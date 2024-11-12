2024年11月の時点で、IBM X-Forceは、ヨーロッパ全土の被害者に Strela Stealer マルウェアを送りつける進行中のHive0145キャンペーンを追跡しています（主にスペイン、ドイツ、ウクライナ）。これらのキャンペーンで使用されるフィッシングメールは、以前に盗み出されたEメールの認証情報を介して盗まれた実際の請求書通知です。Strela Stealerは、Microsoft OutlookとMozilla Thunderbirdに保管されているユーザーの認証情報を抽出するように設計されています。過去18か月間、グループはオペレーションの有効性を高めるためにさまざまな手法をテストしました。Hive0145は、金銭目的の初期アクセス・ブローカー（IAB）である可能性が高く、2022年後半から活動しており、Strela Stealerの唯一の運営者である可能性があります。Hive0145の作戦の継続的な運用ペースは、ヨーロッパ全土の潜在的な被害者に対するリスクの増大を浮き彫りにしています。
2023年4月中旬から、X-ForceはHive0145アクティビティーの増加を追跡し始めました。Hive0145はおそらく、金銭的利益を目的とした初期アクセス・ブローカー（IAB）であり、潜在的にStrela Stealerの唯一の運営者である可能性があります。Strela Stealerは、Microsoft OutlookやMozilla Thunderbirdに保存されたユーザーのEメール認証情報を抽出するために設計されたマルウェアで、ビジネスEメール侵害(BEC)につながる可能性があります。IABは日常的に認証情報やその他のデータを収集し、被害者ネットワークのエクスプロイテーションを専門とする提携脅威アクターに販売しています。ただし、Hive0145がキャンペーンを通じて獲得したアクセスを販売するための特定のパートナー・ネットワークがあるかどうかは依然として不明です。
過去1年間で、Hive0145は、ヨーロッパ全土の被害者を標的にするための進化する施策、技術、手順（TTP）に習熟していることを実証してきました。イタリア人、スペイン人、ドイツ人、ウクライナ人の被害者には、被害者にファイルを開かせるような武器化された添付ファイルを受け取ることになります。攻撃者のキャンペーンでは、被害者に偽の請求書や領収書を提示し、多くの場合、被害者が対処するよう短い一般的なメッセージを提示します。添付ファイルを読み込むと、被害者は知らないうちにStrela Stealerマルウェアにつながる感染チェーンを実行します。
図1 Banco SantanderをテーマにしたEメール・キャンペーン
Hive0145は、2024年前半を通じて、汎用メッセージ、偽の請求書と領収書を使用するこのパターンを続けました。しかし、2024年7月初旬までに、このグループは別のアプローチを採用し、金融、テクノロジー、製造、メディア、電子商取引などの業種・業務にまたがる本物のエンティティーから盗んだEメールを武器化し始めました。シンプルさからの脱却は、Hive0145が成熟したサイバーオペレーション機能に変化したことを示しています。
2024年7月、X-Forceは、Hive0145が配布するEメールにキャンペーン期間中の変化が観察され、短くて汎用的なメッセージが、正規の盗難メールと思われるものに置き換えられました。フィッシング・メールは公式の請求書通信Eメールと正確に一致しており、場合によっては元の受信者の名前に直接言及していました。X-Forceは、Eメールが実際には、金融、テクノロジー、製造、メディア、eコマースなどの業種・業務にまたがるさまざまなエンティティーからの本物の請求書通知であることを検証することができました。このグループは、以前にキャンペーンから盗み出した認証情報を通じてEメールを調達した可能性があります。
盗まれたEメールを利用するという概念は新しいものではなく、EmotetグループやHive0118(別名TA577)、 TA551 、 TA570などのマルウェア配布者によって広く利用されていました。キャンペーンでは、盗んだEメールに対する新しいスレッドを使用して、正当性を強調するスレッド・ハイジャックを利用しました。変更されたEメールは以前の被害者の対応する連絡先に送信され、最終的なEメールは盗まれたEメールへの返信のように見せかけ、それによってEメール・スレッドが乗っ取られました。配布者がEメールに追加するテキストは多くの場合、短い返信であり、含まれている添付ファイルやURLを見るように被害者に促します。
Hive0145が採用する手法はスレッド・ハイジャックとは異なり、盗んだEメールに返信メッセージを追加するのではなく、元の内容の大部分は変更されず、添付ファイルのみが元のファイル名を使用した悪意のあるペイロード（元の拡張子なし）を含むように切り替えられます。また、Hive0145は、Eメール本文のローカル部分とドメインの両方を、元のEメール送信者のローカル部分とドメインの両方を、Eメールをカスタマイズするための新しいフィッシング被害者のドメインに置き換えます。乗っ取られた添付ファイル付きのEメールは、大規模なフィッシング・キャンペーンで送信されます。Hive0145社はまた、請求書に参照され、添付ファイルが含まれるEメールのみを選択することで、ハイジャックされたEメールを慎重に検討しているようです。X-Forceは、2024年半ばから、ドイツ語、スペイン語、ウクライナの話者を対象としたキャンペーンにおいて、この添付ファイルのハイジャック手法を観察しています。
図2 盗まれたEメールの例：ハイジャックされた添付ファイル
2024年7月のキャンペーンでは、7月8日の週を通してEメールの配信量が少なかったことが明らかになりました。Hive0145は、7月22日の週に大規模なキャンペーンを再開する前に、短い休憩を取ったようで、その後は一定期間非アクティブになりました。2024年10月中旬に開始されたHive0145は、スペイン語、ドイツ語、ウクライナの被害者を対象とした広範な添付ファイルのハイジャック・キャンペーンを展開して復帰しました。7月の簡単なキャンペーンとは異なり、このキャンペーンは注目に値する大量のEメールを送信し続けており、その大部分は平日に送信されています。
図3 2024年10月下旬に進行中のキャンペーン
金融、テクノロジー、製造、メディア、電子商取引などの業界で盗まれたEメールは、2024年11月初頭時点でも攻撃が継続しており、これはこれまでに観察された最大のHive0145キャンペーンの1つです。進行中のキャンペーンでは、被害者は、暗号化されたStrela Stealer DLLをダウンロードして実行する高度に難読化されたJavaScriptファイルを含むアーカイブを受け取ります。2024年11月7日時点で、Hive0145は進行中のキャンペーンにウクライナ人の講演者を含めており、これまでに観察された被害者と比べて大きな進展があることを示しています。
図4 盗まれたEメールの原本の例
Hive0145では、添付ファイルのハイジャックによって配信量を増加させ、盗んだEメールを安定的に供給していることから、このグループがフィッシング・メールの収集、武器化、パッケージ化、送信にオートメーションを採用していることが考えられます。このグループは、ヨーロッパ全土でスペイン語、ドイツ語、ウクライナの被害者をエクスプロイテーションすることを続けています。
Hive0145は、ますます洗練されていくStrela Stealerを実行する方法を採用する取り組みのレベルにおいて、他のマルウェア・ディストリビューターの中でも際立っています。この洗練のレベルは、Emotet、Pikabot、Qakbotなどの他のマルウェアの大量配布が成功したことを反映しており、多くの場合、ランサムウェアのデプロイメントにつながりました。以下は、Hive0145 が長期にわたって使用してきた注目すべき手法の内訳です。一部は簡単にテストされ、その他は完全に採用されています。
X-Force が観測した最初の Strela Stealer キャンペーンでは、多言語ファイルが使用されていました。これは 2022 年後半にDCSO (ドイツサイバーセキュリティ組織) のブログで最初に報告されました。これらのファイルには複数の有効な形式があり、さまざまなアプリケーションで解析できます。同じファイルを、おとりの請求書を表示する HTML としてレンダリングすることも、Strela Stealer を実装する有効な DLL としてレンダリングすることもできます。これは、セキュリティー・ソリューションを回避する試みとしてはかなりまれな手法です。
2023年を通じて、複数のキャンペーンでは、悪意のあるStrela Stealerバイナリーの有効なコード署名証明書が利用されました。たとえば、2023年4月に遡ってスペイン語を話す被害者を標的にしたキャンペーンには、ブラジルのソフトウェア会社であるTecfinance Informatica E Projetos De Sistemas Ltda社によって署名された有効な証明書を持つペイロードが含まれていました。
図5 2023年のキャンペーンで使用されたブラジル企業証明書
2024年5月5日に、X-Forceは関係者に結果を通知する措置を講じ、その後、証明書は取り消されました。
2023年半ばのイタリアを対象としたキャンペーンでは、別の証明書を使用したことに注意してください。
図6 2023年半ばにイタリアの被害者を標的に使用された別の盗難証明書
Strela Stealerのフィッシング・キャンペーンは、標的とするドメイン名を含めるためにファイル名も調整しました。多くの場合、ファイル名は組織や会社の名前と同一ですが、これは信頼性を高めるためかもしれません。以下の例は、請求書または支払いの領収書を装った2023年のフィッシング・Eメールです。
図7 FacturaをテーマにしたEメール・キャンペーン
Eメールに記載されているように、添付ファイルは暗号化されたZIPファイルで、パスワードはEメールごとに若干異なります。基本的なEメールのフィルタリングやサンドボックス・ソリューションでは多くの場合、Eメールの検査や爆発を行うことができないため、脅威アクターはEメールの添付ファイルを暗号化します。
Strela Stealerはまた、.comのようなPE実行可能ファイルに異常な拡張子を使用しています。.exeの代わり：
これは、Microsoft Windowsオペレーティング・システムでは、次の3つの異なる拡張子を使用してファイルを実行可能としてマークできるという条件を利用しています：.exe、.com、、.pif
コンテンツが実行可能なPEファイルの場合、Microsoft Windowsは開くと自動的に実行します。より一般的で未知の拡張機能を使用することで、キャンペーンは単純なウイルス対策ソリューションや被害者の疑いを回避する可能性があります。同じペイロードを使用した以前のキャンペーンでも、.pif 拡張子を利用していることが観察されました。
悪意のある実行可能ファイルが直接添付されたZIPアーカイブとは別に、Strela Stealerのキャンペーンでは、バッチ、JavaScript、PowerShellなどの難読化されたスクリプトを使用してペイロードをダウンロードまたはドロップすることもよくあります。
2024年を通じて、キャンペーンは主に次の難読化されたスクリプトを利用して PowerShellコマンドを実行し、WebDAVサーバーに接続し、暗号化されたDLLをダウンロードして実行していました。
WebDAVステージング・サーバーは、さまざまな名前とハッシュを持つ多数の DLL をホストします。これらは、X-Forceが「Stellar Crypter」と特定するクリプターを使用して構築されたようで、これは少なくとも2023年5月からHive0145によってのみ使用されていた可能性があります。「Stellar Loader」として特定された悪意のあるバイナリーには、暗号化されたStrela Stealerペイロードが含まれています。
Stellar Loaderは、少なくとも2023年4月から使用されているクリプターであり、主にStrela Stealerペイロードに続く前身となるクリプターです。Stellarサンプルは通常、非常に難読化されており、コントロールフローの難読化などの技術を利用し、分析や署名の作成を妨げる大量の迷惑メール命令を含めています。StellarのペイロードはXOR暗号化され、.dataに保管されています。Stellarローダー・バイナリー・セクション暗号化されたペイロード・データの前にはXORキーが先行します。XORキーは、最近のサンプルでは大文字と小文字のみで構成され、その長さは数千文字になる場合があります。
実行時に、Stellar LoaderはXORと保存されたキーを使用してペイロードデータを復号化します。復号化プロセスには、ハードコードされたシングルバイトキーを使用した追加のXORラウンドが含まれる場合もあります。Stellar Loaderコードの難読化の一部として、コード内の復号化アルゴリズムは、数百の操作が含まれるように拡張されることがよくあります。ただし、これらのオペレーションの大半は互いに相殺されるので、複雑なアルゴリズムのように見えても、単純な XOR 演算に要約できます。以下の製品の画面は、難読化を最小限に抑えたStellar Loaderのバージョンを示しており、ローダーコードと復号アルゴリズムの構造が簡単に確認できます。
ローダーの最新バージョンでは、暗号化されたペイロード・データに続いて、ローダー・コードで必要とされるAPI名のリストを含む追加の暗号化ブロック（VirtualAllocなど）が含まれます。ローダーはペイロードと同じ鍵を使用してこのブロックを復号化しますが、追加のシングルバイトXORは使用しません。ローダーは、ブロック内のAPI名を使用して、対応するAPIアドレスを取得できます。
ペイロードとAPIリストが復号化されると、StellarはVirtualAllocを使用してメモリーにスペースを割り当て、割り当てられた所在地にペイロードPEをマッピングします。次に、インポートのロードや再配置セクション（.relocs）の処理などの標準的なPEロード・ステップを実行し、最後にエントリ・ポイントの所在地でペイロードを実行します。
過去2年間で、Strela Stealerの機能はほとんど変更されていませんでした。2022年末に DCSO が報告した初期バージョン以降、この盗み手の主な目的は、Microsoft OutlookとThunderbirdという2つの一般的なEメールクライアントからEメール認証情報を盗み出すことです。これはすべての亜種で一貫しています。ただし、最新の亜種では、Microsoft Outlookの認証情報を検索するために、以前のバージョンよりも多くのレジストリ・キーがサポートされています。
Strela Stealer は、2 つの Eメールクライアントから認証情報を盗むという 2 つの機能を実行します。
Eメールクライアント
Thunderbird
Microsoft Outlook
勤務地
ファイル・システム
レジストリー
パス
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Outlookの場合、Strela Stealerは特に次のレジストリ値を検索します。
データはフォーマットされ、Thunder BirdデータとOutlookデータの場合はそれぞれ「FF」または「OL」という文字列で調べられます。次に、次のようなGUID文字列を表す静的XORキーでも暗号化されます。
次に、Strela Stealerは、各EメールクライアントのPOST要求をハードコードされたC2サーバーに送信します。
応答は、上記の同じXORキーを使用して復号化されます。Strela Stealerは、リクエストが失敗するか、"KH"(2023年バージョン)、"ANTIROK"(2024年バージョン)、または "CHOLLIMA"(2024年11月バージョン)という文字列を受信するまで、1秒間隔でPOSTリクエストを送信し続けます。
2024年10月現在、Strela Stealerにはさらに2つの窃盗機能も含まれています。最初のシステムは、ホスト上のシステム情報を収集し、それをファイルに書き込みます。
2つ目の窃盗機能は、COMオブジェクトを使用して、被害者マシン上の「Appsフォルダー」（仮想フォルダー、「アプリケーション」と表示）からインストールされているアプリケーションのリストを列挙します。
ドロップされたファイルとインストールされているアプリケーションのリストは、他のファイルと同じ方法で、流出前に読み取られ、暗号化されます。これらは、それぞれ「SI」と「LA」の識別子を使ってC2サーバーに送信されます。
Strela Stealerは、被害者のホストでキーボード言語を検証することにより言語チェックの実装を開始しました。2024 年以降のバージョンは、次のいずれかのキーボード言語を使用するホストでのみ動作します。
11月初旬、Hive0145は盗んだウクライナ語Eメールの配布を開始し、言語検証ロジックをわずかに変更して、キーボード・レイアウトのリストにウクライナ語（0x422）を追加しました。さらに、開発者はGetKeyboardLayoutList APIの使用に切り替えて、インストールされているすべてのキーボード・レイアウトをカバーしました。どの言語も一致しない場合、Strela Stealerは、GetLocaleInfoAからのユーザーのデフォルト・ロケールの結果を、オーストラリアとウクライナのコードである「AU」および「UA」と比較するセカンダリ・チェックを行います。開発者は返された値の完全性を確認しておらず、オーストラリアをターゲットにする意図がなかった可能性があります。全体として、これらの変更により、Strela Stealer感染に利用できるマシンの範囲が広がります。
以前は、マルウェアは疑いを引き起こさないために、実行後にユーザーに目立たないエラー・メッセージを表示していました。インストールされているキーボードに応じて言語でファイルが破損しており、開くことができないと表示されます。最新バージョンでは、実行開始から5秒後に表示される、より汎用的なエラーメッセージ「Err 100」を使用しています。
2023年6月、X-Forceは、完全に.NETで書き直された新しいStrela Stealerバリアントを提供する単一のイタリアをターゲットにしたHive0145キャンペーンを観察しました。以前のキャンペーンと同様に、有効なコード署名証明書も使用していました。別の言語でマルウェアを再実装することは、脅威アクターによる多大な努力を示しています。文字列、関数名、制御フローを隠すために、開発者は.NET用の商用の「Aldaray Rummage Obfusioncator」を利用しました。以下の製品の画面は、Microsoft Outlookレジストリー・キーからIMAP認証情報にアクセスし、保護を解除するために使用されるコードを示しています。
特に、商用難読化ツールには、ライセンスの透かしが含まれており、それは次のように観察されています。
上記のサンプルには、次のエラーメッセージがイタリア語で表示されます。
Hive0145はEメール認証情報の収集に重点を置いているため、コモディティ化され、より広範囲の認証情報やデータを標的にしたり、初期アクセスを目的とした後続のペイロードを作成したりすることが多いスティーラーやボットネット・マルウェアの他の運営者とは一線を画しています。Hive0145が盗んだEメールを添付ファイルのハイジャックに使用していることは、盗まれたEメールの認証情報の一部が、さらなる配布のために正規のEメールを収集するために使用されている可能性があることを示すものです。Hive0145が使用する盗んだEメールやアクターが作成したEメールはどちらも、主に請求書を主要な機能としており、潜在的な金銭的動機を示しています。Hive0145は、さらなるビジネスEメール詐欺の目的で、盗んだEメールをアフィリエイト・パートナーに販売する可能性があります。
Hive0145は、急速に成熟しているサイバー犯罪脅威アクターであり、有効なEメール認証情報を取得することを目的として被害者に感染させようとしています。所見によると、最初のキャンペーンを通じてEメール認証情報が盗まれたことが、その後の添付ファイルのハイジャック・キャンペーンで使用された有効なEメールのさらなる窃盗につながったと考えられます。Stela Stealer マルウェアは、Hive0145 にとって Eメール認証情報を抽出するための効果的なツールであり続けています。
Hive0145のEメール・キャンペーンによってエミュレートされる業種・業務は多岐にわたるため、ヨーロッパ全土の商用組織が標的にされる可能性のあるリスクが高まります。なお、イタリア語、スペイン語、ドイツ語、ウクライナ語を話す地域の組織は、Hive0145キャンペーンの差し迫ったリスクにさらされている可能性があります。X-Forceは、受信したEメールの添付ファイルに対する警戒を強化し、予想されるファイルタイプを慎重にレビューすることを推奨しています。
X-Forceは以下の組織を推奨しています:
分類
インジケーターの種類
コンテキスト
03853c56bcfdf87d71ba
SHA256
Stellar Loader (Oct 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (2024年5月)
2cac42735170cd3f67111807
SHA256
Stellar Loader - 最小限の難読化 (2024年1月)
9a032497b82c3db8146cb6
SHA256
Strela Stealerのペイロード
e4a7ad38aaea4bd27c32c57
SHA256
Strela Stealerのペイロード
2f7ac330e100b577748bb34
SHA256
Stellar Loader (2024年11月)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Strela Stealer .NET variant
