パイヴィ・テュンニネン
昨日の午前9:00から深夜0時(GMT)までの間に、3回の大規模なマルウェアスパム攻撃が確認された。その規模は、添付ファイル付きのスパムの1日の平均発生数を大きく超えるものであった。これらのキャンペーンの送信先は、ほとんどがco.uk(TLD)のメールアドレスのアカウントであった。
グラフのタイムゾーンはヘルシンキ時間
1回目のキャンペーンは8:30(GMT)から始まり、メールの件名は「Your Booking 938721(ご予約番号 938721)」(数字は変動)などであった。メールの本文には、予約確認の非常に長い文章と共に、添付のドキュメントを印刷しておく必要がある、と書かれている。以下を参照。
添付ファイルは、.zipまたは.rar形式の圧縮ファイルが入った.zipファイルである。二重に圧縮されたファイルは、バンキング型トロイの木馬Dridexのローダのバイナリをダウンロードして実行するvbsのスクリプトか、同じDridexバイナリをダウンロードするためのQuantローダのバイナリのいずれかである。
2回目のキャンペーンは13:30(GMT)頃に始まり、メールの件名は「uk_confirmation_ph948261563.pdf」(数字は変動)などで、1回目と内容的に似たものとなっている。添付ファイルは、同じく二重に圧縮されたzipファイルだが、こちらには中間ダウンローダマルウェアは入っておらず、中身は、Dridexローダのバイナリと、操作の指示が記されたテキストファイルとなっている(その指示に従うと感染してしまう)。
3回目のスパムキャンペーンは、18:00(GMT)の少し前から始まり、メールの件名は「Emailing: P2993995.JPG」(数字は変動)などで、二重に圧縮されたzipファイルが添付されている。メールの本文は、メールサーバから送り返されたメールであるかのような印象を与えるものだ。圧縮ファイルは2回目のキャンペーンと似ており、中身は、Dridexバイナリと、バイナリの実行が必要である旨が記された短いテキストファイルである。
今回のDridexバンキング型トロイの木馬のキャンペーン(キャンペーンID 7200)は、バークレイズ、ロイズ、およびサンタンデールなど、英国の複数の銀行の顧客を標的としている。
このローダは、以下のアドレスへ通信(Phone Home)を行う。
・8.8.247.36:443
・81.12.229.190:8043
・107.170.0.14:8043
・37.120.172.171:4143
IoC:
7f4aec2a738d13f4e0882ae917578f9176aab05d
32b442717c22a1e84d6eafbb20d794f781db4f05
694266450ffedf4008f0cf0e5573c63c56f2e5d0
e815d6b25675629a85d64a1f2d450da02c8cc579
- 299cd2cd9f4942b143c51e6d1e10ea240edcd65a
4379ab1633143b855e553d507366104c9d51b20d
5f9f46f34fdaceb6b2bb74043eb6cbbd2657fe16
7e3b81248835d59cfa780a315836694950fbc88c
9baf8662843220f52d0d5797efc70f886e60138f
- 9bddc3695c7272f3d848afe7a763d61497e518ab
d4ea89cfd13794c8c79625e74e6f4e44be9bfa27
176e33b265829b7c1922be76652ec254148eb278
4f60ec876a7b59d547c01977bb13aba95114290b
baf1d46ffeae15faffc6a905a2b6797bf06d0734
- 71792564c59392c6f875c18bb62b7f501ba48a5d
feebdfc11a48fb72497683aa9a3447256ea04fb2
1f98860ad4fd5b8e59069a069735864f5756bc70
2fc7a8b3fabc1c4824fd5eebd9150a7f6efce740
637d81336b0734b43fe724c7b5411bb428dec54a
- e13fbb78710f6b3fa1981b9e958494b1f6de6d16
f2592c565e0e3483e7aae18863e3f0558a78ba1f
539af507be8ca297ce0aa14054b31a93a5998c0e
9a418586f2741f47e7e827e67d83d6ff7ca45ab0
cc5a97d500161cd80eec1cab210583cdff003c2c
- 155863bcd4ea677986beb13b1e519f3f71cf2183
hxxp://solucionesfenix[.]net/33f3v3.exe
hxxp://nzhat[.]net/9jgtyft6
当社が、これらの脅威から検知したものは以下の通りである。
- Trojan-Downloader:VBS/Kavala.Z
- Trojan:W32/Dridex.O!DeepGuard
- Trojan:W32/Crowti.A!DeepGuard
- Trojan.Agent.CFKS
- Trojan.Agent.CFKI
カテゴリ