェコのセキュリティ研究所「Stratosphere Laboratory」のリサーチャーによって初めて明らかにされました。彼らは、別のマルウェアである「HtBot」の不正なプロキシネットワークを監視している時にこのマルウェアを検出しました。この興味深い発見を受け、トレンドマイクロではGeostのサンプルを解析し、さらなる詳細を調査することにしました。Geostには、何層もの難読化、暗号化、リフレクション、ジャンクコードのインジェクションが加えられており、リバースエンジニアリングによる解析を困難にしていました。コードを調査しアルゴリズムを分析するためにはまず、文字列を解読するためのPythonスクリプトを作成する必要がありました。

■初期解析

Geostは、ランダムに生成されたホスト名を持つ非正規のWebサイトで配布される、不正なアプリに隠れています。ユーザは通常、Google Playに見つからないアプリを探すか、あるいは正規アプリストアにアクセスできない時に、このアプリを発見します。それから正体不明のWebサーバ上でそのアプリのダウンロードリンクを見つけ、アプリをダウンロードしてスマートフォンで起動します。アプリは、アクセス許可をユーザに要求し、許可されるとマルウェア感染に成功します。

トレンドマイクロが解析したGeostのサンプルは、「установка」という名前（ロシア語で「設定」の意味）の不正アプリに隠れていました。このアプリは、インストール時には自身のアイコンとしてGoogle Playに類似したロゴを表示しますが、起動後はスマートフォンの画面上には表示されません。

アプリは起動すると、デバイス管理者権限を要求します。管理者権限は、基本的にデバイスに対するすべての権限をアプリに付与することを意味します。このような強力な権限を要求する正規アプリは限られており、不審な要求と言えます。

ユーザが気づかずに許可してしまう可能性のあるこの権限には、銀行アプリからの確認メッセージなど、SMSメッセージにアクセスするための権限が含まれます。これらのメッセージから、マルウェアはユーザの名前、口座残高、その他銀行口座の詳細を収集します。攻撃者は数回クリックするだけで、そうとは気づかないユーザの銀行口座からお金を移動することが可能になります。

必要な権限が許可されると、アプリの表示部分は閉じてアプリのアイコンを消し、アプリが削除されたとユーザに思わせます。解析に利用したデバイスには悪意のあるアクティビティについての警告は表示されませんでしたが、マルウェアはバックグラウンドで動作しており、デバイスのアクセス権限を獲得した攻撃者は、銀行アプリからのSMS確認メッセージなど送受信メッセージを監視することが可能になりました。

マルウェアは再起動後も活動の持続性を維持するために、BOOT_COMPLETEDおよびQUICKBOOT_POWERONブロードキャストに登録します。

■ステージ１

多くのマルウェアと同様にGeostの実行時間は複数のステージに分かれています。最初のステージ１部分はシンプルですが、より複雑なステージ２部分をダウンロードして復号し、実行します。

解析したGeostサンプルのAPKには、classes.dexファイルにコンパイル済みのJavaコードが格納されていました。また、AndroidManifest.xmlとリソースファイルも含まれていましたが、これらは、APKファイルの通常のコンテンツです。また、サイズが125kの「.cache」ファイルもありました。

解凍したclasses.dexファイルを逆コンパイルするためにdex2jar、jadx、jd-core/jd-gui、GhidraのすべてのJavaデコンパイラが使用されました。単一のデコンパイラではすべてのSmaliコードを逆コンパイルすることは不可能でした。

逆コンパイルされたコードは、一見、一連の文字列に部分的にエンコードされているようでした。しかし、文字頻度分析の結果からは、ランダムな文字の使用であることが示されました。

さらに、マルウェアには、実行速度を低下させるという以外はアプリの動作に影響を及ぼさない、余分なコードが含まれていることが明らかになりました。この余分なコードのせいで、マルウェアの有用な機能を持つコードが分割されており、実行パスが頻繁に変更されていたため、リバースエンジニアリングがさらに難しくされていました。どの分岐が行われたかは大抵、不明な値を持つ変数次第でした。同じことが「switch」、「if」、および「try/catch」コマンドブロックにも適用されていました。意味のないコードを持つ関数が挿入されているため、マルウェアの挙動全体が理解しにくくなっていました。

ジャンクコードのセグメントが徐々に取り除かれると、最初に使用された復号アルゴリズムが特定できました。ステージ1部分のすべての文字列はRC4で暗号化されていましたが、そうとわからないように、いくつかの機能に分割されたアルゴリズムが使用されていました。この後、必要な作業はRC4復号鍵を見つけることでした。

RC4は、復号された記号ごとに内部状態が変化するストリーム暗号です。複数の暗号化された文字列を復号するには、通常、暗号化されたときと全く同じ順序で復号を実行する必要があります。運よく、これは解析サンプルの場合には問題になりませんでした。サンプルのコード作成者は、復号と復号の間に内部状態を維持することなくRC4を単純化しており、RC4暗号化コードは常に状態配列S []をコピーしていました。

その後、共通コードライブラリの検索を開始しました。Android.support.v4ライブラリとReflectASM Java Reflectionライブラリが確認されました。

この時点で、ステージ1のコードが理解可能になりました。リフレクションコードを使用し、興味深いクラスやメソッドがうまく隠蔽されています。基本的に、ステージ1は同じRC4アルゴリズムと鍵を使用してステージ2のファイルを復号しました。

前述の「.cache」ファイルの名前は「.localsinfotimestamp1494987116」に変更され、復号後に「ydxwlab.jar」として保存され、そこから「.dex」ファイルがロードおよび起動されます。

コード作成者は、偽フラグである「HttpURLConnection」と接続先URLを挿入していました。コマンド＆コントロール（C＆C）サーバに接続するように見せかけていますが、このHTTP接続は決して実行されません。

ステージ1は、リサーチャーが「MaliciousClass」と命名したクラスを、ステージ２からロードします。

■ステージ2

「classes.dex」を解析すると、ステージ2も難読化と暗号化が施されていることが明らかです。しかし、今度は、記号名がステージ１の6〜12文字の文字列ではなく、1、2文字の文字列に部分的に置き換えられていました。また、文字列暗号化アルゴリズムが変更されており、ステージ1で使用されたアルゴリズムとは異なっていました。また、異なるツールが使用されていました。さらに、復号アルゴリズムのパラメータは、クラスごとに個別に変更されていました。

gotoコマンドがifブロックにジャンプするため、前回使用したJavaデコンパイラは復号アルゴリズムを逆コンパイルできませんでしたが、Jebデコンパイラのみがこの構造をうまく処理することができました。

各クラスの復号メソッドには異なるパラメータ順序と異なる定数が含まれていたため、Python復号スクリプトの記述はより困難になりました。つまり、復号スクリプトは、Smaliコードからアルゴリズムの設定を検出しそれ自体を適応させるか、各クラスの復号の前にスクリプト内でパラメータを手動で設定する必要があります。

文字列の解読後、使用されているライブラリ（以下を含む）が検出されます。

• AES暗号化エンジン
• Base64エンコード
• エミュレータ検出器
• ファイルダウンロードサービス
• IExtendedNetworkService
• USSD APIライブラリ
• Zip4jUtil

■初期化フェーズ

ステージ1から呼び出された前述の「MaliciousClass」は、リサーチャーが「Context」と名付けた、インスタンス化したクラスのエンベロープとして機能します。

ContextクラスはまずEmulatorDetectorサービスを起動します。その後、AdminServiceとLPServiceの2つのサービスを開始し、その後にメインアプリケーションのIntentを開始します。

• エミュレータ検出器

エミュレータ検出器は、エミュレートされた環境で実行されている兆候についてチェックします。解析サンプルは、Nox、Andy、Geny、Bluestacks、Qemu Androidの各エミュレータの存在を検出しました。

• AdminService

このサービスは、アプリケーションに管理者権限を付与することができます。機密データへのアクセスを可能にし、特権アクションの起動を可能にするため、クリティカルな部分です。

• LPService

このサービスは、アプリケーションの実行とC＆Cサーバへの接続を維持する役割を果たします。WakeLockおよびWifiLock acquire（）呼び出しを使用して、この状態に到達しました。このサービスの副作用は、バッテリーの消耗が大きいことですが、ほとんどのユーザは通常この現象を無視します。

次に、LPServiceはLPServiceRunnable スレッドを作成します。このスレッドは5秒ごとに起動し、以下のサービスの監視と再起動を担当します。

• MainService
• AdminService
• SmsKitkatService

このサービスはまた、実行中のプロセスとタスクに関する情報を収集します。さらに、定期的にWebViewActivityを起動し、ブラウザウィンドウを開いて任意のURLにアクセスしたり、不正なコードを起動したりします。なお、解析したサンプルでは、WebViewActivityコードは実装されていませんでした。

• MainService

MainServiceは、まず、時間スケジューリングタスクのためにAlarmManagerをフックし、次に2つのブロードキャストレシーバー「MainServiceReceiver1」と「MainServiceReceiver2」を登録します。初期化フェーズの最後に、MainServiceRunnableスレッドを起動します。オーバーロードされたonDestroy（）メソッドが実行されると、MainServiceが再び起動されます。

MainServiceの重要なメソッドはprocessApiResponse（）で、これは、C＆Cサーバから受信したJSON文字列形式のコマンドを処理します。

• ClearService

このサービスはClearServiceRunnableスレッドを呼び出します。このスレッドは、コマンドのロックおよびロック解除（ユーザアクティビティのブロックおよびブロック解除）を担当するため、ボットネットを操作する攻撃者はユーザの介入なしにリモートタスクを実行できます。また、ClearServiceは、終了させても再起動します。

• SmsKitkatService

このサービスは、標準のSMSメッセージングアプリケーションを、攻撃者が作成した別のアプリケーションに置き換えるために準備されています。解析サンプルのバージョンでは、デフォルトのものを使用していました。

■コマンド

解析したサンプルが認識したコマンドのリストは、以下の表とスクリーンショットで表すことができます（コードで定義された順序で記載）。

■ApiRequest、ApiResponse、ApiInterfaceImpl

ApiRequest、ApiResponse、およびApiInterfaceImplクラスは、C＆Cサーバとの通信を可能にします。接続パラメータの初期化で、replaceWithRandomStr変数の値はデフォルトでtrueに設定され、コード内では変更されません。

C＆CサーバURLのランダムな文字列を生成するために、アルゴリズムが使用されていました。その後、API接続が初期化され、C＆Cサーバのホスト名が設定されます。

C＆CサーバのAPI使用は、C＆Cサーバのコマンド「#contacts」の実装から判断できます。最後に、コマンドのパラメータがJSON形式として追加され、文字列に変換されます。

このように、Geostには何層もの難読化、暗号化、リフレクション、ジャンクコードのインジェクションなどの解析困難化手法が加えられていました。サイバー犯罪者は目的達成のために様々な巧妙な手法を編み出します。有効な対策の実施には、このような困難化手法を明らかにしていくことも重要です。

■被害に遭わないためには

トレンドマイクロは、「2020年セキュリティ脅威予測」の中で、オンラインバンキングおよび決済システムをターゲットとする「Geost」のような不正アプリファミリの継続的な拡散を予測しました。モバイルユーザはベストプラクティスに従い、危険が潜むモバイル環境を安全に航行できるよう、デバイスを保護する必要があります。そのような対策の第一歩は、Androidの公式アプリストア以外からアプリをダウンロードしないようにすることです。

しかし残念ながら、攻撃者は正規のアプリストアにおいても不正なアプリを配布する手段を見つけています。発見された不正アプリを削除し続ける正規ストア側の活動も重要ですが、ユーザは、アプリをダウンロードする前にレビューその他の情報を慎重に調べることで、不正アプリを回避することができます。

ユーザは、インストールの際にアプリが要求してくる権限を許可する前に精査する必要があります。インストール後には、感染の兆候の可能性があるパフォーマンスの低下やバッテリー寿命の低下など、デバイスの変化に注意する必要があります。そのような場合、新しくインストールしたアプリをすぐに削除してください。また、定期的にデバイスをチェックして、使用していないアプリを削除することができます。

■トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けにはGoogle Playで利用可能な「ウイルスバスター モバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」技術や「Web レピュテーション（WRS）」技術により、不正／迷惑アプリの検出や不正／迷惑アプリに関連する不正 Web サイトのブロックに対応しています。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

参考記事：

• 「 Dissecting Geost: Exposing the Anatomy of the Android Trojan Targeting Russian Banks」
  by Vit Sembera (Threats Analyst)

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロは2019年9月、当時はまだ特定されていなかったエクスプロイトキットを使用するキャンペーンを確認し、「Operation Overtrap（オーバートラップ作戦）」と名付けました。その後の調査により、日本国内のネットバンキング利用者のみを狙う攻撃であり、下図のような3方向の攻撃から最終的に国内金融機関のネットバンキング利用者の認証情報を詐取することを確認しました。特に2019年9月以降は、不正広告（マルバタイジング）経由でエクスプロイトキットと呼ばれる脆弱性攻撃ツールへ誘導する攻撃を主に確認しています。

• URLリンクを含んだメールにより、ネットバンキングのWebサイトを偽装したフィッシングページへ利用者を誘導
• URLリンクを含んだメールにより、不正サイトへ誘導し、ダウンロードされるファイル（実はマルウェアの実行ファイル）を実行させる
• 不正広告経由でエクスプロイトキットを使用しマルウェアを配信

本ブログ記事では、トレンドマイクロがオーバートラップ作戦のキャンペーンを確認した経緯とともに、攻撃に利用された新しいバンキングトロジャン（オンライン銀行詐欺ツール）「Cinobi（シノビ）」（トレンドマイクロでは「TrojanSpy.Win32.CINOBI.A」などで検出）について解説します。

解析詳細

■オーバートラップ作戦が確認される

このキャンペーンに対する調査からは、2019年4月の時点でマルウェアを拡散するため、マルウェアスパムが使用されていたことが確認されています。このマルウェアスパムはセキュリティ上の問題により使用するネットバンキングサービスのアカウントがロックされたという理由で不正サイトへの誘導を行うものでした。

2019年9月中旬には、相当数のユーザがソーシャルメディア上のリンクをクリックした後に、Internet Explorer（IE）の脆弱性を狙うエクスプロイトキットへとリダイレクトされました。ただし、ユーザへのリンクの配信方法については、特定されていません。また、オーバートラップ作戦は日本国内のネットバンキング利用者のみをターゲットとしていると見られ、日本以外の地理位置情報を持つユーザについては、偽のオンラインショップにリダイレクトします。

解析の結果、エクスプロイトキットは、ユーザのデバイス上で何ら不正な活動を実行しない、無害なバイナリをドロップしただけであることがわかりました。また、ファイルは感染後すぐに閉じられました。オーバートラップ作戦の背後の攻撃者がなぜ最初に無害なバイナリファイルを配信したのか、理由はわかっていません。キャンペーンの開発の段階にあったために、カスタマイズしたエクスプロイトキットをテストしていた可能性があります。

■オーバートラップ作戦用にカスタマイズされたエクスプロイトキット「Bottle EK」

2019年9月29日、エクスプロイトキットがドロップするファイルは無害なものではなくなり、代わりにトレンドマイクロでは「Cinobi」と名付けた全く新しいバンキングトロジャンを拡散するようになりました。また、ユーザをソーシャルメディアからリダイレクトする手法を停止し、エクスプロイトキットを送り込むために日本を標的としたマルバタイジング（不正広告）を開始したことが確認されました。

このオーバートラップ作戦で使用されたカスタマイズされたエクスプロイトキットは、後に別のリサーチャーによって「Bottle（ボトル）エクスプロイトキット（Bottle EK）」と名付けられたものと同一でした。Bottle EKは、Flash Playerの解放済みメモリの使用 （Use-after-free）の脆弱性「CVE-2018-15982」と、VBScriptエンジンのリモートでコードが実行される脆弱性「CVE-2018-8174」を利用します。更新プログラムが適用されていない、あるいは旧式のブラウザでユーザがこのエクスプロイトキットのランディングページにアクセスすると、Bottle EKによってマルウェアに感染します。弊社の調査によると、2020年2月に日本で検出されたエクスプロイトキットのうち、Bottle EKが最多であったことが確認されています。

■新しいバンキングトロジャン「Cinobi」

オーバートラップ作戦には全く新しいバンキングトロジャン「Cinobi」が使用されています。解析の結果、Cinobiには2つのバージョンが確認できました。１つ目のバージョンのペイロードはDLLインジェクションで実行され、ユーザのWebブラウザを侵害し「form grabbing（フォームグラビング）」によって認証情報を窃取します。フォームグラビングとは、感染した端末からアクセスしたサイトを監視し、Web上のデータフォーム（入力欄）から認証情報を収集する手口のことを指します。また、このCinobiは、ターゲットのWebサイトとの間で送受信されるWebトラフィックを改変することも可能です。これにより、アクセスしたWebページ上で偽画面を表示して入力情報を詐取する「Webインジェクション」機能も備えています。また、2つ目のバージョンのCinobiには、１つ目のバージョンが持つ機能全部に加えて、Torプロキシ経由でコマンドアンドコントロール（C＆C）サーバと通信する機能を備えています。

調査からは、このキャンペーンで対象となったWebサイトは、日本を拠点とする銀行のものであることが確認されました。トレンドマイクロではWebインジェクションなどの手法を使用し、国内ネットバンキングのワンタイムパスワードなどの二要素認証を突破して自動的に不正送金を行うバンキングトロジャンを2014年の時点で既に確認しています。

■Cinobiの４つの感染ステージ

Cinobiの4つの感染ステージにはそれぞれ、暗号化された、位置に依存しないシェルコードが含まれており、解析が少し複雑になっています。各ステージは、特定の条件が満たされるとC＆Cサーバからダウンロードされます。

ステージ１

他のリサーチャーによる解析も公開されているCinobiの感染経路の最初のステージ１は、「GetUserDefaultUILanguages」関数を呼び出して、感染したデバイスのローカル設定が日本語に設定されているかどうかを確認することから始まります。

その後、Cinobiは次の場所から正規のunzip.exeおよびTorアプリケーションをダウンロードします。

• ftp://ftp[.]cadwork.ch/DVD_V20/cadwork.dir/COM/unzip[.]exe
• https://archive[.]torproject[.]org/tor-package-archive/torbrowser/8.0.8/tor-win32-0.3.5.8[.]zip

Torアーカイブを「\AppData\LocalLow\」ディレクトリ下に展開した後、Cinobiはtor.exeの名称をtaskhost.exeに変更し、実行します。 また、カスタムtorrcファイル設定でtor.exeを実行します。

• “C:\Users\<ユーザ名>\AppData\LocalLow\<random_name>\Tor\taskhost.exe” –f
• “C:\Users\<ユーザ名>\AppData\LocalLow\<random_name>\torrc”

ペイロードのステージ２を、onion ドメインに存在するC＆Cサーバアドレスからダウンロードし、「\AppData\LocalLow\」フォルダ内のランダムに名前が付けられたDLLファイルに保存します。ステージ１のダウンローダのファイル名は、ランダムな名前の付いた.JPGファイルに保存されます。

この後、Cinobiはダウンローダのステージ2を、ユーザのデバイス上で実行します。

ステージ２

CinobiはC＆Cサーバに接続して、感染経路の第3段階目、ステージ3のファイルをダウンロードして復号します。ステージ3のファイル名はCで始まり、その後にランダムな文字が続きます。その後、ステージ４のファイルをダウンロードして復号しますが、ステージ４のファイル名はAで始まり、その後にランダムな文字が続きます。

この後、Cinobiは新しいC＆Cサーバのアドレスが含まれる設定ファイル（<random_name>.txt）をダウンロードして復号します。

Cinobiは、ハードコードされた鍵でRC4暗号化を実行します。

次に、Cinobiは、インターフェイス「CMSTPLUA COM」によるUACバイパスの手法（UAC bypass using CMSTPLUA COM interface）を使用し、ダウンロードしたステージ３のファイルを実行します。

ステージ3

感染段階のステージ3で、Cinobiはマルウェアのファイルを「\AppData\LocalLow\」から「％PUBLIC％」フォルダにコピーします。次に、ダウンローダのステージ４（ステージ２でダウンロードされたもの）をWinsockレイヤードサービスプロバイダ（WSCInstallProviderAndChains）としてインストールします。

その後、Cinobiは次の活動を実行します。

• スプーラサービスの設定を「SERVICE_AUTO_START」に変更する
• 次のサービスを無効にする
  • UsoSvc
  • Wuauserv
  • WaaSMedicSvc
  • SecurityHealthService
  • DisableAntiSpyware
• Torファイルを「％PUBLIC％」フォルダにコピーして展開する
• tor.exeの名前をtaskhost.exeに変更する
• 「DataDirectory C:\Users\Public\<random_nam>\data\tor」という内容で「％PUBLIC％」にtorrcを作成する
• 元のドロッパーの名前でJPGファイルを作成する
• 「\AppData\LocalLow\」からファイルを削除し、元のドロッパーファイルを削除する

ステージ4

CinobiはWSCEnumProtocols関数を呼び出して、使用可能なトランスポートプロトコルに関する情報を取得します。また、WSCGetProviderPath関数を呼び出して、元のトランスポートプロバイダのDLLパスを取得します。この関数は2回呼び出されます。最初の呼び出しは、不正なプロバイダを返します（マルウェアのステージ4は、ステージ3で既にインストール済み）。 2番目の呼び出しは、元のトランスポートプロバイダ（％SystemRoot％\ system32 \ mswsock.dll）を返し、そのWSPStartup関数を解決して呼び出します。Cinobiは、不正なDLLプロバイダが挿入されるプロセスの名前を確認します。実際には、Windows Socketsを使用してネットワーク接続を行うすべてのプロセスにCinobiがインジェクトされます。

■被害に遭わないためには

オーバートラップ作戦は複数の攻撃手法を使用して、ネットバンキングの認証情報を窃取します。ネットバンキング利用者は、メッセージングを利用する脅威からシステムを保護し、不正な広告を回避するためのベストプラクティスに従う必要があります。例えば、不審なメールを報告する手段を提供することができます。企業や組織はITチームを通して一元管理できる情報収集システムを採用し、従業員は不審なメールの報告手順を認識していなければなりません。また、すべてのユーザは、不審なリンクやポップアップをクリックすることを避け、公式なソースからのみソフトウェアの更新を行うことで、不正広告を回避することができます。

組織は、定期的にシステムを更新すること、また、古くなったレガシーシステムには仮想パッチを利用することによって、攻撃者にセキュリティの隙を突かれることを防げます。ファイアウォールや侵入防御システムなど、追加のセキュリティ対策を導入することによって、データの窃取やC＆C通信などの攻撃者によるネットワーク活動の防止に役立ちます。

■トレンドマイクロの対策

トレンドマイクロの法人向けエンドポイント製品「Trend Micro Apex One」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター ビジネスセキュリティ」は、不正なファイルを検出し、関連する不正な URL をブロックすることによって、強固な保護を提供します。メール攻撃対策製品「Deep Discovery Email Inspector」は、不正な添付ファイルや URLをブロックして法人組織を保護し、システムの感染および最終的な情報の窃取を防ぎます。

「Trend Micro Hosted Email Security」は、メンテナンス不要のクラウドソリューションであるため、継続的に更新される保護機能が、スパム、マルウェア、スペアフィッシング、ランサムウェア、より高度な標的型攻撃をネットワークに到達する前に阻止します。Microsoft Exchange、Microsoft Office 365、Google Apps などの SaaS およびオンプレミスのメール環境を保護します。

なお、オーバートラップ作戦に関連するIoCに関してはこちらを参照してください。

参考記事：

• 「Operation Overtrap Targets Japanese Online Banking Users Via Bottle Exploit Kit and Brand-New Cinobi Banking Trojan」
  By Jaromir Horejsi and Joseph C. Chen (Threat Researchers)

翻訳： 室賀　美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロは2020年3月末、サイバー諜報活動と推測されるキャンペーンを確認し、「Project Spy（プロジェクトスパイ）」と名付けました。Project Spyは、Android端末の場合「AndroidOS_ProjectSpy.HRX」、 iOS端末であれば「IOS_ProjectSpy.A」として検出される情報窃取型不正アプリ（スパイウェア）を感染させます。Project Spyは新型コロナウイルスの世界的流行をおとりとして利用し、「Corona Updates」というアプリに偽装し不正アプリを配布していました。しかし調査をするうちに、それよりも以前に配布されていたGoogleサービスと音楽のアプリを偽装する初期バージョンも確認できました。なお、これらの不正アプリは、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレナダ、ロシアにおいてダウンロードされており、そのダウンロード数は比較的少数であったことも確認されています。

■Project Spyの活動

トレンドマイクロは2020年3月末、新型コロナウイルス最新情報アプリ、「Corona Update」になりすます不正アプリを発見し、使用されているバックエンドサーバのログインページに基づき、「ProjectSpy」と名付けました。

不正アプリ「Corona Updates」は、以下の情報を自身のサーバへアップロードします。

• 各種メッセージングアプリ（SMS、WhatsApp、Telegram、Facebook、Threema）のメッセージ
• 音声メモ、保存されている連絡先、アカウント、通話履歴、位置情報、画像
• 収集した端末情報の拡張リスト（IMEI、製品、ボード、メーカー、タグ、ホスト、Androidバージョン、アプリケーションバージョン、名前、型名、ブランド、ユーザ、シリアル、ハードウェア、ブートローダ、端末IDなど）
• SIM情報（IMSI、オペレーターコード、国、MCCモバイルの国、SIMシリアル、オペレータ名、携帯電話番号など）
• Wi-Fi情報（SSID、Wi-Fi速度、MACアドレスなど）
• その他の情報（ディスプレイ、日付、時刻、指紋、作成日、更新日など）

不正アプリは通知へのアクセス許可を悪用します。通知される内容を読み取り、それをデータベースに保存することにより複数の代表的なメッセージングアプリからメッセージを窃取することができます。また、不正アプリは、追加ストレージへのアクセス許可も要求します。

■確認されたProject Spyの初期バージョン

トレンドマイクロのマルウェアサンプルのデータベースでドメインを検索したところ、Corona Updateアプリは、2019年5月に検出された別のマルウェアの更新版であることがわかりました。

この最初のバージョン（「AndroidOS_SpyAgent.HRXB」として検出）では、以下の機能が確認されました。

• 端末とシステム情報（IMEI、端末ID、製造元、型名、電話番号など）、位置情報、保存されている連絡先、通話ログを収集する
• SMSを収集して送信する
• カメラで写真を撮影する
• 記録されたMP4ファイルをアップロードする
• 通話を監視する

さらに調査すると、Project Spyの2番目のバージョンの可能性がある別のサンプルも見つかりました。このバージョンはアプリ名「Wabi Music」として配布され、人気の動画共有サービスを複製してバックエンドのログインページとして利用していました。この2番目のバージョンのGoogle Play記載の開発者名は「concipit1248」で、2019年5月から2020年2月まで配布されていた可能性があり、2020年3月にGoogle Playから消失したようです。

Project Spy の2番目のバージョンも最初のバージョンと同様の機能を備えており、さらに以下が追加されていました。

• WhatsApp、Facebook、Telegramから送信された通知を窃取する
• 録画をアップロードするFTPモードを破棄する

アプリの想定機能と外観の変更以外では、2番目と3番目のバージョンのコードにほとんど違いは見られませんでした。

■iOSアプリを偽装するProject Spy

確認されたコードと開発者名「Concipit1248」を手掛かりに他のバージョンについて調査したところ、iOS端末向け正規アプリストアである「App Store」にも2つのアプリが見つかりました。

「Concipit1248」によるiOSアプリをさらに解析すると、使用されているサーバspy[.]cashnow[.]eeは、Project SpyのAndroid向けアプリが使用するサーバと同じであることが判明しました。

「Concipit1248」によるアプリは、端末のカメラの起動と写真の読み取りのためのアクセス許可を要求しますが、コードによると自己完結型（self-contained）PNGファイルのみをリモートのサーバにアップロードすることしかできません。 これは、「Concipit1248」によるアプリがまだ開発段階にあることを示す可能性があります。

同じ開発者によるもう一つのiOSアプリ「Concipit Shop」は一見したところ通常のアプリで、2019年11月に更新されていました。しかし、Appleは、コードを解析した結果これら２つのiOSアプリが機能していないと判断し、サンドボックスによって不正な活動が検出されブロックされると報告しています。

■結論

不正アプリ「Corona Updates」のダウンロード数は比較的少なく、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレナダ、ロシアで確認されています。アプリの虚偽の機能が、ダウンロード数の低迷に反映されたのかもしれません。または、まだ開発中あるいは実験段階にあり、不正活動を展開するためのタイミングをうかがっている可能性もあります。他の手法をテストするためにアプリが使用されている可能性も考えられます。そのタイミングを計るための指標は、アプリのダウンロード数すなわち感染端末数が一定の数量に達したときかもしれません。

コーディングの様式から、このキャンペーンの背後には、あまり熟達していないサイバー犯罪者がいることが推測されています。このキャンペーンで使用されている不完全なiOSのコードは、他のサイバー犯罪者やサービスから購入したものにいくつかの機能を追加したものであると推測されます。これも、アプリが実験段階から完全に機能するまでの途上にあることを表していると言えます。Project Spyはこれまで確認されたことのないサイバー犯罪者グループによるキャンペーンであり、トレンドマイクロでは、このキャンペーンを引き続き監視していきます。

■被害に遭わないためには

アプリを入手する際には、ダウンロード前にアプリの表示画面や説明文、機能、他のユーザによるレビュー、要求されるアクセス権限などのポイントについて不審な点がないか確認してください。端末にすでにインストールされている他のアプリと端末のオペレーティングシステム（OS）が最新のバージョンに更新されていることも確認してください。

■トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスター モバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」の機能である「Mobile App Reputation（MAR）」技術や「Web レピュテーション（WRS）」技術により、不正／迷惑アプリの検出や不正／迷惑アプリに関連する不正 Web サイトのブロックに対応しています。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

参考記事：

• 「Coronavirus Update App Leads to Project Spy Android and iOS Spyware」
  By Tony Bao and Junzhi Lu

翻訳： 室賀　美和（Core Technology Marketing, Trend Micro Research）

台湾の複数の企業において新たなランサムウェアファミリーを使用した標的型攻撃の被害が確認されました。「ColdLock」と名付けられたランサムウェアファミリーは標的のデータベースやメールサーバを暗号化する機能を備え、感染した企業に甚大な被害を及ぼす危険性があります。

トレンドマイクロが収集した情報によると、この標的型攻撃は、2019年5月上旬から攻撃を開始していたことが示されています。またランサムウェアの解析結果からは、過去の２つのランサムウェアファミリー「Lockergoga」（「LOCKERGOGA」ファミリーとして検出対応）および「Freezing」（「FREEZING」ファミリーとして検知対応）、さらにはオープンソースのランサムウェアキット「EDA2」との類似点も確認されました。今回被害が確認された複数の企業以外が攻撃を受けた兆候は、現在のところ確認されておらず、このマルウェアファミリーが広く拡散している状況は考えにくいと判断しています。

トレンドマイクロ製品のユーザはこの脅威から保護されています。今回確認されたランサムウェアは「Ransom.MSIL.COLDLOCK.YPAE-A」や「Ransom.PS1.COLDLOCK.YPAE-A」などとして検出されます。以下、今回の脅威およびランサムウェアの挙動、他のランサムウェアとの関連について解説します。

■感染経路

現在のところ、今回の攻撃がどのような経路で被害企業のネットワーク内に侵入したかの詳細は明らかではありません。何らかの方法で対象企業ネットワークに侵入後にActive Directoryサーバへのアクセス権を取得したようです。そしてグループポリシーの設定を変更し、ランサムウェアをドメイン内の端末上に拡散、実行させたものと推測されます。

不正活動を実行するペイロードは「.NET実行可能ファイル（DLLファイル）」として感染端末に侵入します。このDLLファイルはConfuserExパッカーにより圧縮および保護が施されています。そして.NET実行可能ファイルのPowerShellリフレクティブロードを使用して、このDLLファイルが実行されます。

またこのDLLファイルは、感染端末上でランサムウェア活動を実行するために2つの条件を確認します。まずランサムノート（脅迫状）に使用される「%System Root%\ProgramData\readme.tmp」というファイルの存在を確認し、存在しない場合のみランサムウェア活動を行います。これにより、感染端末内で自身が重複して実行されるのを回避します。

さらに2つ目の珍しい方法として感染端末内の時計を確認し、当日の午後12時10分以降であった場合に実行されます。それよりも前の時間だった場合、午後12時10分になるまで15秒のスリープを繰り返しながら感染端末内の時計を確認します。

■暗号化の手法

このランサムウェアは、任意のファイルを暗号化する際、まず特定の準備動作を実行します。通常、ファイルへのアクセス防止機能が実行されている可能性があるため、まずは感染端末内でこうした機能に関連した以下のサービスを終了します。

• mariadb
• msexchangeis
• mssql
• mysql
• oracleservice

これらは、各種データベースやExchangeメールサーバで使用されるサービス名となります。さらにOutlookのプロセスも終了します。

また、このランサムウェアは、感染端末上で実行されているWindowsのバージョンを確認します。Windows 10の場合、Windows 10向けの動作を実行します。さらにWindows Defenderを無効化し、その他、フィードバック機能、マルウェア検体をMicrosoftに送信する機能、通知機能なども無効にします。

そして任意のファイルを暗号化する動作も一般的なランサムウェアとは少し異なっています。まず、以下のディレクトリは暗号化の対象としません。

• %System Root%\Program Files
• %System Root%\Program Files (x86)
• %System Root%\ProgramData
• %System Root%\Users\all users
• %System Root%\Users\default
• {malware directory}
• {drive letter}:\System Volume Information
• {drive letter}:\$Recycle.bin

ただし、上記ディレクトリの配下であっても以下のディレクトリは暗号化の対象となります。

• %System Root%\ProgramData\Microsoft\Windows\Start Menu
• %System Root%\Program Files\Microsoft\Exchange Server
• %System Root%\Program Files (x86)\Microsoft\Exchange Server
• 「Program Files」、「Program Files (x86)」、「ProgramData」の配下にある以下の文字列を含むディレクトリ:
  • sql
  • Mariadb
  • Oracle

上記条件以外の場合、感染端末のディレクトリ内のファイルが暗号化の対象になるかどうかは、以下の3つの条件で判断されます。

• 対象のディレクトリ内のファイル数が100未満である
• 対象のディレクトリ内でファイルの最終書き込み時刻が2018年1月1日より前である
• 対象のディレクトリ内のファイル名に以下の文字列が含まれていないこと
  • .git
  • appdata
  • cache
  • image
  • lib
  • log
  • logs
  • microsoft
  • reference
  • res
  • resource
  • script
  • setup
  • skin
  • temp
  • theme
  • third_party
  • thirdparty

上記3つの条件がすべて満たされている場合、対象のディレクトリ内で以下の拡張子のファイルを除くすべてのファイルが暗号化されます。

• .avi
• .dll
• .gif
• .iso
• .m2ts
• .mkv
• .mov
• .mp3
• .msi
• .ocx
• .tmp
• .wmv

その他、もしこれらの3つのいくつかもしくはすべての条件が満たされない場合は、以下の拡張子のファイルのみが暗号化されます。

• .7z
• .aspx
• .bak
• .cpp
• .csv
• .doc
• .docx
• .gz
• .hwp
• .java
• .jpg
• .jsp
• .lnk
• .odt
• .one
• .php
• .ppt
• .pptx
• .pst
• .rar
• .sh
• .sql
• .txt
• .xls
• .xlsx
• .xml
• .zip

暗号化プロセスでは、CBCモードでAES機能が使用されます。そして暗号化理論のソルトと秘密鍵を使用して必要な鍵および初期化ベクトル（IV）が生成されます。必要な鍵はコードに埋め込まれ、IVはランダムな32バイトの長い文字列のSHA-256ハッシュを使用して動的に生成されます。そしてハードコードされた公開RSA鍵を使用してファイルが暗号化されます。使用された公開鍵は脅迫状にも含まれます。暗号化されたファイルには「.locked」の拡張子が付与されます。

ランサムウェアが使用する脅迫状は、以下のように感染端末内の複数の箇所に保存されます。

• %Desktop%\How To Unlock Files.Txt
• %System Root%\ProgramData\readme.tmp
• %User Startup%\How To Unlock Files.Txt
• {Encrypted Drive}:\How To Unlock Files.Txt

脅迫状の内容は、前述で指摘した他のランサムウェアの脅迫状とも類似しています。英語で記載されており、以下のような内容となります。

！！！端末内のすべてのファイルを暗号化した！！！

ファイルはRSA 20148によって暗号化されているため自力では決して復号できない！ファイルを復号したければCEOかCTOか誰でもよいからわれわれに電子メールをよこせ。復号用の秘密鍵は5日間だけ保持しておく。時間稼ぎなどしないこと。ではメール連絡を待っている。

その後、このランサムウェアはすべての感染端末上の壁紙を以下の内容に変更します。壁紙には、脅迫状のテキストファイルが保存されている場所が示され、脅迫状を読むように指示されています。壁紙の表示は感染端末内のレジストリ設定を変更することで行われます。

■他のランサムウェアファミリーとの関連

一見すると、暗号化されたファイルに「.locked」という拡張子を用いる手法からLockergogaとの関連が想起されます。ただし、他のランサムウェアファミリーもこのような拡張子の使い方をするため、これだけで双方の関連性を確証することはできません。一方、Freezingとの間にはより強い関連性が見られます。ADサーバの侵害を起点とするネットワーク内での拡散、反射型インジェクション（Reflective DLL Injection）、内部モジュールのアーキテクチャなど、複数の共通点があります。

また、不正コードの観点からは、オープンソースのランサムウェアキットEDA2との類似点が確認されます。数年前、EDA2を用いた愉快犯によるランサムウェア脅威が拡散したことがあり、その関連も指摘されます。

■被害に遭わないためには

ランサムウェアは長く続く脅威として認識されており、「2019年年間セキュリティラウンドアップ」でも指摘したようにランサムウェアの攻撃総数は、2018年の約5,500万から2019年の約6,100万に増加するなど、依然として猛威を振るっています。また、企業を狙う攻撃が台頭し、より危険度を増しています。企業が被害を受けた場合、社内ネットワークを介して簡単に攻撃が拡散してしまうリスクをはらんでいます。

ランサムウェアの被害に遭わないために、特に法人利用者では以下のベストプラクティスを推奨します。

• 「3-2-1ルール」を使用して定期的にファイルをバックアップすること。 つまり、2つの異なる形式で3つのバックアップを作成し、1つのコピーをオフサイトに保存することです。
• アプリケーション、ソフトウェア、オペレーティングシステムを定期的なパッチ適用で更新し、悪用可能な脆弱性に対処しておくこと。ゼロデイ脆弱性については、仮想パッチを利用してください。
• ご使用のセキュリティ対策ソフトのサンドボックス分析をアクティブ化します。 これにより、隔離された環境で不正ファイルが実行できるため安全な監視が可能になります。

■トレンドマイクロの対策

法人利用者では、複数のレイヤーを複数の技術で守る、多層防御が特に効果的です。防護のポイントとして、メール、Webなどのゲートウェイでの防御、エンドポイントでの防御、内部ネットワークとサーバでの防御が特に重要です。法人向けのエンドポイント製品「Trend Micro Apex One」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスタービジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、挙動監視機能（不正変更監視機能）の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。メール対策製品「Deep Discovery Email Inspector」や「Trend Micro Cloud App Security」などで使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。また、クロスジェネレーション（XGen）セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。「Trend Micro XDR」は、最も効果的なAIと専門家による分析を、お客さま環境内のセンサーから収集された活動データに適用して、誤検出が少なく精度が高いアラートを生成します。

■侵入の痕跡（Indicators of Compromise、IoCs）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

参考記事：

• 「Targeted Ransomware Attack Hits Taiwanese Organizations」
  By Greg Young (Vice President for Cybersecurity)

翻訳： 与那城　務（Core Technology Marketing, Trend Micro Research）

トレンドマイクロのリサーチャーは、不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」形式で非表示設定し、隠蔽する手口を確認、その詳細解析を行いました。Microsoftのドキュメントに記載されている通り、VBAマクロを使用してブック内のシートを非表示にされている場合、Microsoft Excelの一般機能からはシートを操作することができません。この不正マクロを含む不審なファイルは、スパムメールの添付ファイルとして使用されていました。

問題のファイルを開くと、「編集を有効にする」ボタンをクリックしてから、「コンテンツを有効にする」ボタンをクリックするよう要求するメッセージが表示されます。ユーザがこれらのボタンをクリックすると、気づかぬうちにマクロが有効化されることになります。

不正なマクロの存在を確認するためVisual Basic Editor（VBE）を開きましたが、マクロは確認できませんでした。次にOLE2ファイルを分析するための解析ツールを使用してファイル構造を調査したところ、「VeryHidden（再表示不可の非表示）」に設定された「G5U1D5zEis」という名前のマクロシートが見つかりました。この設定による非表示シートは、シート一覧には表示されずExcelの一般機能からはシートを操作することができないため、再表示させるには他の方法を利用する必要があります。

ファイルを変換して非表示であったシートを再表示させ、これによりドキュメントのコンテンツが明らかになりました。

難読化を解除した結果、ドキュメントが開かれた時に実行されるよう設定されているいくつかの書式と、呼び出されるURL「hxxps://＜省略＞/ehrj4g9g」が確認できました。

最近作成されたばかりであるこのURLは、セキュリティ企業「Intel 471」への類似した攻撃で使用されていたURLと同じものでした。以下はオンラインスキャンサービス「VirusTotal」で確認された、関連するURLです。

• hxxp://grpxmqnrb＜省略＞pw/
• hxxps://grpxmqnrb＜省略＞pw/
• hxxp//grpxmqnrb＜省略＞pw/egrg4g3g　
• hxxps//grpxmqnrb＜省略＞pw/egrg4g3g
• hxxp://grpxmqnrb＜省略＞pw/ehrj4g9g
• hxxps://grpxmqnrb＜省略＞pw/ehrj4g96

また、上記のURLへの通信を実行するExcelファイルについてVirusTotal上の検体を確認したところ、トレンドマイクロで入手した検体と同様のファイル名構造が用いられていました。これらのドキュメントの一部は、スパムメールの添付ファイルとして利用されていました。

• 1585059781-0ee5a944b4d8dc80001-29H5dr.eml （電子メールファイル）
• 9df947a72e47676383d648858ee063c703a8f455454f1c6df8272a564a3456b5
• Info 122077.xls
• Info180.xls
• info-407759.xls
• Info_50930.xls
• Info.520513.xls
• info.57078.xls
• Info_64422.xls
• notif 1111.xls

トレンドマイクロの入手検体から呼び出されるURL「hxxps://grpxmqnrb＜省略＞pw/ehrj4g9g」は、「hxxps://github＜省略＞com/arntsonl/calc_security_poc/raw/master/dll/calc.dll」にリダイレクトされます。このリダイレクト先にあるファイルはWindows標準の計算機アプリである「calc.exe」を実行するものでした。ただし、これは追跡を免れるためのおとりのペイロードである可能性があります。

2020年4月6日時点で、マクロから呼び出されるURLは名前解決できず、アクセス不可となっています。これらのURLの構造や使用されている手法、マクロコードは、ペイロードとして「Zloader」と呼ばれるマルウェアを配信する攻撃キャンペーンで使用されているものと類似しています。調査時点では最終的なマルウェアのダウンロードは確認できませんでしたが、同じ手口により、別のリダイレクト先とペイロードに変更して活動を再開する可能性もあります。

■被害に遭わないためには

攻撃者は、無害なファイルを装い不正なコードを隠蔽しますが、時々新しいファイル形式をテストします。ファイルは大抵、新型コロナウイルス（COVID-19）の流行などその時々で注目度の高いニュースに便乗してユーザの注意を引き、添付ファイルを開封させるなど、ソーシャルエンジニアリングの手法を用いたスパムメールを通じて拡散されます。中には、信用されやすいように知名度の高い正規の組織や企業を偽装する場合もあります。

被害に遭わないために、信頼できない送信者からのメールの添付ファイルをダウンロードする、あるいは埋め込みリンクをクリックすることのないようにしてください。公的機関からのメールとされる場合でも、そのような周知メールについて公式Webサイトで確認するか、あるいはサイトに記載の連絡先に連絡しメールが本物であるかどうかを確認してください。メール本文の文章についても注意することができます。不自然な文章や間違いは、多くの場合、スパムメールであることの裏付けとなります。また、セキュリティソリューションを活用することによってメールを介したマルウェアの侵入をブロックすることを推奨します。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

※調査協力：Mhica Angel Romero

参考記事：

• 「Analysis: Suspicious “Very Hidden” Formula on Excel 4.0 Macro Sheet」
  By Trend Micro

翻訳： 室賀　美和（Core Technology Marketing, Trend Micro Research）

新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool（RAT）」を悪用する、同様の手口を用いた攻撃を確認しました。

このRATとバンドルされているZoomインストーラは正規のものですが、「Zoomダウンロードセンター」や他の正規アプリストアなど公式のソースからではなく、不正なソースからダウンロードされたものです。なお、Zoomは4月27日に更新されており、現在バージョン5.0が公開されています。

多くのマルウェアは、不正な目的を隠蔽するために正規のアプリケーションを偽装します。このタイプの脅威が利用するアプリケーションはZoomだけではなく、他の多くのアプリケーションも利用されています。今回報告する例では、サイバー犯罪者が正規のインストーラをRAT「RevCode WebMonitor」と再パッケージ（リパック）し、これらのリパックインストーラを不正なサイトから頒布したと考えられています。

■解説

感染は、ユーザが悪質なサイトから不正なファイル「ZoomIntsaller.exe」をダウンロードすることから始まります。ダウンロードされるZoomInstaller.exeは、正規のZoomインストーラとRAT「RevCode WebMonitor」 が含まれるファイルです。

ZoomInstaller.exeが実行されると、Zoom.exeという自身のコピーを作成します。
次にZoomInstaller.exeはプロセスnotepad.exeを開き、作成したZoom.exeを実行します。

そして、URL 「dabmaster＜省略＞wm01.」に接続し、リモートの不正ユーザからのコマンドを実行します。以下は、そのコマンドの一部です（詳細については、脅威データベースを参照ください）。

• ファイルとレジストリ情報の追加、削除、変更
• 接続の終了
• ソフトウェアとハ​​ードウェアの情報を取得
• Webカメラのドライバー／スナップショットを取得
• 音声、キーストロークの記録
• プロセスとサービスの開始、一時停止、終了
• 画面ストリームの開始／停止
• ワイヤレスアクセスポイントの開始／停止

また、ファイル「Zoom.vbs」をWindowsのユーザスタートアップフォルダに作成し、システムが起動されるたびに自動実行されるよう変更します。ただし、解析の検知と妨害の機能を持っており、以下の条件では実行されません。

・デバッグツールまたはセキュリティツールに関連する以下のプロセスを検知すると実行されません。

• aswidagent.exe
• avastsvc.exe
• avastui.exe
• avgsvc.exe
• avgui.exe
• avp.exe
• bdagent.exe
• bdwtxag.exe
• dwengine.exe
• mpcmdrun.exe
• msmpeng.exe
• nissrv.exe
• ollydbg.exe
• procexp.exe
• procexp64.exe
• procmon.exe
• procmon64.exe
• windbg.exe

・以下の仮想環境で実行された場合、自身を終了します。

• カーネルベースの仮想マシン
• Microsoftハイパーバイザ
• Parallelsハイパーバイザ
• VirtualBox
• VMware
• Xen 仮想マシンマネージャ

・以下のファイル名に類似したファイルを検知した場合、自身を終了します。

• Malware
• Sample
• Sandbox

システムには最終的に正規のZoom バージョン4.6がダウンロードされるため、利用者には正常なインストーラのように見えます。しかしこの時点でシステムはすでに感染しています。

調査当初には、情報窃取型マルウェア「FAREIT」に似た動作が観察されました。しかし、さらに調査すると、遠隔操作に使用されるツールは市販のRATである「RevCode WebMonitor」を悪用したもの（「Backdoor.Win32.REVCODE.THDBABO」として検出）であることが判明しました。このRATは悪意のない遠隔管理ツールとして販売されていますが、サイバー犯罪との関連も指摘されています。2017年半ばからハッキングフォーラムで販売されていたことが報告されており、このRATを使用することで、感染させた端末を制御し、キー入力操作、Webカメラストリーミング、画面キャプチャによって諜報活動を実行することができます。なお、PastebinでこのRATを検知するためのYARAルールを確認することができます。

今回使用されたRATは実行されると以下の情報を収集し、HTTP POSTを介してURL 「hxxps://＜省略＞96/recv7[.]php」に送信します。

• バッテリー情報
• コンピュータ情報
• デスクトップモニタ情報
• メモリ情報
• ネットワークアダプターの設定
• OS情報
• プロセッサ情報
• ビデオコントローラ情報

■被害に遭わないためには

新型コロナウイルス（Covid-19）の世界的流行と、多くの国で今なお進行中の自宅隔離措置のために、企業はビデオ会議アプリなどを必要とする在宅勤務（テレワーク）を選択せざるを得なくなりました。ビデオ会議アプリは、次のベストプラクティスによって保護することができます。

• 正規のダウンロードセンターなど、公式ソースからのみダウンロードする。特に商用ソフトについて、非公式のダウンロードサイトは、不用意なユーザを欺くためにサイバー犯罪者によって設置されている可能性が高いことを覚えておきましょう。
• ビデオ会議アプリをセキュアにする。安全に利用するためには、会議のパスワードを設定する、会議情報を非公開にする、待機室機能を使用する、画面共有を「ホストのみ」に設定するなどの方法があります。
• 常に最新のバージョンに更新する。最新版は、攻撃者に狙われる恐れのある、ソフトウェアの脆弱性に対処されています。Zoomの利用者であれば、最新のバージョン5.0に更新してください。

■トレンドマイクロの対策

トレンドマイクロは、上記のベストプラクティスに加えて、以下のセキュリティソリューションを推奨します。

• Trend Micro Apex One―巧妙化し続ける脅威に対して高度な検出と自動対処を提供します。
• Trend Micro XDR―AIの活用とお客さま環境からのデータとトレンドマイクロのグローバル脅威インテリジェンスを組み合わせることで、より的確かつ早期の脅威検出につなげることができます。

企業や組織は、多層的なアプローチをセキュリティに導入することによって、このような脅威からユーザを保護することができます。

■侵入の痕跡（Indicators of Compromise、IoC）

侵入の痕跡（Indicators of Compromise、IoCs）はこちらを参照してください。

 ※調査協力：Raphael Centeno、Mc Justine De Guzman、Augusto Remillano II

参考記事：

• 「WebMonitor RAT Bundled with Zoom Installer」
  By Trend Micro

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

当社では各種IoTマルウェアに関する脅威動向のリサーチを継続的に行い、得られた知見を製品に活かしています。今回、IoTマルウェア「Mirai」とその亜種に関するリサーチの中で、新型コロナウィルス感染症(COVID-19)をモチーフにしているC&Cサーバと、これまでは見られなかったリサーチ妨害手法を用いるC&Cサーバを発見しました。

通常、Mirai 亜種の C&Cサーバは、接続するとユーザ名とパスワードの入力を求めるログインプロンプトを表示します。表示されるログインプロンプトの表示は様々で、シンプルなものや、カラフルなアスキーアートを使ったものなどがあります (なお、リサーチにあたってはユーザ名やパスワードは一切入力せず、C&Cサーバの応答を見るための最小限の入力のみを送信しています)。

あるC&Cサーバでは、接続すると、新型コロナウィルス感染症(COVID-19)をモチーフにしたおどろおどろしいアスキーアートとともにユーザ名とパスワードを要求してきました。その後、「Researching Cure For COVID…」というメッセージが複数回表示されたのち、「Research Failed You Are Infected…」というメッセージを表示し、C&Cサーバとの接続が切断されました。攻撃者は、このようにC&Cサーバの表示内容に最新のトピックを取り入れることがあるようです。

また、別のC&Cサーバでは、接続すると簡単な計算問題を解くよう求められました。適当な入力を送信したところ、「Incorrect answer.」の表示とともにサーバから接続が切断されました。これは、リサーチャがC&Cサーバに接続してくることを妨害する意図があると考えられます。

計算式の正しい答えを入力すると、他のMirai亜種のC&Cサーバと同様のログインプロンプトが表示され、ユーザ名とパスワードを求められました。プロンプトには設定値と思われる項目が表示されており、このC&Cサーバに様々な機能を搭載している可能性が示唆されています。それぞれの設定項目の詳細な意味については今のところ判明していません。

このC&Cサーバは他のMirai亜種のC&Cサーバと同じくマルウェア配布サーバも兼ねており、マルウェアが格納されているディレクトリがオープンディレクトリになっていました(Backdoor.Linux.MIRAI.VWISY として検出)。実際にこのディレクトリで配布されていたマルウェアを入手し、マルウェアの中にXORで暗号化されているデータを復号したところ、「/bin/busybox Cult」といったMiraiの亜種であることを示唆する文字列が見つかりました。

さらに別の Mirai亜種のC&Cサーバでは、接続すると Captchaと称してトークンの入力を要求します。おそらく、このトークンはC&Cサーバの運営者から利用者に事前に配布されており、正しいトークンを入力することでログインプロンプトかコマンド入力プロンプトが表示されると推測されます。このC&Cサーバも、リサーチャによるプロンプトの観測を妨害する意図があると考えられます。

このように、いまだに新たなMirai 亜種のC&Cサーバが出現し続けています。このことは、Mirai亜種が感染を広げやすい、攻撃者にとって魅力的なIoTマルウェアであり続けていることを示しています。当社は引き続きMirai亜種をはじめとするIoTマルウェアの脅威動向について監視し、最新動向を追っていきます。

■被害に遭わないためには

Miraiもしくはその亜種となるIoTマルウェアは、IoT機器の脆弱性、もしくは脆弱な認証情報を利用して感染を広めます。自身が管理するIoT機器については、必ず認証情報を初期設定から変更してください。パスワードにはなるべく推測され難い文字列を使用して辞書攻撃や総当たり攻撃による不正アクセスを防いでください。正規ベンダからの更新プログラムは必ず適用し、攻撃に利用可能な脆弱性が存在しないようにしてください。またインターネットに露出させる必要のない機器はルータ配下に設置するなどにより、そもそも外部からアクセスできない状態で運用することを推奨します。

■トレンドマイクロの対策

トレンドマイクロの「Trend Micro Smart Home Network」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックします。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

トレンドマイクロは、2020年5月、Linuxの構成管理ツールを用いて感染拡大するコインマイナー(「Coinminer.Linux.SYSTEMDMINER.C 」として検出)を確認しました。今回確認されたコインマイナーは、Ansible, Chef, SaltStack, pssh といったインフラストラクチャの構成管理ツールを用いて、多数のホストに感染させるためのスクリプトを一斉に実行させます。このため、1台が感染すると、瞬時に内部ネットワークにある他のLinuxホストに感染を広げる可能性があります。

このマルウェアは大きく感染スクリプト、ワーム実行ファイル、マイニング実行ファイルの3つで構成されています。このマルウェアがどのように被害ホストに侵入するかは不明ですが、他のLinuxマルウェアと同じように、ホスト上で動作しているサーバアプリケーションの脆弱性を利用した攻撃や、パスワードブルートフォース攻撃などの手法で侵入後、感染スクリプトが送り込まれて実行される可能性が考えられます。

なお、このマルウェアは、先日360 Netlab Blogにて解析されていたマルウェアと似ていますが、別の亜種であることを確認しました。併せてこの記事も参照することを推奨します。（SystemdMiner,when a botnet borrows another botnet’s infrastructure）

■感染スクリプトの動作

初めに被害ホストで実行される感染スクリプトは、C&Cサーバに接続してワーム実行ファイルをダウンロードします。ここで、図 1に示すように、実行されるコマンドはbase64 で符号化された文字列になっており、実行時に復号します。(以下、図中で攻撃者の保持するホストなど、危険につながる文字列はマスクしてあります。)

そこで、このbase64文字列を復号すると実際に実行されるスクリプトがわかります。

このスクリプトを実行すると、TOR (The Onion Router) ネットワーク上にあるC&Cサーバにcurl コマンドを用いて接続し、ホストのアーキテクチャにあうワームの実行ファイルをダウンロードするようになっています。なお、確認時点では、x86_64 アーキテクチャに関するバイナリのみしかダウンロードできませんでした。続いて、ダウンロードしたデータを、dateコマンドの出力のMD5ハッシュ値をファイル名としたファイルに保存します。最後に、そのファイルに実行権限を与えて、実行し、削除します。

ここでダウンロードされた実行ファイルはダウンローダとワームとしての機能を持っていました。これについて以下で説明します。

■ワーム＋ダウンローダ

ダウンロードされた実行ファイルはUPXの変種でパッキングされていました。そこでパッキングを解除し解析を続けたところ、アンパック後の実行ファイルにはさらにbase64文字列を復号して実行するシェルスクリプトと見られる文字列が複数含まれていました。

これらの文字列は、復号したところそれぞれ異なる機能を持っていることがわかりました。これらの機能を以下の表に示します。

また、実行ファイルを解析したところ、これらのbase64文字列を復号したあと、シェルスクリプトとして実行するコードを確認しました。

この実行ファイルが実行するスクリプトのうち、スクリプト2では、ネットワーク上へのホストへ感染拡大する動作として、図 5に示すように、構成管理ツールとして著名な Ansible、Chef、SaltStack、pssh を悪用していることを確認しました。これらのツールはネットワーク上の多数のホストで、指定したスクリプトを一斉に実行する機能があり、このスクリプトではその機能を悪用して、瞬時に感染を拡大させることを意図しています。また、このスクリプトは、これらの構成管理ツールのみならず、sshで証明書を用いた (パスワード入力が不要な) ログインが可能なホストを列挙し、それらのホストに対するログインおよび感染コマンド実行も試行します。

また、スクリプト3において、他の攻撃者の使うマルウェアの終了や動作妨害を行っているという点も興味深い動作です。このマルウェアの作成者は過去に感染を広げたコインマイナーに対しての調査を行っていると考えられます。

スクリプト5において、C&Cサーバからダウンロードしたシェルスクリプトを確認したところ、CPUの使用率が高いプロセスや特定の文字列を含むIPアドレスに接続しているプロセスを検出して強制終了するスクリプトでした。ここで検出しているIPアドレスにはマイニングプールのアドレスが含まれています。従ってこのスクリプトは、コインマイナーが動作しているときに強制終了することを目的としていると考えられます。

■暗号通貨のマイニングを行う実行ファイル

前段のダウンローダがダウンロードする実行ファイルは、XMRig 5.11.1 のコードを内部に含む実行ファイルで、調査時点で最新のXMRigリリースが用いられていました。マイニングに関する設定は実行ファイル内部に保持されています。実行ファイルの内部の文字列を調べると、実行ファイルが接続するマイニングプールのURLを確認できます。この設定では、XMRigが匿名性の高い暗号通貨「Monero」をマイニングするよう設定されていました。

この実行ファイルは XMRig そのままではなく、プロセス名をランダムなものに変更したり、実行時に自身の実行ファイルを削除したりするなど、検出妨害のための改造がなされています。従って、攻撃者はXMRigのソースコードを入手して改造し、自分でビルドしたものと考えられます。

■まとめ

本記事で解説したマルウェアは、システムにインストールされている構成管理ツールを悪用して感染を広げる機能を持っていました。このように、攻撃者が侵入後に正規のツールを悪用してマルウェア感染を広げようとするケースは頻繁に発生しています。Linux、Windows問わず、リモートからのコマンド実行をパスワードなしで可能にするツールを利用する場合、悪用されるリスクを認識し、十分検討する必要があると考えます。

■被害に遭わないためには

Linux OSを狙うマルウェアはWindowsに比べれば少ないため、安全と考えている利用者の方は多いかもしれません。しかしそれはあくまでもWindowsと比較しての話です。逆に、安全を過信することにより必要な防護が行われていなかった場合、攻撃者にとって狙いやすい環境になってしまいます。2020年2月26日付の本ブログ記事でもお伝えしているように、Linuxを狙う攻撃者は実際に存在し、その被害は発生し続けています。特に法人においてサーバ用途で使用する場合、侵害のリスクを低減させる侵入防御、変更監視、仮想パッチなどの技術的対策を施すことが重要です。

■トレンドマイクロの対策

統合型サーバセキュリティソリューション「Trend Micro Deep Security」は、幅広いセキュリティ機能で攻撃者の侵入を防ぎます。特に、仮想パッチ機能によって脆弱性を狙う攻撃からサーバを防御します。トレンドマイクロ製品に組み込まれたクロスジェネレーション（XGen）セキュリティアプローチは、高度な機械学習型検索を活用しエンドポイントのデータとゲートウェイおよびアプリケーションを守ります。XGenは、従来の検出技術を回避し、既知、未知および未公開の脆弱性を突くなどの今日の目的に特化した脅威からユーザを保護します。

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery」は、ネットワーク内に侵入した標的型攻撃などの脅威による活動の兆候を可視化することができます。今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出できます。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体に対する相関分析を可能にします。

■侵入の痕跡（Indicators of Compromise、IoC）

今回の記事に関する侵入の痕跡はこちらを参照してください。

「アドウェア」はその名前が示すように広告を表示させるソフトウェアであり、普段あまり注目を集めることはありません。その多くは無害なものと考えられており、リスクについても低く評価されています。しかし今回トレンドマイクロでは、XDRを含むトレンドマイクロ製品により収集された証跡と検体の解析から、悪質ともいえる活動をアドウェアが行う例を多数確認しました。検出した複数のアドウェアで共通して観察された活動には、「子音と母音が交互に並ぶランダムなドメイン名」へのアクセス、スケジュールされたタスク、そしてWScriptを介したメモリ内実行など、自身の活動を効果的に隠ぺいする手法が含まれていました。中には少なくとも4年の間活動を継続していたとみられる事例もありました。

この記事では、最終的には相互に関連していることが判明した「Dealply」、「IsErIk」、「ManageX」、これら３つのアドウェアのイベントの解析結果について解説します。自身の活動を永続化させる手法や不正なドメインへ繰り返されるアクセスについて、「根本原因解析（root cause analysis 、RCA）」による調査を行い、３つのアドウェアが重複して感染することを証明する、いくつかの生成物について明らかにしています。

本調査ではまた、アドウェアがルーチンを完了するまでに数週間あるいは数カ月にわたってシステムに存在する方法と、アドウェアがシステムに侵入する方法を示す2つの例について解説します。たとえば、DealPly（ときにIsErIkと同一視される）や不正なChrome拡張機能であるManageXは、偽装するために正規のインストーラや、その他の「潜在的に迷惑なアプリケーション（PUA）」とバンドルされて侵入する場合があります。DealplyとIsErikは、別個のアドウェアとして解説される場合が多いため、本記事でもそれに倣い双方の技術的解析について別に説明します。

解析からは、これらのアドウェアの亜種が、発見されることを困難にするステルス手法や、疑わしい技術を使用して活動を実行する方法も確認されており、例えば、DealplyとIsErikは、リモートサーバからコードの一部をロードすることが可能です。マルウェアとしての活動は確認されていないとはいえ、悪質な目的に使用される可能性を無視することはできません。

■最初の検知指標

重なる検出に加えて、トレンドマイクロのManaged XDRを導入している多くの企業や組織にも多大な影響を及ぼしていたことから、調査を助ける多くの証跡が集まりました。この調査では、毎日のように解析される何千ものログの中、生成されるアラートの数と反復される活動によって際立っていた3つの持続的なログを最初の検知指標としました。

（１）特徴的なURL：
以下はアドウェアがアクセスするURLの例です。この事例に関連するURLの多くは、ここで示すURLと類似していました。 トレンドマイクロは最終的に、このURLと、「JS.MANAGEX」（「Bujo」としても知られるブラウザ拡張）との関連を確認しました。確認されたドメイン名の全一覧とその他の「侵入の痕跡（Indicators of Compromise、IoC）」は、こちらを参照してください。

（２）タスク名の偽装：
自身の活動を持続可能なものとするためにスケジュールされたタスクは、検索エンジンを偽装する（IsErIkの場合「Yahoo! Powered {ランダムな名前} .job」など）か、GUIDのように見える名前を使用します（DealPlyの場合）。

（３）WScriptの利用：
.txtファイルとして保存されたJavaScript（「Adware.JS.DEALPLY.SMMR」として検出）は、Windowsの標準機能であるWScriptを介して実行されます。実行の際には、16進エンコードされたパラメータと、共通の文字列「-IsErIk」が使用されます。

以下に、上述の検知指標を示した2つの調査例を通して確認された特徴的な点を解説します。

■調査例1：2020年2月感染事例の根本原因分析

以下は、Managed XDRが監視するエンドポイントにおける、最近の感染の根本原因分析（RCA）を簡易的に表したものです。 Dealply、ManageX、そしてSegurazo Fake AVなど他のPUAが、どのように一度のインストールでバンドルされるかを示しています。

感染は、email_open_view_pro_free.exeという名のファイルから始まっていました。このファイルは、explorer.exeから起動されたことから判断すると、ユーザが手動で実行したようです。ファイル名からわかるように、一見正規のものに見えるインストーラまたはフリーウェアとしてインターネットからダウンロードされた可能性があります。

email_open_view_pro_free.exeファイルは、以下の2つの新しいプロセスを作成します。

• 「Segurazo.exe」－偽アンチウイルスソフトのインストーラ（「PUA.MSIL.Segurazo.SMCS」として検出）。 なお、「segurazo」はポルトガル語で「セキュリティ」を意味する
• 「danuci.exe」－DealPlyの検知指標となるファイルをさらに作成する

DealPlyには通常、子音と母音を交互に並べたランダムなファイル名がつけられています。 「danuci」、「netenare」といった名前がファイル名に利用されていた場合、DealPlyが疑われます。

次に、netenare.exeファイルは2つの.datファイルを作成し、それらを結合してsyncversion.exeを形成します。このファイルもDealPlyとしても検出されます。実行ファイルは、サーバpajuwu＜省略＞com（DealPlyバイナリによって生成されることが確認されているドメイン）へのアクセスも開始します。

簡略図では、重要であると考えるノードについて以外表示されていませんが、例えば、danuci.exeはnetenare.exeの他に、次のようなファイルも作成します。

簡単なGoogle検索により、2つのChrome AppIDが、Chrome拡張機能「ManageX」で使用されているドメインにつながりました。ManageXは、不正なChromeブラウザの拡張機能を使用して、ユーザのブラウザの使用履歴を追跡し、C＆Cドメインと通信します。ManageXの詳細については、さまざまな許可やアクセスするC＆Cサーバなど、Chrome拡張などの内容が記載される脅威データベースを参照してください。

■調査例2：長期間にわたる感染事例

調査した別の事例では、顧客環境のあちこちから同じドメインが観察されました。ドメインはトレンドマイクロのURLフィルタによって簡単に検知可能であったため、この時点ではすでに検知指標が獲得されており、いくつかのエンドポイントで詳細な解析をすることができました。

調査結果によると、環境内のコンピュータは2016年には既に感染していました。数年前ではあるものの、アドウェアの活動状況とタイムラインについての理解を深めることのできる2016年の感染の詳細解析は依然として有用であると考えました 。

最初に気付いたのは、DealPlyとIsErik両方の、スケジュールされたタスクの存在です。以前の感染事例から、通常、DealPlyはGUIDのような.jobファイル名を作成し、IsErikの場合は検索エンジンに関連するものを使用することが確認されています。この調査では、検索エンジンを利用したファイル名を確認しました。

時間範囲を特定した後、ファイルシステムでの検索を開始しました。検索の結果、同じエンドポイントで、関連があると思われる複数の不審なファイルが見つかりました。

ファイルのタイムスタンプをさかのぼって調査したところ、最も古い不審な検知指標は、2016年6月に作成された%AppData%\Local\{F440C21C-D0E8-AEA4-BD70-8B4C991877D4}であることが確認されました。

ファイルシステムのMFT（マスターファイルテーブル）のタイムラインを使用して、解析するためconf.dbという1つのファイルが特定されました。このファイル自体は無害であり、不明なMD5ハッシュが含まれているのみです。調査例1と同様に、このファイルが他のインストーラにバンドルされて侵入した可能性を示唆しています。

●2016年7月のタイムラインにさかのぼる

このファイルのインストール中に何が起こったのかを調査するには、スケジュールされたタスクで始まるイベントを解析する必要があります。「Yahoo! Powered ronof.job」は、以下を実行します。

上記をデコードすると、以下になります。

つまり、スケジュールされたタスクがトリガーされると、「C:\ProgramData\{9D025861-1740-D2A7-9186-4CE50BC4C72B}\sole.txt」が、wscript.exeを介してJavaScriptとして実行されることを意味しています。しかし、解析時このファイルは存在せず、実行後に削除されたものと考えられます。次に、ファイルsole.txtが以下のパラメータで呼び出されます。

• http://wagng＜省略＞com
• C:\ProgramData\{9D025861-1740-D2A7-9186-4CE50BC4C72B}\nifora
• C:\ProgramData\{9D025861-1740-D2A7-9186-4CE50BC4C72B}\neteden
• –IsErIk

トレンドマイクロは、これに類似したJavaScriptを「Adware.JS.DEALPLY.SMMR」として検出します。この「Advanced Persistent Adware」（高度な持続的アドウェア）は、IsErIkと呼ばれることもあります。

アドウェアが最初にチェックするのは、JavaScriptが最後の引数「-IsErIk」で呼び出されたかどうかです。そうでない場合、スクリプトの実行は終了します。これは解析回避のための活動と言えます。そのコードによると、ファイルaowLCはアドウェアの最終更新時の指標としての役割を果たすと考えられ、ファイルの最終変更日が使用されます。

すべての条件が満たされた場合、スクリプトは、次の2つのファイルが読み取られた残りのコードへと進みます。

• hdat2－URLに渡されるパラメータを表す16進エンコードされた文字列が含まれる （「?v=2.2&pcrc=167877582&rv=4.0」）
• hdat1－このファイルの内容は、スクリプトが呼び出されたときにパラメータとして指定されたサーバに送信される

スクリプトの主な目的は、HTTP POSTを介してパラメータで指定されたサーバ（ここでは、wagng＜省略＞com）と通信し、サーバが応答したときにメモリ内で別のスクリプトを実行することです。サーバからの応答は、カスタムの復号ルーチンを使用してデコードされ、新しい関数として実行されます。

2016年7月2日、感染を示すマーカーであるファイルaowLCが作成されたのは、スケジュールされたタスクの丁度12時間後であることに気付きました。これは、IsErIkスクリプトが初めて実行された時間を示しています。このスケジュールされたタスクは、おそらく12時間ごとに実行されるように設定されていたと考えられます。この時点で、スクリプトはサーバから応答を取得できなかったため、aowLCはその日最後に作成されたファイルとなります。 ただし、7月30日と11月18日にはスクリプトがサーバに接続することに成功し、DealPly関連のファイルが作成されることになります。

先述したタイムラインからもわかるように、新しいアドウェアのファイルのインストールは2017年9月まで継続していました。

●何層もの難読化

アドウェアの亜種がなぜこのような複雑なインストール方法を利用するのか探るために、解析可能な残りのファイルを調査しました。そして、特に興味深い、暗号化されたPEファイルがいくつか見つかりました。 1つには、次のようなものがあります。

解析の結果、rino.datとrino (1).dat はどちらもDealPlyのインストーラの更新されたコピーであることがわかりました。調査例1のnetenare.exeと同様に、2つの.datファイルを作成し、それらを結合して実行可能ファイルを形成します。以下は、新しく形成された実行ファイルに使用される、最も一般的なファイル名です。

• Sync.exe
• Synctask.exe
• Syncversion.exe
• Updane.exe
• Updater.exe
• UpdTask.exe

この後、スケジュールされたタスクが作成され、新しい実行ファイルがスケジュールどおりに実行されます。2017年1月18日のタイムラインでは、作成されたファイルは「sync.exe」で、対応するスケジュールされたタスクは「{3CB9B109-866A-591E-48D3-17289C7F88F1}.job」でした。場合によっては、実行ファイルとして自動起動される「RunOnce」を作成するためにVBScriptが使用されます。

通常、これらの新しく作成された自動実行ファイルは、リモートサーバにも接続します。別の事例で解析した検体では、サーバはHTTP POSTを介して以下の情報を送信した後、XORで暗号化されたDLLで応答しました。

解析中、DLLファイルはディスクに保存されませんでした。つまり反射型の DLL 読み込み（reflective loading）であったことを示唆しています。また、以下のファイルが作成されます。これらのファイルは、上述のタイムラインからも確認されています。

• info.dat
• TTL.DAT
• WB.cfg

これらのファイルは実行ファイルではなく、インストールの日付や最後のオペレーティングシステム（OS）などのインストールの詳細のみが含まれています。最終的に、DLLは別の.datファイルをダウンロードします。残念ながら、テストした際にはダウンロードの応答を得ることができませんでした。タイミングシーケンスからは、sb953.datおよびsb703.datが応答である可能性が推測されます。

DealPlyのネットワーク通信とその他の興味深い動作については、セキュリティチーム「Ensilo」（現在の「Fortinet」）によって詳しく解説されています。

●隠された事実

他の暗号化されたファイルもPEファイルでしたが、ヘッダに違和感があります。

復号コードがないためこれらのファイルを完全に復号することはできませんが、最終的に、各文字がASCIIテーブルの別の文字と交換される変換機能を使用することによって、ファイルから文字列を抽出する方法を見つけ出しました。たとえば、「c」は「x」と入れ替えられ、「F」は「L」と入れ替えられるといった具合です。各ファイルは異なる変換テーブルを有します。以下は、この方法で暗号化されたファイルの一部です。

DealPlyに感染したほとんどのコンピュータのアドウェアのフォルダには、Sqlite3.dll（無害なファイル）が存在していました。SQLiteは広く使用されているデータベース形式です。偶然にも、暗号化されたファイル（bapi_ie.dat、bapi_chmm.dat、bapi_ff.dat）にはSQLite関連の文字列も含まれているため、データベース関連のタスクを実行するために利用される可能性があります。

完全には復号できなかったため、ファイルの目的を特定することはできませんでした。部分的に抽出された文字列から、また、解析でsqlite3.dllが観察された事実を併せて考慮すると、システム内のブラウザのSQLiteデータベースとの対話に使用される可能性が高いと考えられます。ChromeとFirefoxはSQLiteデータベースを利用してデータを保存するからです。

もう1つのファイルの組には、マルチプロトコルファイル転送ライブラリであるlibcurl関連の文字列が含まれています。つまり、HTTPS、HTTP、FTPなどの複数のプロトコルと接続する可能性があります。このライブラリが不正な目的で使用されたかどうかは不明ですが、Cybersecurity and Infrastructure Security Agency (CISA) の2018年のMalware Analysis Reportによると、これらの文字列は過去、サイバー攻撃集団「Hidden Cobra」によって利用されたマルウェアで確認されています。マルウェアはプロキシモジュールが着信接続を許可し、感染システムをプロキシサーバとして強制的に機能させるために利用されていました。

■解析から明らかになったアドウェアの特徴

• DealPlyとManageXは、一見、正規のものに見えるインストーラやPUAとバンドルされて侵入する可能性があります。別のコンピュータで、調査例1と同じ侵入手口が確認され、「Baixaki_Baixar Musicas Gratis_3890201077.exe」（ポルトガル語。Baixaki_Download Free Music_3890201077.exeの意味）と命名されていた。しかし、偽アンチウイルスソフト「Segurazo」はバンドルされていませんでした。
•  

調査例2にはソースに関する具体的な証拠は確認されませんでしたが、感染した日に作成されたファイルは、ソフトウェアをインストールするときにバンドルされていた可能性を示唆しています。

• アドウェアのインストール過程は高度にモジュール化されており、ルーチンはすぐには完了しません。解析によれば、サーバに接続成功するまでに、数週間から数カ月かかることがあります。
• 2つのファイルを結合して別のファイルを形成する手法は、バイナリのフラグメンテーション（断片化）と呼ばれ、検出を回避するために利用されます。セキュリティ企業「Carbon Black」は数年前、この手法がOperation Aurora（オーロラ作戦）でどのように利用されたかについて発表しました。以下は、解析した例で見られたフラグメンテーションの例です。

さらに、Carbon Black のリサーチャは、攻撃者がランサムウェアやその他のマルウェアの配信メカニズムとして、DealPlyなどの既知のアドウェアを使用していると確信しています。DealPlyに感染したコンピュータがランサムウェアにも感染している事例は複数観察されていますが、それらの相関関係を証明する具体的な証拠はありません。とはいえ、モジュール化されているこのアドウェアは、マルウェアを密かに配信するエージェントとして便利に利用することができると言えます。

■世界的な分布

トレンドマイクロの調査からは、PUAのインストールが広範囲にわたって確認されており、米国、日本、台湾が上位に挙がっています。IsErIkの数値は、コマンドラインパラメータ「–IsErIk」を検出する動作監視に基づくものですが、DealPlyとManageXの数値は、トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network（SPN）」の統計に基づいています。

3つのアドウェアすべての検出数上位の業界は一貫して、教育、政府、製造業界です。

■DealPly、IsErIk、ManageXの関連性

調査開始時には、スケジュールされたタスクや、サーバの命名方法などに共通の特徴が見られるとはいえ、３つのアドウェアを別個のものと見なしていました。しかし、Managed XDRによって、３つのアドウェアを関連付けることに成功しました。また、世界的なデータと一致するかどうかを確認するために、SPNからさらに情報を収集しました。

個々の検出の数は非常に多くなりますが、これらのアドウェアの2つ、あるいは3つが重複している数百から数千の例は偶然とは考えられません。また、検出数は検出対象範囲による影響を受けている可能性があります。これは、複数のパターンによって検出されるDealPlyの数値が大きくなることを意味します。

トレンドマイクロは、これらの亜種を多数検出するため、感染のほとんどが完全にインストールされる前にすでにブロックされている可能性があります。従って図に示されている数値は、実際の数値よりも少ないと言えます。解析の結果に加えてこの点を考慮すると、３つのアドウェアが一般的に共存している可能性は高いと考えています。

また、アドウェアによって使用されるC＆Cサーバの関連を調査しましたが、大部分は完全に分断されていました。類似性があったのは2組だけでした。

ネットワークインフラストラクチャの重複部分が少ないため、3つのアドウェアが関連していると結論づけるには弱すぎます。しかし、ドメインがイスラエルのレジストラGalcommのプライバシー保護サービス（domainprivacy@galcomm[.]com）を通じて登録されたことは言及する必要があります。数年前、ニュースサイト「Ars Technica」は、オープンソースソフトウェアの開発・ダウンロードサイト「SourceForge」が画像編集ソフト「GIMP for Windows」をアドウェアとバンドルした時に記事を発表しました。GIMPのインストーラにも同様のアドウェアがバンドルされており、これもGalcommのプライバシー保護サービスを通じて登録されていました。

■結論

アドウェアやPUAへの対策は普通、バックドア、ランサムウェアといった脅威への対策よりも優先度が低いものとみなされています。しかし、SOC（Security Operation Center）の解析者の目から見るアラートの処理は、そのようなものではありません。ホストはなぜ突然コマンドアンドコントロール（C＆C）サーバと通信を開始したのか、脅威はどのように侵入したのか、なぜセキュリティ対策をすり抜けたように見えるのか、といった疑問点を分析します。

一見無関係に見える、C＆Cサーバに接続しようとするホストの反復的なアラートと、優先度の低い脅威であるアドウェアの繰り返される検出から、次の3つのポイントが導き出されました。

• 脅威は、永続性を取り入れ、洗練された手法を採用し、変化し続けています。個々のイベントを単一のタイムラインにリンクすることは難しい課題です。オープンソースインテリジェンス（OSINT）を以てしても、解析者は関連性をわずかに理解することができるだけで十分ではありません。セキュリティ専門家を活用することによって、意味のあるアラートを提供し、セキュリティチームの負担を軽減することができます。
• 脅威のより高度な分析や調査のためには「XDR」のアプローチが効果的です。エンドポイントから収集された情報だけでなく、ゲートウェイやネットワークの情報も併せて分析することで、自身を巧妙に隠ぺいする脅威を監視および検出することが可能になります。
• 注意深く観察することによって詳細が徐々に解析され、攻撃がどこから発生したか、その感染経路、そして対策の戦略が導き出されます。したがって、確認された詳細をスピーディに対策へと生かすことが、あらゆる企業や組織のセキュリティ体制を迅速に改善するための鍵となります。

■トレンドマイクロの対策

巧妙化する今日の脅威から組織のユーザやインフラストラクチャを保護するには、高度なセキュリティを実装するだけでなく、防御の穴から侵入する脅威に迅速に対応できる機能が必要です。高度な保護を何層に重ねても 、脅威の侵入を100%防げる保証はありません。たった 1 つの脅威 がうまくすり抜けるだけで、組織に重大なリスクがもたらされるのです。重大で広範に及ぶ損害を防ぐためには、脅威の侵入をできる限り阻止することに加え、もしも脅威が入り込んだ場合には迅速に検知、対応することをゴールとして定める必要があります。現在、多くの組織では、エンドポイントから、サーバ、ネットワーク、メール、クラウドインフラストラクチャまで、脅威を検知するため に複数のセキュリティレイヤーを個別に導入しているため、脅威の相関分析や優先順位付けをする方法がほとんどないまま、脅威情報 のサイロ化と対応に過剰な負荷を招きます。これらの個別のソリューションを横断して脅威を調査するには、断片的かつ手動のプロセス が求められ、可視性と相関性が欠けるため脅威を見逃すことになりかねません。多くの Detection & Response ソリューションはエンド ポイントのみを監視しており、ユーザのメール、ネットワーク、サーバから侵入する脅威を見逃しています。そのため、侵害に対する視 野が狭く、対応も不十分になります。組織全体に影響を与える脅威の全体像を正確に把握するには、エンドポイントだけでなく、メー ル、サーバ、ネットワーク、クラウドワークロード全体で Detection & Response の機能が統合されていることが重要となります。 Detection & Response はすべての組織にとって必要不可欠なセキュリティ要件ですが、実際には、ほとんどの組織でリソースとスキル に制限があります。近年の Detection & Response ソリューションには、非常に多くの時間と専門知識を有するリソースが必要ですが、 ほとんどの組織で十分とは言えません。

Trend Micro XDR は、Detection & Response をエンドポイントだけでなく、より広範な可視性と専門的なセキュリティ分析を提供するこ とで、より多くの脅威の検知と早期の迅速な対応を実現します。XDR により、お客さまはより効果的に脅威に対応し、侵害の重 大度と範囲を最小限に抑えることができます。

参考記事：

• 「Exposing Modular Adware: How DealPly, IsErIk, and ManageX Persist in Systems」
  By RonJay Caragay、Fe Cureg、Ian Lagrazon、Erika Mendoza、Jay Yaneza （Threats Analysts）

翻訳： 室賀 美和（Core Technology Marketing, Trend Micro Research）

トレンドマイクロでは、「Twin Flower（ツインフラワー、注：中国語「双生花」を意訳したもの）」の新しい活動を確認し、これに関連する検体「PUA.Win32.BoxMini.A」、「Trojan.JS.TWINFLOWER.A」、および「TrojanSpy.JS.TWINFLOWER.A」の解析を行いました。Twin Flowerの活動は、中国のキングソフト社のセキュリティリサーチャーが2018年に公開した調査によって初めて確認されました。今回確認されたファイルは、不正サイトにアクセスした際にユーザが気づかないうちにダウンロードしてしまうか、別のマルウェアによってコンピュータ上にドロップされてしまうと考えられています。今回の調査から、Twin Flowerキャンペーンでは、ブラウザからの情報窃取と共に、特定サイトへのアクセスを不正に操作することで不正なWeb検索結果の操作や広告収入獲得のための活動が行われていることがわかりました。

PUA（潜在的に迷惑なアプリケーション、Potentially Unwanted Application）ファイル「PUA.Win32.BoxMini.A」は、ユーザの同意なしに音楽ファイルを自動的にダウンロードする、音楽ダウンローダの構成ファイルもしくは主要な実行可能ファイルです。 複数のファイルを作成し、以下のプロセスをコンピュータ上に追加します。

• %System%\cmd.exe /c “%User Temp%\RarSFX0\start.bat”
• %User Temp%\RarSFX0\{マルウェア名}

このPUAは、MP3ファイルの詳細の取得、MP3ファイルのダウンロード、関連画像の取得、そしてユーザの「My Music」フォルダに保存するために、さまざまなリンクに接続します。 また、MP3関連のダウンロードに使用されるURL以外にも、不正なものとみられる他のURLとも通信します。

不正ファイル「Trojan.JS.TWINFLOWER.A」および「TrojanSpy.JS.TWINFLOWER.A」は、特定の動画サイトに対するクリック数の増加と関連するURLに接続しようとします。これは、不正に動画サイトのアクセス数を増加させるために行われ、検索エンジン上でのランキングを伸ばし、主流な動画サイトからの広告収入を増やすものです。加えて、マルウェアがコードをダウンロードしてコンピュータ内に挿入する可能性があるため、これらの不正ファイルはより大きな被害を与える恐れがあります。

「Trojan.JS.TWINFLOWER.A」は、URLに接続して、保存時に名前が変更されるファイルをダウンロードします。 また、他のURLにも接続してサイトの閲覧数を向上させます。この検体は、実行されたコンピュータ上のプロセスを調べ、以下のようなトラフィックの検証、分析、およびデバッグのプロセスが実行されていると判断した場合、ダウンロード機能を実行しません。

• chkencap.exe
• dbg.exe
• fiddler.exe
• HipsDaemon
• hookme.exe
• httpanalyze
• networktrafficview.exe
• sniff.exe
• softice.exe
• tcpmon
• windgb.exe
• wireshark.exe
• wsockexpert

「TrojanSpy.JS.TWINFLOWER.A」は、70件を超えるURLに関連付けられたブラウザのCookie情報を収集し、データ窃取を行います。これらのURLには、エンターテインメント、健康、テクノロジー、研究、そしてその他の話題に関連するいくつかの人気Webサイトが含まれます。そして、この活動で確認されたほとんどのWebサイトが、中国語表記となっていました。データ収集後、この検体は窃取した情報をURLに送信します。また、マルウェアはURLに接続して、これらのサイトへのアクセス数を増加させます。

■被害に遭わないためには

インストーラやその他のファイルなどをダウンロード可能な不正サイトは、悪名高いマルウェアの感染源となっています。ほとんどのユーザが、公式Webサイト上でダウンロードを行うべきだという認識を持っています。しかし、サイバー犯罪者は、正規サイトの見た目をほぼ完璧に模倣したり、コロナウイルス（COVID-19）の世界的感染拡大などの最新の事例を利用してユーザを騙したりすることで、偽サイトを見分けるのをより困難なものにします。

■トレンドマイクロの対策

不正な活動への監視を維持することに加えて、多層セキュリティを提供するソリューションを採用することで、セキュリティ上の脅威からすべてのコンピュータを確実に保護します。

※調査協力：Bren Matthew Ebriega、Shawn Moreño、 William Gamazo Sanchez

参考記事：

• 「“Twin Flower” Campaign Jacks Up Network Traffic, Downloads Files, Steals Data」
  By Trend Micro

翻訳： 下舘　紗耶加（Core Technology Marketing, Trend Micro Research）