パイヴィ・テュンニネン
先週の初め、二重にzipされたJScriptファイルを配信しているスパムキャンペーンに気付いた。キャンペーンが始まったのは9月8日である。メールの件名は「RE:[受信者の名前]」、本文は空で、「[受信者の名前][a-zのうちの4文字].zip」という名前のzipファイルが添付している。
メールの特徴、添付ファイルの名前、およびサンプルで使用されている難読化の手法は、以前にCerberランサムウェアがばらまかれた際に見られたものに似ていた。1つのサンプルをテストしてみた結果は、不快な驚きであった。Cerberとはまったく似ていなかったのだ。
決してCerberではない
テストしたサンプルの最終的なペイロードはLockyランサムウェアであった。これは意外な発見である。Lockyは、より大規模なまったく異なるキャンペーンにおいてNecursボットネットによってばらまかれることが知られているからだ。このキャンペーンは1週間続いたが、1日当たりせいぜい数十件のサンプルが確認されるだけだった。さらに詳しくキャンペーンの分析を行ったところ、その週の間に添付ファイルに小規模な微調整が施され、アップデートされていることが分かった。
8日の夕方に配信された最初の添付ファイルは、難読化されたJScriptダウンローダであった。このタイプのファイルの配布は数日続いた。2日後、次に急増した時点では、JScript Encodedスクリプトファイル(.jse)での、同じように難読化されたJScriptダウンローダが配布されるようになっていた。その後、このキャンペーンは、暗号化されたJScriptファイルをばらまき続けたが、重要な文字列のカスタムなXOR暗号化をサポートするべく難読化が変更されていた。最後のアップデートでは、ダウンローダのサイズはコメントで倍増し、配布数が急増している。
また、接続先のURLも、以前のCerberキャンペーンで見られたフォーマットに従っていた。全体として、これらのサンプルは、.topドメイン(TLD)下で登録されている7つのドメインに接続した。これらのドメインは2つのIPアドレスに変換され、?f=[1-7のうちの1つの数字].binという形式のそれぞれ異なる7つのクエリパラメータを持っていた。クエリは配信されたサンプルにハードコーディングされており、サンプルの25%はクエリパラメータ1のドメインに接続していた(比較すれば、パラメータがランダムに生成されるとすると、配信の割合は25%ではなく14%になるだろう)。
URLをさらに詳しく分析したところ、クエリパラメータ2~7のすべてのドメインで、同じLockyのサンプルが配信されたことが分かった。クエリパラメータ1はCerberランサムウェア用に割り当てられていた。
おそらくCerberである
他のたちの悪いマルウェアとともに同じキャンペーンでCerberが配布されたのは、これが初めてではない。5月のCerberでは、Dridexバンキング型トロイの木馬と配布フレームワークを共有していた。今回のキャンペーンは、その週の間にドロッパに複数の小規模なアップデートを行う試験段階だったようであるが、ともかく、同じキャンペーンで2つの異なるランサムウェアが見られたことは珍しいことであった。
IoC:
カテゴリ