コンテンツを開く

テーマのトレンド

決してCerberではない

パイヴィ・テュンニネン

先週の初め、二重にzipされたJScriptファイルを配信しているスパムキャンペーンに気付いた。キャンペーンが始まったのは9月8日である。メールの件名は「RE:[受信者の名前]」、本文は空で、「[受信者の名前][a-zのうちの4文字].zip」という名前のzipファイルが添付している。

locky-cerber-spam-sample

メールの特徴、添付ファイルの名前、およびサンプルで使用されている難読化の手法は、以前にCerberランサムウェアがばらまかれた際に見られたものに似ていた。1つのサンプルをテストしてみた結果は、不快な驚きであった。Cerberとはまったく似ていなかったのだ。

locky-screenshot

決してCerberではない

テストしたサンプルの最終的なペイロードはLockyランサムウェアであった。これは意外な発見である。Lockyは、より大規模なまったく異なるキャンペーンにおいてNecursボットネットによってばらまかれることが知られているからだ。このキャンペーンは1週間続いたが、1日当たりせいぜい数十件のサンプルが確認されるだけだった。さらに詳しくキャンペーンの分析を行ったところ、その週の間に添付ファイルに小規模な微調整が施され、アップデートされていることが分かった。

locky-cerber-spam-stats

8日の夕方に配信された最初の添付ファイルは、難読化されたJScriptダウンローダであった。このタイプのファイルの配布は数日続いた。2日後、次に急増した時点では、JScript Encodedスクリプトファイル(.jse)での、同じように難読化されたJScriptダウンローダが配布されるようになっていた。その後、このキャンペーンは、暗号化されたJScriptファイルをばらまき続けたが、重要な文字列のカスタムなXOR暗号化をサポートするべく難読化が変更されていた。最後のアップデートでは、ダウンローダのサイズはコメントで倍増し、配布数が急増している。

また、接続先のURLも、以前のCerberキャンペーンで見られたフォーマットに従っていた。全体として、これらのサンプルは、.topドメイン(TLD)下で登録されている7つのドメインに接続した。これらのドメインは2つのIPアドレスに変換され、?f=[1-7のうちの1つの数字].binという形式のそれぞれ異なる7つのクエリパラメータを持っていた。クエリは配信されたサンプルにハードコーディングされており、サンプルの25%はクエリパラメータ1のドメインに接続していた(比較すれば、パラメータがランダムに生成されるとすると、配信の割合は25%ではなく14%になるだろう)。

URLをさらに詳しく分析したところ、クエリパラメータ2~7のすべてのドメインで、同じLockyのサンプルが配信されたことが分かった。クエリパラメータ1はCerberランサムウェア用に割り当てられていた。

cerber-screenshot

おそらくCerberである

他のたちの悪いマルウェアとともに同じキャンペーンでCerberが配布されたのは、これが初めてではない。5月のCerberでは、Dridexバンキング型トロイの木馬と配布フレームワークを共有していた。今回のキャンペーンは、その週の間にドロッパに複数の小規模なアップデートを行う試験段階だったようであるが、ともかく、同じキャンペーンで2つの異なるランサムウェアが見られたことは珍しいことであった。

IoC:

ioc

カテゴリ

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

ありがとうございます。登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。