本記事では、Grandoreiroとはどんなマルウェアか、どのように動作するのか、そして組織は復活を遂げつつあるこの脅威からどのように身を守ることができるのかについて説明します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年8月1日付)を翻訳したものです。
かつてラテンアメリカの金融機関を食い物にしていたバンキング型トロイの木馬「Grandoreiro」が、再び浮上し始めています。ブラジル連邦警察が主導した共同作戦で停止されたと考えられていたGrandoreiroですが、Flashpointのアナリストは、このマルウェアが北米、ヨーロッパ、アジア、アフリカの組織を標的にし始めているという新たな報告を確認しました。以前までは1地域に限定される脅威であったものが世界的な脅威となった今、組織にとっては、Grandoreiroの仕組みを理解し、自組織を守る方法を学ぶことが不可欠です。
Grandoreiroの仕組み
Grandoreiroの主目的は、金融情報や認証情報を盗み、不正送金を行うことです。Grandoreiroは主にスピアフィッシングによって配布され、初期感染には悪意あるリンクやEメールの添付ファイルが使用されます。しかしその後このマルウェアが使用するのがユニークなモジュールで、このモジュールにより、Microsoft Outlookのローカルインストールを利用してさらに感染を広めることが可能になります。
これは、C2サーバーからOutlookに送信されるEメールテンプレートを活用することで実現されます。その後、Grandoreiroは正規のコンポーネントを使用してローカルのOutlookネームスペースにアクセスします。次に、被害者の受信トレイを系統的にスキャンし、不要なEメールアドレスをフィルタリングします。そして収集されたEメールアドレス宛に、C2サーバーから取得されるEメールテンプレートを使ってメッセージが送信されることになります。
次にGrandoreiroは、PDF文書を装ったZIPアーカイブやMSIインストーラーファイルへのリンクが記載されたフィッシングメールを配信します。これらのファイルにはGrandoreiroのローダーが含まれており、これがさらに別のシステムに感染してマルウェアの配布を永続化させます。
Grandoreiroのローダー
このカスタムローダーはBorland Delphiで書かれており、アンチウイルスにスキャンされるのを避けるためにサイズが100MB以上に肥大化されています。ローダーは実行される際、サンドボックス環境での実行を防ぐために、偽のAdobe Acrobatキャプチャを装ってユーザーに操作を要求します。
この後、解析対策のための追加のチェックが行われます。標準的なプロセス列挙APIを使用し、解析ツールやその他のサンドボックスに関するインジケーターがないか、広範なリストをもとに調べるのです。
ターゲットのマシンがこのチェックをパスすると、マルウェアは被害者に関する基本情報(ターゲットのパブリックIPアドレスや位置情報など)を取得します。その後、ユーザー名、コンピューター名、OSのバージョン、インストールされているアンチウイルス、Outlookのインストール有無、インストールされている暗号資産ウォレットの数、特定のバンキングソフトウェアの数などのマシン情報を収集します。これらすべての情報は1つの文字列にパッケージされ、C2サーバーに送信されます。
C2は、暗号化された文字列としてローダー内にハードコードされています。このビーコンパケットが送信されると、C2は次段階のペイロードをダウンロードする場所とペイロードのサイズ情報を返します。このペイロードはRC4で復号され、実行されます。
Grandoreiroスティーラー
ローダーと同様に、メインのペイロードもBorland Delphiで書かれており、容量は100MB以上あります。その最初の挙動は、ローカルディレクトリとC:\Public\directoryディレクトリの両方で.cfgファイルの存在有無を調べることです。このconfigファイルは、どの機能が有効になっているかに関する情報を含んでおり、これが存在しない場合はGrandoreiroがこの.cfgファイルを作成し、加えて、実行ファイルの場所と感染日が記載されたXMLファイルも作成します。いずれのファイルに関しても、コンテンツはGrandoreiroのカスタム文字列暗号化アルゴリズムを使って暗号化されます。
マルウェアのさらなる性能
Grandoreiroは主に金融関連のデータやログイン認証情報を標的としており、不正な金銭取引を実現しやすくするツールです。ただ、脅威アクターによる操作を必要とし、他のインフォスティーラーやバンキング型トロイの木馬のように独立したアクションを実行するわけではありません。Grandoreiroを使用すると、脅威アクターは以下のような追加アクションを実行できます。
- 感染したターゲットのマウス入力を無効化し、スクリーンをブロックする。
- 遠隔操作を確立し、絶え間なく金銭を盗む。
- 偽のログイン画面を作成したり、キーロギング機能を活用したりして認証情報を盗む。
- さらなる追加のマルウェアをダウンロードし、実行する。
防御策
Grandoreiroマルウェアは、金融機関と個人の両方を標的にできるように作成されています。そのため、読者の皆さんにとっても、攻撃の試みを撃退または軽減できるように適切な予防措置を講じることは不可欠です。以下に、身を守るための方法をいくつか挙げています。
- 脅威インテリジェンスの包括的な情報源に頼る:脅威アクターたちは、その戦術やツールを絶え間なく改善し続けています。詳細な脅威インテリジェンスがいつでも手に入る状態にしておけば、セキュリティチームは最新のマルウェアの変化や傾向を常に把握することができます。
- Eメールをめぐる警戒体制を強化する: 迷惑メールや意図せず送られてくるメール(特にリンクや添付ファイルを含むメール)には細心の注意を払いましょう。送信者のアドレスを精査し、あらゆるリンクに関してその真正性を確認してください。
- ウイルス対策ソフトやセキュリティソフトを常に最新の状態に保つ:すべてのセキュリティツールが確実にメンテナンスされ、定期的にスキャンを実行する設定になっている状態を確保しましょう。
- ユーザー教育: 組織は定期的かつ包括的なセキュリティ意識向上トレーニングを企画し、スピアフィッシングのリスク、およびセキュリティのベストプラクティスを遵守することの重要性について従業員教育を実施する必要があります。
- 多要素認証(MFA)を導入する: 重要なシステムやアカウントにはMFAを使用し、セキュリティのレイヤーを追加しましょう。これにより、攻撃者がユーザー認証情報を盗んだとしても、不正アクセスを達成することは難しくなります。
新たな脅威にはFlashpointで対抗
Grandoreiroの復活は、変動の絶えないサイバー犯罪ランドスケープの性質を浮き彫りにした出来事です。脅威アクターたちは状況に合わせて都度やり口を変え、戦術をより的確なものにし、その触手を広げています。Grandoreiroは組織にとって手ごわい課題ですが、その配布手段、検出回避テクニック、性能を理解すれば、セキュリティチームは自組織を守る力を高めることができます。
デモにお申し込みいただき、新たな脅威に先手を打って対策する上でFlashpointがどのように役立つかをご確認ください。Flashpoint Igniteプラットフォームでは、より詳細な分析をご覧いただけます。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。