blog.talosintelligence.com

新しいHorabotキャンペーンがアメリカ大陸を標的にしています

By Chetan Raghuprasad

Thursday, June 1, 2023 08:06

Threat Spotlight SecureX Threats

Cisco Talosは、ボットネットプログラム「Horabot」と呼ばれる新たな脅威アクターの展開を観測しました。このボットネットプログラムは、少なくとも2020年11月以来継続して行われているキャンペーンで、既知のバンキングトロイのとスパムツールを被害者のコンピュータに提供します。

この脅威アクターは、アメリカ大陸のスペイン語を話すユーザーを狙っており、私たちの分析によれば、ブラジルに拠点を置いている可能性があります。

Horabotによって、脅威アクターは被害者のOutlookメールボックスを制御し、連絡先のメールアドレスを流出させ、被害者のメールボックスのすべてのアドレスに悪意のあるHTML添付ファイルを含むフィッシングメールを送信することが可能になります。

バンキングトロイは、さまざまなオンラインアカウントのログイン資格情報、オペレーティングシステムの情報、キーストロークを収集することができます。また、被害者のオンラインバンキングアプリケーションからのワンタイムセキュリティコードやソフトトークンも盗みます。

スパムツールはYahoo、Gmail、OutlookのWebメールアカウントを侵害し、脅威アクターによってこれらのメールボックスを制御し、連絡先のメールアドレスを流出させ、スパムメールを送信することができます。

被害者

攻撃は主にメキシコのユーザーを標的としており、ウルグアイ、ブラジル、ベネズエラ、アルゼンチン、グアテマラ、パナマでも一部の感染が確認されています。キャンペーンで使用されるフィッシングメールの分析により、会計、建設、エンジニアリング、卸売り、投資会社などさまざまな業界の組織のユーザーが影響を受けています。ただし、このキャンペーンでHorabotとスパムツールを使用して、被害者の連絡先に追加のフィッシングメールを送信することで、他の業界のスペイン語を話すユーザーも影響を受けている可能性があります。

攻撃者のインフラストラクチャ

このキャンペーンでの攻撃者は、Amazon Web Services（AWS）Elastic Compute Cloud（EC2）インスタンスを含む複数のホストを使用しています。Talosは、攻撃者が使用するIPアドレス185[.]45[.]195[.]226の悪意のあるサーバーがPowerShellのダウンローダースクリプトをホストし、攻撃者が後に無効化したオープンディレクトリを持っていることを観測しました。

また、別の悪意のあるサーバー216[.]238[.]70[.]224がZIPファイルをホストしており、これはおそらく実際のコマンドアンドコントロール（C2）サーバーを隠すために攻撃者が使用した仮想プライベートサーバー（VPS）です。攻撃者はこのキャンペーンで類似のドメインを使用し、悪意のある活動を行い、ネットワーク検出を回避しました。

Talosは、攻撃者のインフラストラクチャのドメイン登録情報の分析に基づいて、このキャンペーンが2020年11月に始まり、2023年まで継続していると推定しています。このキャンペーンで使用されるツールや流出したデータをホストするために使用されたtributaria[.]websiteというドメインのWHOISレコードによれば、このドメインは2022年7月に登録され、登録者はブラジルに拠点を置いていました。このドメイン名は、攻撃者が悪意のあるトラフィックを偽装するために採用した手法であり、メキシコの税務機関のドメインと似ています。Cisco Umbrellaで観測されたtributaria[.]websiteへのDNSリクエストは以下のとおりです。

マルチステージ攻撃チェーンがPowerShellのダウンローダーとDLLのサイドローディングを使用

このキャンペーンでは、フィッシングメールから始まり、PowerShellのダウンローダースクリプトの実行と正規の実行ファイルへのサイドローディングを介してペイロードが配信されるマルチステージの攻撃チェーンが使用されています。

感染は、スペイン語で書かれた所得税のテーマのフィッシングメールで始まります。このメールは、税金の領収書の通知を装い、添付された悪意のあるHTMLファイルを開くようユーザーを誘導します。

被害者がHTMLファイルの添付を開くと、埋め込まれたURLが被害者のブラウザで起動され、攻撃者が制御するAWS EC2インスタンスから別の悪意のあるHTMLファイルにリダイレクトされます。被害者のブラウザに表示されるコンテンツは、被害者が埋め込まれた悪意のあるハイパーリンクをクリックするよう誘導します。ハイパーリンクはRARファイルをダウンロードします。

RARファイルには、CMD拡張子を持つバッチファイルが含まれており、被害者がファイルの内容を開くと実行されます。バッチファイルは、攻撃者が制御するサーバーからPowerShellのダウンローダースクリプトをダウンロードし、PowerShellコマンドを介してそれを実行します。PowerShellのダウンローダースクリプトは、ペイロードDLLといくつかの正規の実行ファイルおよびDLLを含むZIPファイルをダウンロードします。スタートアップフォルダーのWindowsショートカットファイルを作成し、10秒後にマシンを再起動します。

被害者のマシンが再起動されると、Windowsのスタートアップフォルダーに配置された悪意のあるWindowsショートカットファイルが実行され、攻撃で使用されるペイロードが実行されます。以下では、各ショートカットファイルの動作について説明します。

_upyqta2_JAA.lnk：このリンクファイルは「_upyqta2_Ji7.exe」という正規の「kinit.exe」のコピーを実行することで、バンキングトロイの一部である「jli.dll」という悪意のあるDLLをサイドロードします。

_upyqta2_JEX.lnk：このリンクファイルは、実行可能ファイル「_upyqta2_J.exe」を実行することで、コンパイルされたAutoItスクリプト「_upyqta2_J.ai」を実行します。AutoItスクリプトは暗号化された「_upyqta2_J.ia」を復号化し、「_upyqta2_J.ia.a1」という偽のファイル拡張子を持つDLLに配置されたハードコードされた悪意のある関数「A040822_1」をドロップします。その後、AutoItスクリプトはDLL「_upyqta2_J.ia.a1」をAutoItインタプリタプロセスにサイドロードし、「A040822_1」をパラメータ「STRUCT」で実行します。

_upyqta2_JAT.lnk：このリンクファイルは「_upyqta2_JEX.lnk」と同じ手順を実行し、AutoItスクリプト「_upyqta2_J.at」を実行して「_upyqta2_J.mdat」を復号化し、「_upyqta2_J.mdat.a1」という偽の拡張子を持つDLLを作成します。その後、AutoItスクリプトはDLLをAutoItインタプリタプロセスにサイドロードし、「B080223_AT」という悪意のある関数をパラメータ「STRUCT」で実行します。

_upyqta2_J.lnk：このリンクファイルは、ドロップされたバッチファイル「S.cmd」の一つを実行します。バッチファイルは、攻撃者が制御するサーバーからPowerShellのダウンローダースクリプトをダウンロードし、実行するためのPowerShellコマンドを実行します。

_upyqta2_Jy.lnk：このリンクファイルは、別のドロップされたバッチファイル「Sy.cmd」を実行し、PowerShellコマンドを使用してHorabot「au」をダウンロードして実行します。

Talosは、このキャンペーンで使用されるペイロードが機密情報を盗み、検出を回避し、被害者の連絡先にさらなるフィッシングメールを拡散するために使用されていることを発見しました。バンキングトロイは、被害者のログイン情報や金融取引のセキュリティコードなどの機密情報を狙っており、キーストロークを記録し、クリップボードデータを操作します。また、バンキングトロイにはサンドボックスと仮想環境を回避するための解析対策と検出対策の機能も備わっています。スパムツールと新しく特定されたHorabotは、被害者のメールボックスを侵害し、連絡先のメールアドレスを盗み出し、連絡先にフィッシングメールを送信するために使用されています。

スパムツールは、このキャンペーンで別のペイロードとして使用され、攻撃者が被害者の他のメールアカウントを接続し、それらに含まれる連絡先にスパムメールを送信できるようにします。スパムツールはDelphiで書かれた32ビットのDLLであり、被害者のマシンで実行されると、Yahoo、Gmail、HotmailなどのWebメールサービスのログイン資格情報を侵害しようとします。資格情報を侵害した後、スパムツールは被害者のメールアカウントを完全に制御し、スパムメッセージを作成してメールボックス内のメールアドレスに送信します。

スパムツールは、HTTP POSTリクエストを使用してC2サーバーにメールアドレスをエクスフィルトすることも示しました。スパムツールはキーストロークの記録、スクリーンショットのキャプチャ、被害者のマシンでのマウスイベントの追跡や傍受など、情報収集の機能も備えています。

TalosはHorabotを発見しました。これはPowerShellで書かれたOutlookのフィッシングボットプログラムです。Horabotには、脅威アクターが被害者のOutlookメールボックスを制御し、連絡先のメールアドレスをエクスフィルトし、被害者のメールボックスのすべてのアドレスに悪意のあるHTML添付ファイルを含むフィッシングメールを送信できるVisual Basicコードが埋め込まれています。フィッシングメールは税金の領収書や請求書といったテーマであり、メールの件名や本文は以下の形式で使用されています。

フィッシングメールの件名：

「Se adjunta la factura del servicio :ATT <dd/mm/yyy> <AM/PM>」

「Comprobante Fiscal Digital :ATT <dd/mm/yyy> <AM/PM>」

フィッシングメールの本文：

「consulate los datos adjuntos, por favor. <dd/mm/yyy> <AM/PM>」

攻撃者の最終目標は、バンキングトロイを提供して被害者の認証情報や金融データを盗むことであり、さらにHorabotと別のスパムツールを配信してフィッシングメールを被害者のメールボックスのすべての確認済みメールアドレスに送信することで攻撃を拡散させています。攻撃者はこの技術を使用して、フィッシングインフラが追跡される可能性を最小限に抑えています。