TrickBotバンカーインサイト

asert_authors
投稿者:ASERT team
投稿アーカイブ:analysis、Backdoors、Forensics、Interesting Research、Malware、Reverse Engineering、Spyware、threat analysis

銀行を狙う新たなトロイの木馬である「TrickBot」は、2015年11月にロシア当局がインフラを停止し、脅威アクターを突き止めて検挙した「Dyreza」(別名「Dyre」)が復活したものとみられています。活動のピーク時には、米国と英国の1,000を超える銀行などの顧客を標的としてDyrezaが使用されていました。Threat GeekMalwareBytesの研究者はすでにTrickBotの一般的な機能を詳しく発表しています。

ASERTが調査を進める中で、まだ話題に上っていない新たな特性が見つかりました。それは、Godzilla Loaderへのリンクや、さらなるマルウェアのパッケージをダウンロードして実行する機能などです。

最初に、マルウェアのサンプル(MD5のハッシュ値でリストアップされたすべてのサンプル)である「3a55fd6b3f969b1324a1942af08e039e」を分析したところ、少々新しいGodzilla Loaderへのリンクを発見しました。

この場合、Godzilla Loader(fc431f69760c598098f34eec337c8415)を利用してhttp://185.14.29[.]13/api.phpからTrickBotがインストールされます。すると、以下のように、コマンド&コントロール(C2)サーバーへのログイン画面が「admin.php」のURLで表示されます。

godzilla_login-1024x823

VirusTotalによる調査を進めたところ、このインスタンスはスパム作戦の一環であることが分かりました。脅威アクターは、電子メールのメッセージに、Godzilla Loaderをインストールする、拡張子「.scr」を持つ悪意のある実行ファイルを追加しました。この後、このローダーを利用して、TrickBotがダウンロードされます。表示されるメッセージは以下のようなものです。

件名:新しいファックスを受信しました。
添付ファイル:fax198-203-9153.scr

興味深いことに、Godzilla Loaderは、BolekおよびPanda Bankerでも、脅威アクターがマルウェアをばらまくきっかけとして中継地点として使用されていました。Godzilla Loaderの機能の詳細はこちらをご覧ください。

TrickBotの「ダウンロードして実行」コマンド

先ほどもマルウェア分析の中で述べたように、TrickBotは微妙に異なるURLを使用する多数のコマンドを持っています。「ダウンロードして実行」機能については、TrickBotは以下のパス・テンプレートを使用しています。

/%s/%s/1/%s/

完成したURLの例は以下のとおりです。

hXXps://138[.]201[.]44[.]28/tmt2/ADMIN-PC_W617601.F2F368CFEBB3F08115DB04EE5697EBBC/1/
PB1qOLElSsGUg45wH3JyIKEMGzl60MB/

このパスは、以下のように分けられます。

C2サーバーからの応答の例は以下のとおりです。

c2response-768x200

応答は「“\r\n”」で区切られた3つの部分に分けられます。最初の部分は、「“/”」で区切られたヘッダーで、いくつかのリクエストと、さらなる項目をエコーバックしています。

/42/tmt2/ADMIN-PC_W617601.23BD67ECD8AEDEC8FEAE8253B2C09D03/
XbuepYhfjAwVBawBh1PvDHyHKZmB49/41268/

最後の部分はトレーラーで、常に「1234567890」で終わるようです。中間部分は、Base64でコード化されたデータです。このBase64データを復号すると、以下のようなアウトプットが現れます。

base64-768x284

これはバイナリー構造で、以下のように分けられます。

hXXp://15616[.]merahost[.]ru/851321365.bin

Pony Loaderの亜種「Fox Stealer」へのリンク

今回の場合、Pony Loaderの亜種はC2として85.132.136[.]5を利用していました。このサイトの管理者ログイン画面は以下のとおりです。TrickBotの裏で脅威アクターがPony Loaderを利用しているのか、または他の脅威アクターがアクセスできるようにするためのものなのかを結論付ける十分な根拠はありません。

trickbot_downloaded_pony_login-768x290

結論

ASERTのアナリストは、TrickBotのさらなる機能と、他の脅威とのつながりを調べました。調査結果から、最初にTrickBotを広めるために、「Rig Exploit Kit」の使用や悪意のあるスパムの配信といった複数の作戦を組み合わせていたことが分かりました。通常、脅威アクターがDyrezaの過去の活動に関連していた場合、Dyrezaの元々の作戦で狙った標的を再び狙うことはありません。脅威アクターは、初期の暴露と範囲を限定して、オーストラリアの少数の銀行を標的にしました。これらのアクターが、Dyrezaの拡大に対抗することにしたか、警察からのさらなる追及を免れることを期待して活動を限定することにしたかは、いずれ明らかになるでしょう。