Ursnifマルウェア

Ursnifマルウェアとは?

Ursnifマルウェア(別名:Gozi、Gozi-ISFB、Dreambot、Papras、snifula)は、バンキング型トロイの木馬、窃取プログラム、スパイウェアに分類され、2020年において2番目にアクティブなマルウェアの系統としてランク付けされ、マルウェア検出数の30%以上を占めています。Ursnifの寿命は数十年に及び、2000年に初めて登場したことから、最も古いマルウェアの1つに数えられています。また、ソースコードの頻繁な公開により、最もフォークされているマルウェアの1つにもなっています。Ursnifのマルウェア・ファミリーには、さまざまなモジュール機能を備えた非常に効果的な亜種が増え続けています。2021年、Ursnifは米国政府のCISAによって、懸念すべきマルウェアのトップとして取り上げられました。 

ウルスニフ最新ニュース

ウルスニフ・タイムライン

2000:Ursnifは、悪名高いロシアのマルウェア開発者Alexey Ivanov(別名subbsta)に起因する。

2006:Ursnifのステア機能とマルウェアNuclear Grabberのボットネットおよびコマンド&コントロール(C2)機能を組み合わせてGoziを作成 

2010:流出したGoziのソースコードから新バージョンGozi-ISFBが出現し、Ursnifの主流となる。

2014: TORネットワーク上での操作を可能にするUrsnifの亜種Dreambotが出現し、2020年まで人気を博す。

2014:Vawtrak(別名Catch、grabnew、NeverQuest)が登場。オリジナルのGoziコードをベースとしながらも、VNCリモートデスクトップで標的を監視しデータを盗むだけでなく、洗練されたWebインジェクションでバンキングや暗号サイトにログインするユーザーからセッション認証情報やMFAトークンを盗むなど、バンキング型トロイの木馬として成功するために広範囲にフォークされる。

2016:GozNymバンキングマルウェアは、マルウェアNymaim株のステルス性とUrsnifのGozi-ISFB株の能力を組み合わせたものです。2019年には、ユーロポールによる前例のない国際的な法執行活動を引き起こした。

2020:LOLsnif (別名Goziat)は、その「Living Off the Land」という探知回避技術から名付けられ、Ursnifの存在感を高める。

ウルスニフの働き

Ursnifの最初のアクセス経路は、電子メールの添付ファイル、悪意のあるWebサイト、トロイの木馬化されたアプリケーションなど、他のマルウェアの手口と似ています。最近成功したUrsnifのキャンペーンでは、特に巧妙で注目すべきテクニックが使われています。それは、盗んだ電子メールの認証情報を使って、進行中の会話にスピアフィッシングの返信を挿入するというものです。注入されたメッセージは、Ursnifのセカンドステージのペイロードを実行する悪意のある添付ファイルを開くよう、受信者を誘導します。

Ursnifの初期アクセスペイロードは通常、ターゲットがMicrosoft Officeマクロを有効にすることを要求し、これにより攻撃者が制御するサーバからコンパイル済みの実行ファイルがフェッチされ、ターゲットのシステム上で実行されます。第2段階のプロセスは、Ursnifが見つけることのできるユーザー認証情報を盗み出し、コマンド&コントロール(C2)サーバーに接続し、さらに第2段階のモジュールをダウンロードしてインストールすることから始まります。

Ursnifの最近のバージョンは、LOLBins(Living Off the Land Binariesの略)と呼ばれるテクニックを使って検知を回避しようとしている。LOLBinsは、ツールをインポートするのではなく、Windowsネイティブのソフトウェアツール(powershell.exemshta.exeなど)を活用して目的を達成する。ステルス性を高めるため、Ursnifの新しいバージョンでは、セキュリティ製品が認識するブロックされたドメイン名やIPアドレスの使用を避けるために、Google DriveのURLにリンクしています。また、Ursnifはパスワードで保護されたZIPファイルを使用し、ペイロードがネットワークに侵入する際に確実に暗号化され、洗練されていないセキュリティ製品を回避します。

ウルスニフのモジュラー機能

  • 一般的な電子メール、ブラウザ、FTPクライアントからの情報収集とクレデンシャルの採取
  • ユーザーのキーストローク、スクリーンショット、クリップボードデータを監視し、盗み見る。
  • 多要素認証(MFA)トークンを含む認証情報を取得し、ユーザーアカウントをハイジャックするために、一般的な銀行や暗号交換のウェブサイトに余分なコード(すなわちウェブインジェクト)を挿入することによって、ブラウザのトラフィックを傍受し、変更する。
  • 侵害されたシステムへのファイルのアップロードとダウンロード
  • 監視とリモートアクセスのためのSOCKSベースの接続を使用したVNCリモートデスクトップアクセスの確立
  • ドメイン生成アルゴリズム(DGA)が動的にドメイン名を生成し、それをC2として使用することで、識別やブロッキングを回避する。

ウルスニフ攻撃の兆候

最近、Ursnifは、ポーランド、イタリア、日本などの個々の国家の市民を餌に、現地の政策に関する合理的なレベルの知識を示す、文法的に正しく、専門的に聞こえるスパムコンテンツのキャンペーンで配信に成功している。このキャンペーンは、税制やその他の規制の変更に関連する重要な情報を持っているように見せかけ、金融業界をターゲットにしている。

より技術的な観点からは、Ursnifのブロックされたドメイン名、IPアドレス、マルウェアのファイルハッシュの一部を使用して、ネットワークに侵入したマルウェアを検出することができます。しかし、このようなシグネチャベースの検知手法には、新種のマルウェアを検知するための限界があることが知られています。Ursnifの最近のバージョンでは、DGAを使用してC2ドメインやIPアドレスが検知されないようにしています。 

ウルスニフの攻撃を防ぐには

Ursnif攻撃を防ぐための最も効果的な戦術は、トロイの木馬化されたMicrosoft Office文書や盗まれた認証情報を使ったフィッシングなど、一般的な第一段階の攻撃ベクトルを使用する他のマルウェアの系統を防御するための戦術と同様です。

  • すべての重要なサービス(特にオンラインバンキングと暗号通貨口座)に多要素認証を導入する。
  • フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書(SOP)を作成する。
  • 暗号化されたファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
  • 暗号化された文書を暗号化解除後すぐにスキャンするエンドポイントセキュリティ製品のインストールと設定
  • 重要なシステムを優先して、可能な限りゼロ・トラスト・ソリューションを導入する。 
  • Officeアプリケーションが以下のように設定されていることを確認します。 通知なしですべてのマクロを無効にする または デジタル署名されたマクロ以外を無効にする 設定

CylanceOPTICS ウルスニフを防ぐ

CylanceOPTICS®は、根本原因分析、スマートな脅威ハンティング、自動化された検出と対応機能により、セキュリティインシデントを防止するために、人工知能(AI)を使用してデバイス上での脅威検出と修復を提供します。当社のEDR(Endpoint Detection and Response)アプローチは、レスポンスの遅延を効果的に解消します。これは、軽微なセキュリティ・インシデントと、制御不能な広範なイベントとの違いとなります。
さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース