ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2017-02-11

JC3が注意喚起したDreambotについてここ最近の動向をまとめてみた

| 01:48 |  JC3が注意喚起したDreambotについてここ最近の動向をまとめてみたを含むブックマーク

2017年2月10日、JC3はDreambotに感染による不正送金の被害が出ていることを受け、注意喚起を発表しました。ここでは関連情報をまとめます。

Dreambotとは何か

マルウェアインターネットバンキングマルウェアGoziの機能を引き継いだ、不正送金を目的としたマルウェアです。

 Goziと同様、金融機関のオンラインバンキング用認証情報を窃取するためのWEBインジェクション機能や、打鍵情報など感染端末上の様々な情報を収集する機能を保持しています。

 また、攻撃者の用意したC2(コマンド&コントロール)サーバとの通信Tor(The Onion Router)を使用し、接続経路を匿名化する機能が追加されたことが報告されています。

https://www.jc3.or.jp/info/malware.html#pl05

JC3の詳細情報にも記載がある通り、2017年1月にこのDreambotによる被害とみられる不正送金被害が発生しています。

piyokangoも1月27日にDreambotに感染させるウイルス付メールが撒かれていることを確認しています。

f:id:Kango:20170212010529p:image:w450

Dreambot感染までの流れ (判明分)

piyokangoが把握している範囲では、まず電子メールが届きそれを通じDreambotに感染するという手口を確認しています。

感染までの流れをざっくり整理すると次の通りです。

f:id:Kango:20170212013424p:image:w550

メールを使った複数の手口

メールにはファイルが添付されているものの他、文中にリンクが記載されているパターンも確認しています。

添付ファイルパターン

また添付ファイルは圧縮ファイルであり、ほぼすべてがZIPです。(RARのケースもありました。)

添付ファイルを展開すると次のファイルのいずれかとなります。

リンク記載パターン

ばら撒かれているウイルス付メールの情報

piyokangoが把握している情報は次のものです。

メールがばら撒かれていたとみられる日付
2017年1月27日
2017年1月30日
2017年2月2日 *
2017年2月3日
2017年2月7日 *
2017年2月8日 *
2017年2月9日

*マークの日付は届いていたとみられる日付でありpiyokangoの推定。

件名例
勘定書き
アカウント
付け出し
会計
口座
支払請求書
支払いの請求書
アカウント
直話
本文例
発行された請求書の詳細については、以下の添付ファイルであります

不尽
こんばんは

請求書上のすべての詳細は添付されています

不悉
和田安男
こんばんは提供された請求書のすべての情報は、以下の添付ファイルに記載されています

検体サンプル

添付ファイル (圧縮ファイル展開後)
ファイル名SHA256
新しい請求書.js5e35c77e586c2868c6e96a6f2d1bb57adf744cd5b3740b6fbac0e5929a28e07b
ドキュメント.doc36c0c607c4bf8d57a10e76c22d31cbf6e435587da91fcd1c158558de803a97f4
Dreambot
ファイル名SHA256
update04.bine7e53e7b2143a59aea6d9a88adbb5536a9193a6f1256cc3166658fa4cdbeedb3
newdocument2781.bin7357abe2697a420006fa8d8010c5c0ec8fd9eebc29407cb805e51b19b7715e2e
kool.jpg2d40cc76e3a8da02d681d651dab673bdf964a0e9ab454a87bfa706e4058ff11b

通信先の情報

圧縮展開後のファイルを実行すると接続する通信
analytics.activeadvisory.com 149.56.201.88
piyokango把握できておらず
document.geoffhillyer.co.uk 185.45.193.119
doc.jazztelcommunications.com 185.45.193.119
doc.vipthemagazine.com 185.45.193.119
Dreambotの通信
resolver1.opendns.com 208.67.222.222
financeanalytics.org 85.17.94.33
185.77.128.246
172.86.121.117

気になること

  • 警視庁が行っている監視を通じてこのDreambotに係る情報が公開されていないこと。
  • JC3が注意喚起をしているが何を起点に感染するものなのかを明らかにしていないこと。
  • Dreambotが不正送金対象としている金融機関
  • Dreambotがばらまかれる直前日まで動きがあったURSNIFが沈静化したこと。

参考

更新履歴