Forcepoint Security Labs™は、最近、Carbankの犯罪集団に結びついたトロイの木馬のRTF文書を調査しました。 このドキュメントには、以前のCarbanakマルウェアに特有の、エンコードされたVisual Basic Script(VBScript)が含まれています。 最近のマルウェアのサンプルには、コマンドと制御(C&C)通信にGoogleサービスを使用する機能が含まれています。 Forcepointは、この情報をGoogleに通知し、追加情報を共有するためにGoogleと協力しています。
Carbanak(Anunakとも呼ばれる)は、2015年に最初に公開された金銭的に動機づけられた犯罪者のグループです。俳優は、通常、標的とするマルウェアを使用して金融機関から盗みます。 最近、マルウェアを配布するために、ミラー化されたドメインでホストされている武器化されたオフィス文書を使用していた場所で、「デジタル盗作者」と呼ばれる新たなCarbanak攻撃キャンペーンが公開されました。
兵器化されたドキュメント
解析したRTFドキュメント(SHA1 1ec48e5c0b88f4f850facc718bbdec9200e4bd2d)には、VBScriptファイルを含むOLEオブジェクトが埋め込まれています。 文書が開かれると、対象ユーザは画像として偽装された埋め込みOLEオブジェクトをダブルクリックするように誘惑される。
イメージをダブルクリックすると、 “unprotected.vbe”のファイルが開くダイアログが表示されます。 ユーザーがこのファイルを実行すると、VBScriptマルウェアが実行されます。
エンコードされたVBSCRIPTマルウェア
RTFドキュメント内のVBScriptマルウェア(SHA1 cd75662751c59951717b4704ea2cdb6fb7ec19bc)は、エンコードされたVBScriptファイルです。 このスクリプトをデコードし、CarbanakグループのVBScriptマルウェアに特有の特徴を発見しましたが、新しい「ggldr」スクリプトモジュールが追加されました。
このモジュールは、マルウェアによって使用される他のさまざまなVBScriptモジュールとともに、メインのVBScriptファイル内でbase64でエンコードされます。 このスクリプトを分析したところ、C&CチャネルとしてGoogleサービスを使用できることに気付きました。
C&CコミュニケーションのためにGoogleを悪用
“ggldr”スクリプトは、Google Appsスクリプト、Googleスプレッドシート、Googleフォームサービスとの間でコマンドを送受信します。 感染したユーザーごとに、各犠牲者を管理するために一意のGoogleスプレッドシートが動的に作成されます。 このような正当な第三者サービスを使用することで、攻撃者は目に見えて隠れることができます。 これらのホストされたGoogleサービスは、組織内でデフォルトではブロックされている可能性は低いので、攻撃者がC&Cチャネルを正常に確立する可能性が高くなります。
C&Cの手順は下の図に概説されています。
ハードコードされたGoogle AppsスクリプトのURLとユーザーの固有の感染IDとの最初の照合時に、C&Cはユーザーに現在存在するスプレッドシートがないことを通知します。 マルウェアは、2つのリクエストを別のハードコードされたGoogleフォームのURLに送信し、その結果、犠牲者用のGoogleスプレッドシートとGoogleフォームIDが作成されます。
2回目のGoogle Apps Scriptがリクエストされると、C&Cは固有のGoogleシートとGoogleフォームIDの値を返します。
「エントリ」の値は、その後のGoogleフォームのC&Cリクエストごとに送信される固有のIDです。
保護についての説明
ForcePoint™のお客様は、以下の攻撃の段階でTRITON®ACE経由でこの脅威から保護されます。
ステージ5(Dropperファイル) – マルウェアコンポーネントがダウンロードおよび/または実行されないようにします。
ステージ6(コールホーム) – HTTPベースのカーバナックC&Cトラフィックがブロックされます。
要約
カーバナクのアクターたちは、検出を回避するためにステルス技術を探し続けています。 独立したC&CチャネルとしてGoogleを使用すると、新たに作成されたドメインや評判のないドメインを使用するよりも成功する可能性が高くなります。 Forcepointは引き続きこのグループの活動を監視し、信頼できるパートナーとデータを共有します。
感染の指標
Carbanak Documents
- 1ec48e5c0b88f4f850facc718bbdec9200e4bd2d (3-ThompsonDan.rtf)
- 400f02249ba29a19ad261373e6ff3488646e95fb (order.docx)
- 88f9bf3d6e767f1d324632b998051f4730f011c3 (claim.rtf)
Carbanak Google Apps Script C&Cs
- hxxps://script.google[.]com/macros/s/AKfycbzuykcvX7j3TlBNyQfxtB1mqii31b4VTON640yiRJT0t6rS4s4/exec
- hxxps://script.google[.]com/macros/s/AKfycbxxx5DHr0F8AYhLuDjnp7kGNELq6g27J4c_JWWx1p1nDfZh6InO/exec
- hxxps://script.google[.]com/macros/s/AKfycbwZHCgg5EsCiPup_mNxDbSX7k7yBMeXWenOVN1BWXHmyBpb8ng/exec
Carbanak Google Forms C&Cs
- hxxps://docs.google[.]com/forms/d/e/1FAIpQLScx9gwNadC7Vjo11mXLbU3aBQRrqVpoWjmNJ1ZneqpjaYLE3g/formResponse
- hxxps://docs.google[.]com/forms/d/e/1FAIpQLSfE9kshYBFSDAfRclW8m9rAdajqoYhzhEYmEAgZexE3LQ-17A/formResponse
- hxxps://docs.google[.]com/forms/d/e/1FAIpQLSdcdE7lTEiqV5MW3Up8Hgcy5NGkIKnLKoe0YPFriD4_9qYq9A/formResponse
Carbanak C&Cs
- hxxp://atlantis-bahamas[.]com/css/informs.jsp
- hxxp://138[.]201[.]44[.]4/informs.jsp
Carbanak Cobalt Strike / Meterpreter DNS Beacon C&Cs
- aaa.stage.15594901.en.onokder[.]com
- aaa.stage.4710846.ns3.kiposerd[.]com
作者: Nicholas Griffin
参照: https://blogs.forcepoint.com/security-labs/carbanak-group-uses-google-malware-command-and-control