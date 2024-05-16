2024年3月以来、IBM X-Forceは、マルウェア・アズ・ア・サービス（MaaS）として運営されている可能性が高いGrandoreiroバンキング型トロイの木馬を配布する複数の大規模なフィッシング・キャンペーンを追跡してきました。マルウェアを分析した結果、文字列復号化およびドメイン生成アルゴリズム（DGA）内の大きなアップデートと、感染したホスト上でMicrosoft Outlookクライアントを使用して、さらなるフィッシング・メールを拡散させる機能が明らかになりました。また、最新のマルウェアの亜種は、1,500以上の世界的な銀行を特にターゲットにしており、攻撃者は中南米、アフリカ、ヨーロッパ、インド太平洋地域を含む60以上の国または地域で銀行詐欺を行うことができます。従来はラテンアメリカ、スペイン、ポルトガルに限定されていましたが、X-Forceはメキシコ税務局（SAT）、メキシコ連邦電力委員会（CFE）、メキシコ行政・財務長官、アルゼンチン歳入庁、そして特に南アフリカ歳入庁（SARS）になりすました最近のキャンペーンを観測しました。マルウェアの手直しや新たなターゲティングは、Grandoreiroに対する最新の法執行措置以来のストラテジーの変更を示している可能性があり、運営者は南アフリカを皮切りに、グローバルなフィッシング・キャンペーンにGrandoreiroの展開を拡大し始めた可能性があります。
2024年3月以来、X-Forceは、メキシコの税務行政局（SAT）、メキシコ連邦電力委員会（CFE）、メキシコ市行政財務長官、アルゼンチン歳入庁を装ったフィッシング・キャンペーンを観察しています。このEメールは、メキシコ、コロンビア、チリの「.mx」、「.co」、および「.cl」のトップレベルドメイン（TLD）を含むラテンアメリカ内のユーザーをターゲットにしています。実際の身元は、個人のプライバシーのために画像から編集されています。
最初のキャンペーンは、公式かつ緊急性のあるものと認識されようとする試みであるように見せかけ、対象者に、未払いの連邦納税者登録料（RFC）への未払いに関する最終通知を受けていることを伝えます。未払いの場合、罰則、罰金、ユーザーの納税番号のブロックなどの結果が生じ、標的が事業を運営し、官公庁・自治体サービスに法的にアクセスする能力に影響を与える可能性があります。さらに、メキシコ連邦電力委員会（CFE）になりすまし、受信者がCFEMailを購読しており、埋め込まれたリンクのいずれかをクリックすることでPDFやXML形式の口座明細書にアクセスできることを思い出させるキャンペーンも行われました。管理財務長官を模倣した3番目のキャンペーンでは、受信者にPDFをクリックしてコンプライアンス通知の詳細を読むよう指示します。アルゼンチンの収益サービスを模倣したキャンペーンは、ユーザーに新しい税務書類をダウンロードして、適切なアクションを取るように指示します。
各キャンペーンでは、なりすますエンティティに応じて、受信者にリンクをクリックして請求書または料金、口座明細書を表示し、支払いなどを行うように指示します。リンクをクリックしたユーザーが特定の国または地域（キャンペーンにより、メキシコ、チリ、スペイン、コスタリカ、ペルー、アルゼンチンによって異なる）内にいる場合、PDFアイコンの画像にリダイレクトされ、ZIPファイルがバックグラウンドでダウンロードされます。ZIPファイルには、PDFアイコンで偽装された大きな実行可能ファイルが含まれており、Eメールが送信されたその日または前日に作成されたことが判明しました。
図1、2：SATおよびCFEを装ったEメールのサンプル
図3、4：財務省、AFIP
通常、Grandoreiroマルウェアは、ラテンアメリカ内のユーザーを標的としたキャンペーンで見受けられますが、Grandoreiroのオペレーターが関与した最近の逮捕事件を受け、X-Forceでは、スペイン、日本、オランダ、イタリアのTLDを含む、ラテンアメリカ以外の地域を狙ったキャンペーンが急増していることを確認しています。X-Forceは、南アフリカ収益サービス（SARS）になりすましたフィッシング・キャンペーンを観察し、納税者支援サービス部門からのものであると偽装しました。同じ事業者によって実行された可能性が高いため、X-Forceはメキシコ税務管理サービスを装った2つのキャンペーンも観察しました。Eメールは英語またはスペイン語で書かれ、同じ形式に似ています。Eメールは税務番号を参照し、受信者に、南アフリカ収益サービスが定める規制に準拠しているか、または税務管理サービスの規制に準拠している電子税金請求書を受け取っていることを通知します。ユーザーには、Grandoreiroローダーの実行可能ファイル「SARS 35183372 eFiling 32900947.exe」を含むZIPアーカイブのダウンロードを開始するための請求書を表示するためのPDFまたはXMLリンクが提供されます（数値はサンプルによって異なります）。
図5、6、7：SATおよびSARSになりすましたEメールのサンプル
これまでのキャンペーンと同様に、Grandoreiroの感染連鎖はカスタムローダーから始まります。多くの場合、実行可能ファイルが100MBを超えるサイズに肥大化して、自動アンチウイルススキャンが妨げられます。自動実行を回避するために、Adobe PDFリーダーを模倣した小さなCAPTCHAポップアップが表示されます。これは、実行を次に進むためにクリックする必要があります。
図8：Grandoreiroの偽のAdobe PDFリーダーCAPTCHA
ローダーには、3つの主なタスクがあります。
これらすべてのタスクには120以上の重要な文字列が必要で、これらは改善されたアルゴリズムを使用して暗号化されています。
まず、Grandoreiroは、ハードコードされ、トリプルBase64エンコードされた大きなキー文字列を生成することから始めます。これらのサンプルで観察されるキーは、「D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…」から始まります。次に、暗号化された文字列を取得し、カスタム・デコードを使用して、それをバイトとして解釈される一連の16進数文字に変換します。
図9： Grandoreiroカスタム16進数エンコーディング（「”」のような非16進数エンコーディングは決して使用されないことに注意してください）
Grandoreiroは、キー文字列を使用して古いGrandoreiroアルゴリズムを使用して結果を復号化します。以下は、復号化ルーチンのPythonの実装です。
最後に、最終的な256ビットAES CBC復号化およびパディングなしの文字列を取得して、平文の文字列を取得します。AESキーとイニシアチブベクトル（IV）も暗号化された文字列として保管され、上記と同じアルゴリズムを使用して復号化する必要がありますが、AES復号化はスキップされます。以下のグラフは、復号化プロセス全体の概要を示しています。
図10：Grandoreiroローダー文字列復号化
被害者がサンドボックス環境の一部ではないことを確認するために、Grandoreiroローダーは次の情報を収集し、ハードコードされた値のリストと照合します（付録を参照）。
この検証ステップは、特定の国または地域の被害者を拒否するためにも使用されます。1つのサンプルでは、次のパブリックIPによる感染の実行へは続きませんでした。
また、このサンプルでは、ウイルス対策ソフトウェアがインストールされていない米国のWindows 7マシンの感染も防止しました。
次の実行ステップでは、C2パネルに表示する被害者の基本プロファイルの構築を試みます。マルウェアは、被害者マシンに関する次の情報を列挙します。
Grandoreiroは、「*~+」という文字列を使用して結果を連結し、暗号化されたペイロード・リクエストの一部としてC2サーバーに送信します。
GrandoreiroローダーのC2サーバーは、上記に説明したのと同じアルゴリズムを介して復号化できます。その結果、ドメイン名はURL https://dns.google/resolve?name=<C2 server>を介してDNS over HTTPS経由で解決され、DNSベースのブロックを回避します。C2 IPのアドレスを受信したマルウェアは、IPの最初の4桁を取得し、その上で4つの異なる桁からデジタルへのマッピングを実行し、4桁のポート番号を生成します。
次に、上記の被害者プロファイリング文字列を大文字のポルトガル語メッセージ「CLIENT_SOLICITA_DDS_MDL」（「クライアントがモジュール・データを要求」に変換される可能性があります）と連結します。文字列の例は次のとおりです。
文字列は暗号化され、HTTP GETリクエストを介してURLパスとしてC2サーバーに送信され、最終的なGrandoreiroペイロードを要求します。
成功すると、C2サーバーは、別の暗号化されたメッセージを含むHTTP 200ステータス・コードで応答します。これには、次の情報が含まれています。
例：
ダウンロードするために、GrandoreiroはペイロードURLに別のHTTP GETリクエストを発行します。ダウンロードされたファイルは、「C:\ProgramData\」の下の指定されたディレクトリ名に保管されます。次に、ファイルはキー「7684223510」を使用するRC4ベースのアルゴリズムで復号化されます。最後に、「ZipForge」Delphiライブラリーを使用して解凍され、最初にダウンロードされたファイルが削除されます。
アーカイブには、.EXE（Grandoreiroバンキング型トロイの木馬）と.CFG（構成ファイル）の2つのファイルが含まれている場合があります。
実行の前に、ローダーは現在のプロセストークンのグループメンバーシップの列挙を実行し、特にSECURITY_NT_AUTHORITY SIDの存在を確認します。プロセスが必要な権限を持っている場合、ローダーはShellExecuteW()関数と「runas」動詞を使用して、昇格された権限でGrandoreiroペイロードを実行します。逆に、必要な特権が利用できない場合、ローダーは、昇格なしでShellExecuteW()を介して自身を実行するようにします。
感染のすべての段階（ペイロードのダウンロード、復号化、実行）で、Grandoreiroローダーはステータス・メッセージをC2サーバーに報告します。例としては、次のようなものがあります。
最後のペイロードは、Grandoreiroバンキング型トロイの木馬です。最新バージョンでは、主に文字列復号化およびDGA計算アルゴリズム内で大きな更新が行われています。また、攻撃者が数十の国または地域で銀行詐欺を実行できるようにし、実行をサポートする膨大な数のグローバル・バンキング・アプリケーションも含まれています。これは、特殊なOutlookスプレッドダーモジュールと幅広い機能を備えており、既知の最大バンキング型トロイの木馬の1つであり、分析は現在も継続中です。次のセクションでは、 Grandoreiroの最も注目すべき特徴を詳しく説明し、その主要な機能に焦点を当てています。
Grandoreiroは、Windowsレジストリを介して永続性を確立することから始めます。次のコマンドを実行して、新しいレジストリーの実行キーを作成し、ユーザーのログイン時にマルウェアを起動します。
キーの名前はサンプルによって異なる場合がありますが、多くの場合、ダウンロードされたペイロードの元のファイル名に関連していることに注意してください。Grandoreiroが昇格されたプロセスで実行されない場合、「/runas」動詞は省略されます。
.CFGファイルに加えて、 GrandoreiroはC:\Public\ディレクトリに.XMLファイルも作成します。これは、ローダーの文字列暗号化ルーチンを介して暗号化され、 Grandoreiro実行可能ファイル名、パス、感染日が保存されます。
Grandoreiroが.CFGファイルを見つけられなかった場合、新しい.CFGに、有効なGrandoreiro機能、被害者の国および感染日を指定するデフォルト値を入力します。.CFGファイルは、以下で詳しく説明するGrandoreiro文字列暗号化アルゴリズムによって暗号化されます。
Grandoreiroオペレーターは、対象となる銀行アプリケーションのリストを大幅にアップグレードし、現在では世界中の1,500以上の銀行をターゲットにしています。最新の亜種では、まず被害者が標的の国または地域のリストに含まれているかどうかを判断することから始めます。各国または地域はより大きな地域にもマッピングされており、Grandoreiroは、現在アクティブなウィンドウでどの文字列を実行するかを決定するために使用します。これは、被害者の国または地域がベルギーと特定された場合、そのヨーロッパ地域に関連する標的となったすべての銀行アプリケーションを検索することを意味します。Grandoreiroは内部的に国または地域をヨーロッパ、北米、中米、南米、アフリカ、インド太平洋、その他の島々の地域カテゴリーにマッピングし、各地域には銀行アプリケーションを検索するための関連Delphiクラスがあります。さらに、 Grandoreiroには、暗号通貨ウォレットを識別する266個の一意の文字列を検索するクラスがあり、これはすべての感染に対して実行されます。
図11：検出された国または地域に基づいて新しいスレッドを立ち上げるGrandoreiro
以下のヒートマップは、各国に関連する独自の銀行アプリケーションの数を強調しています。各アプリは複数の文字列で検出される可能性があることに注意してください。
図12：国または地域ごとにGrandoreiroが対象とする銀行アプリケーション（Datawrapperを使用して作成され、X-Forceチームの研究からの情報が入力されています）
Grandoreiroは従来、ドメイン生成アルゴリズム（DGA）を利用して、現在の日付に基づいてアクティブなC2サーバーを計算してきました。Grandoreiroの最新バージョンには、見直されたアルゴリズムが含まれており、DGAに複数のシードを導入することでさらに一歩進んでいます。これらのシードは、バンキング型トロイの木馬のモードまたは機能ごとに異なるドメインを計算するために使用され、サービスとしてのマルウェア（MaaS）運用の一環として、複数のオペレーター間でC2タスクを分離することができます。各Grandoreiroサンプルには、構成ファイルが欠落している場合に備えてメインのデフォルトのシードと、機能固有のシードのリストが含まれている場合があります。X-Forceが分析したサンプルには14の異なるシードが含まれており、考えられるC2ドメインの数は毎日14になりました。アルゴリズムを説明するために、2024年4月17日のドメインを計算します。次のチャートは、以下の説明とともにアルゴリズムの視覚化を示しています。
図13：DGAの可視化
ドメインの頂点から始まり、Grandoreiroには、年間の毎日に1つのドメインがマッピングされています。これらのマッピングには2つあり、1つはメインC2用、もう1つはすべての機能固有のC2用です。ただし、732の頂点ドメインのうち、一意のものは337だけです。特定の日、プライマリ頂点はdnsfor[.]me、2つ目はneat-url[.]comです。
次の部分では、 Grandoreiroはシード「xretsmzrb」（メインシード）を2桁の形式の現在月と連結し、各桁を3つのハードコードされた文字に置き換えます。数字の「0」と「4」はそれぞれ「oit」と「zia」に置き換えられ、完全な文字列「xretsmzrboitzia」になります。
最後に、Grandoreiroには月内の各日について、キャラクターからキャラクターへのカスタム置換マッピングがあります。17番目の文字列では、26文字の置換をすべて繰り返し実行すると、最終的なサブドメイン文字列は「wondbbhonandhnd」になります。
すべてのハードコードされたシードの残りのドメインを計算した後、2024年4月17日のC2ドメインのリストは次のようになります。
X-Forceは、その日に少なくとも4つのドメインがブラジルを拠点のIPに解決したことを確認できました。
C2サーバーのポートは、 Grandoreiroローダーと同じようにカスタムの数字から数字へのマッピングを介して、IPアドレスの最初の4桁から計算されます。事前計算されたすべてのGrandoreiroドメインの完全なリストについては、付録を参照してください。Grandoreiroはシードを頻繁に変更することに注意してください。最初の感染から数週間後、X-ForceはメインのシードC2サーバーのみがアクティブな状態を保っていることを観察しました。
X-Force DNSテレメトリーの研究では、5月初旬の現在の感染が主にラテンアメリカで発生していることが示されています。
図14：5月初旬における感染の地理的位置
計算されたDGAの解決を試みた後、Grandoreiroは、Grandoreiroローダーと同じように、列挙データで連結され、暗号化されたいくつかの登録メッセージの1つを送信します。以下のメッセージは、特権、インストールされたAV、およびアクティブなC2ドメインに基づいて送信される場合があります。
Grandoreiroは、以下のような多数のコマンドをサポートしています。
このマルウェアは、ハードコードされたBanco Banorte URLを開くことにも特に対応しています。
さらに、ブラウザでJavaScriptコマンドを実行してHTMLボタンのクリックをシミュレートすることもできます。
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
多数のさまざまなコマンドとその命名により、Grandoreiroコードベースには、新しく追加されたコマンドと、もはや積極的に使用されていないレガシー機能が含まれているようです。バンキング型トロイの木馬は、頻繁に開発サイクルを経てリファクタリングを行わずに新しい機能を追加している可能性があり、コードベース全体のサイズに貢献しています。
Grandoreiroの最も興味深い機能の1つは、Outlookからデータを収集し、被害者のアカウントを使用してスパムEメールを送信することで拡散できることです。Grandoreiroには、Eメールアドレスを収集および抽出するために少なくとも3つのメカニズムが実装されており、それぞれが異なるDGAシードを使用しています。スパムにローカルのOutlookクライアントを使用することで、Grandoreiroは、感染した被害者の受信トレイを介してEメールで拡散することができ、これは、Grandoreiroから観察された大量のスパムに影響を与えている可能性があります。
Outlook収集モードでは、GrandoreiroはC2を、データの窃取に使用されるDGAシード7に切り替えます。ロギングとステータスメッセージはメインC2サーバーに引き続き送信されます。例えば、収集プロセスを開始する前に、同じ被害者プロファイリング・データと「CLIENT_SOLICITA_DD_EMSOUT」（クライアントがEMSOUTデータを要求）と「COLHENDO」（収集）という文字列を含むログを送り返します。
ローカルのOutlookクライアントとやり取りするために、GrandoreiroはOutlookアドイン開発に使われるソフトウェアである Outlook Security Managerツールを使用します。その主な理由は、Outlook Object Model Guardが保護されたオブジェクトへのアクセスを検知するとセキュリティー・アラートをトリガーするためです。Outlook Security Managerにより、 Grandoreiroは、収集とスパムの両方の動作中に、これらのアラートを無効にすることができます。システム・アーキテクチャに応じて、このツールには「secman.dll」または「secman64.dll」のDLLをCOMサーバーとして登録する必要があります。次に、MAPIを使用してOutlookと対話します。
マルウェアは、ルート・メールボックス・フォルダーを見つけることから始め、Eメールの項目を再帰的に調べます。各Eメールの「SenderEmailAddress」プロパティをチェックし、そのイベントに対してブロックリストを実行して、収集のために不要なEメール・アドレスを除外します。
上記の文字列のいずれも含まないEメールアドレスは、テキストファイルに集約され、ZIP圧縮されて、抽出されます。
上記の収集プロセスに加えて、Grandoreiroは、Namespace.AddStore()関数を介して、まずOutlookにPSTファイルを追加することもサポートしています。サポートされている別の収集メカニズムは、被害者のファイル・システムを再帰的に処理し、ファイルをスキャンしてEメールアドレスを探します。次の拡張子を持つファイルが開かれ、スキャンされます。
「*.txt」、「*.csv」、「*.html」、「*.xml」、「*.dat」、「*.db」、「*.sqlite」、「*.xlsx」、「*.xls」、「*.xlsm」、「*.dbf」、「 *.doc」、「*.docx」、「*.docm」
不必要なスキャンを防ぐために、Grandoreiroは、共通のシステム・ディレクトリーを除いた、スキャンされないパスのさらに別のブロックリストを維持します。
スパムEメールを送信するために、Grandoreiroは、C2サーバーから受信したフィッシング・テンプレートを使用します。次に、テンプレートを通過し、次のようなプレースホルダー・フィールドに入力します。
メールの送信を開始する直前に、Grandoreiroは、表示されているダイアログ・ボックスを検知するスレッドを開始し、特定のTABとSPACEBARキーを押すことで、そのダイアログ・ボックスをクリックして離れます。Eメールを送信した後、マルウェアは送信されたメッセージを被害者のメールボックスから削除することで慎重にその痕跡を隠します。また、収集やスパム動作の多くにおいて、Grandoreiroは、感染したマシンの最後のインプットが少なくとも5分前（場合によってはそれ以上）であることを確認します。開発者はおそらく、被害者が不審な動作に気づかないようにしたいと考えていました。
スパム中に、Grandoreiroは次のステータス・メッセージを報告し続けます。
Grandoreiroは非常に大規模なマルウェアであるため、膨大な量の文字列が必要となるため、暗号化されないままであれば検知は非常に簡単になります。Grandoreiroは、10,000以上の文字列を、100以上の機能固有の文字列ロード関数に分散しています。復号化メカニズムは、ローダーの文字列復号化とは少し異なります。
ローダーと同じGrandoreiro鍵を使用し、カスタム暗号化と「A」鍵で復号化します。キーを手に入れたら、ローダーと同じエンコーディングを使って暗号化された文字列をカスタムデコードし、ElAES Pascalの実装を使用してAES ECBモードで結果のバイトを復号化します。AESキーは、以前に復号化されたGrandoreiroキーのスクランブルバージョンです。カスタム・デコードをもう1回行った後、文字列は最終的に古いGrandoreiroアルゴリズムとGrandoreiroキーを介して復号化されます。
図15：Grandoreiroバンキング型トロイの木馬による文字列復号化
X-Forceは、官公庁・自治体を装った最近のフィッシング・キャンペーンによって、Grandoreiroバンキング型トロイの木馬を配布していることを確認しました。Grandoreiroのディストリビューターは通常、ラテンアメリカのユーザーをターゲットにしています。しかし、Grandoreiroのオペレーターに対する最新の法執行措置以降、X-Forceはマルウェアがラテンアメリカ外、中南米、アフリカ、ヨーロッパ、太平洋地域に広がっているのを観察しています。X-Forceが分析したGrandoreiroバンキング型トロイの木馬のサンプルは、文字列復号化およびDGA計算アルゴリズム内で大きな更新を受けています。新たに分析されたサンプルには現在、ターゲットとなる少なくとも1,500の膨大な数のグローバル・バンキング・アプリケーションが含まれており、これらは実行をサポートし、攻撃者が60以上の国または地域で銀行詐欺を実行できるようにしています。複数の国にわたる銀行アプリケーションの大幅な増加に加えて、マルウェアに加えられたアップデートは、Grandoreiroディストリビューターがキャンペーンを実施し、世界規模でマルウェアを配信しようとしていることを示しています。
これらのキャンペーンの影響を受ける可能性のある組織には、次の推奨事項を確認することをお勧めします。
