分析レポート:Emotetの裏で動くバンキングマルウェア 「Zloader」に注意 | LAC WATCH By サイバー救急センター Published: 2020-11-25 · Archived: 2026-04-05 17:34:03 UTC 更新:2020年11月25日 更新のお知らせ 2020年11月6日に公開した記事の内容を訂正しました。 【訂正箇所】「表2 BaseConfig情報と感染経路の関連性」内の2020年9月中旬、感染経路が③の場合の RC4キー 誤:e858071ef441a9a66f1a0506fc20b8c3 正:03d5ae30a0bd934a23b6a7f0756aa504 サイバー救急センターの脅威分析チームです。サイバー救急センターでは、2020年9月にEmotetの攻撃 メールの件数が急増したため注意喚起※1を行いました。その後もEmotetを配布する攻撃は継続してお り、2020年10月に入ってもEmotetに関連する問い合わせを数多くいただいております。 ※1 LAC WATCH:【注意喚起】猛威をふるっているマルウェアEmotet検知数の急増と対策について 図1は、サイバー救急センターへの問い合わせのうちEmotetに関連した問い合わせ件数を示したグラフ です。2020年8月以降、問い合わせ件数は増え、9月には50件を超える問い合わせがありました。攻撃 者グループは、金融機関サイトを中心に、仮想通貨取引所、ショッピングサイトや検索エンジンサイ トにも攻撃対象を広げる可能性があるため、状況を確認し、この記事で紹介する対策を実施しておく 必要があります。 図1 Emotetに関連するサイバー救急センターへの問い合わせ状況 Emotet は、情報窃取を行うだけでなく、感染端末から窃取した情報を用いてスパムメールを送信する 機能を有するマルウェアですが、もう一つ大きな役割として他のマルウェアを呼び込むダウンローダ https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 1 of 13 として使用されています。ダウンロードされるマルウェアは、状況や時期に応じて異なりますが、 TrickbotやQbot(Qakbot)、Zloaderなどの情報窃取型のマルウェアです。 サイバー救急センターがEmotetに感染した端末を2020年9月に調査したケースでは、約90%がZloaderに 感染していました。Zloaderに感染した端末を調査する中で、日本の金融機関やクレジットカード会社 を狙った痕跡も確認しています。そこで今回は、猛威をふるっているZloaderについて紹介します。 Zloaderとその感染経路 ZloaderのBaseConfigと感染経路の関連性 機能を拡充させるZloader 日本の金融機関を狙うZloader Zloaderが端末に残す痕跡 Zloader被害に遭わないための対策 Zloaderとその感染経路 Zloaderは、オンラインバンキングの情報を窃取することを目的としたマルウェアの一つです。追加モ ジュールをC2サーバからダウンロードすることで、遠隔操作が可能なVNC(Virtual Network Computing)機能や情報窃取が可能なキーロガーやスクリーンショットなどの機能を拡充します。図2 は、Zloaderの動作概要図です。 図2 Zloaderの動作概要図 まず、Zloaderの感染経路に着目します。2020年10月時点で、日本国内の端末がZloaderに感染する経路 は、3つあることを確認しています(図3)。一つは、2020年8月下旬から観測しているEmotet経由でダ ウンロードするケース(①)であり、もう一つは、2020年10月中旬から観測している不正なマクロ付 きのOfficeドキュメントファイルを経由して直接ダウンロードするケース(②)です。その他にも、 https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 2 of 13 Webサイト上の不正広告によってマルウェアに感染させるエクスプロイトキット経由でZloaderをダウン ロードするケース(③)があり、2019年12月下旬から観測しています。 図3 Zloaderへの3つの感染経路 それぞれの感染経路で使用されているZloaderは、時期によってバージョンが異なり、バージョンが更 新されるごとに機能を拡充させています。 脅威分析チームでは、2019年12月下旬に日本の金融機関などのアカウントを対象とした1.0系のZloader を観測しており、この頃から攻撃者グループが日本をターゲットにし始めたと考えています。2020年6 月頃から攻撃は頻繁に行われ、2020年10月でも継続して攻撃が行われています。 表1は、攻撃の観測月とZloaderのバージョンを示したものです。Zloaderのバージョンは頻繁に更新され ており、攻撃者グループの動きが活発であることがわかります。 表1 Zloaderバージョン情報 ZloaderのBaseConfigと感染経路の関連性 次に、Zloaderが持つ設定情報をみていきます。Zloaderは、BaseConfigと呼ばれるデータ構造を使用し て、初期設定情報を保持しています。このBaseConfigには、図4に示すようなボットネットID(赤枠) https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 3 of 13 やキャンペーンID(青枠)、通信先(緑枠)やRC4キー(紫枠)などの情報が暗号化されて含まれてい ます。 図4 復号後のBaseConfig(一部抜粋) ここでは、BaseConfig情報と感染経路に着目して、それぞれの経路でダウンロードされたZloaderの関連 性をみていきます(表2)。2020年10月の事例において、感染経路②と③でダウンロードされたZloader は、共にボットネットID「r1」、キャンペーンID「r1」、RC4キー 「e858071ef441a9a66f1a0506fc20b8c3」であり、同一の設定情報を保持していることがわかります。ま た、通信先情報(C2サーバ)も同一でした。さらに、このRC4キーに着目してみると、感染経路①を 含む3つの全ての感染経路で同じキーが利用されていることが確認できます。 このように、ZloaderのBaseConfigに含まれる特定の情報が一致することから、同じ攻撃者グループが 様々な攻撃インフラを利用して活動を行なっている可能性がうかがえます。 表2 BaseConfig情報と感染経路の関連性 機能を拡充させるZloader Zloaderはバージョンアップを繰り返しており、機能を拡大しています。ここでは、Zloaderの仕組みと バージョン1.3.27.0以降の新しいコマンドなどを紹介します。なお、Zloaderの詳細な解析内容について は、2020年5月中旬に公開されたMalwareBytes社とHYAS社のレポート※2やProofpoint社のレポート※3を 参照ください。 ※2 Shining a light on "Silent Night" Zloader/Zbot - Malwarebytes Labs | Malwarebytes Labs (https://blog.malwarebytes.com/threat-analysis/2020/05/the-silent-night-zloader-zbot/) ※3 ZLoader Loads Again: New ZLoader Variant Returns | Proofpoint US https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 4 of 13 一般的にZloaderは、ローダとモジュールによって構成されています。2020年10月現在、3つの感染経路 でダウンロードされているZloaderはローダであり、端末に感染後C2サーバと通信してCore Botと呼ばれ るモジュールをダウンロードします。ダウンロードされたCore Botは、msiexec.exeなどのプロセスにイ ンジェクトし、動作します。その後、オンラインバンキングマルウェアとしての主要な機能を備えた Zloaderは複数のスレッドを作成し、追加のモジュールの取得やC2サーバからのコマンド待機、感染端 末の情報送信などを行います。 表3に2020年6月以降Core Botで実装されたコマンドを示します。これらのうち、「user_execute_shell」 と「user_execute_cmd」はバージョン1.4.28.0で新しく実装されたコマンドで、いずれも攻撃者が感染端 末上で任意の操作を行うためのものです。また、コマンド「user_execute_mem」は、バージョン 1.3.27.0まで実装されていましたが、その後削除されており、2020年10月29日時点の最新のバージョン 1.6.28.0においても確認されていません。 表3 Core Botのコマンド なお、上記のコマンドを受信した場合だけでなく、一部の情報窃取機能は必要なモジュールをダウン ロードした直後にも動作します。たとえば、WebブラウザのCookie情報は、C2サーバからコマンド 「user_cookies_get」を受信しなくとも、 SQLiteデータベース関連機能が含まれたモジュールがダウン ロードされた後に窃取されます。 また、ネットワークやドメイン環境を調査するためのWindows標準コマンドである「cmd.exe /c ipconfig /all」や「cmd.exe /c net view /all /domain」などに関しても、Core Botの動作開始時に実行され、結果が C2サーバへ送信されます。 バージョン間の他の大きな特徴として、コマンド「user_files_get」の実装が変化していることが挙げら れます。具体的には、感染端末から文書ファイル(拡張子がtxt、docx、xlsのファイル)を窃取する機 能が、端末上の仮想通貨ウォレットを窃取する機能へと変化しています。 バージョン1.0.8.0では、コマンドを受信した際に%TEMP%配下に一部の文書ファイルがコピーされ、 別のスレッドによってC2サーバへ送信するという動作でしたが、その後のバージョンでは文書ファイ ルを検索するもののファイルのコピーを行わなくなり、さらにバージョン1.5.28.0では文書ファイルの 検索すらも行われなくなりました(図5)。 また、%TEMP%配下に一時的にファイルをコピーするという動作にも変更がみられ、ファイルを読み 込んでそのまま送信するようになりました。 https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 5 of 13 図5 文書ファイルを窃取する機能の比較 (左:バージョン1.0.8.0、右:バージョン1.5.28.0) その一方で、端末上の仮想通貨ウォレットを窃取する機能が拡充されています。バージョン1.0.8.0で は、仮想通貨ウォレットであるwallet.datをファイル検索して窃取する程度でしたが、バージョン 1.5.28.0ではBitcoin-QtやLitecoin、Electrum、Ethreumなどの多数のウォレットが狙われるようになりま した(図6)。 この機能によって、感染端末上にウォレットが存在する場合はその内容がC2サーバへ送信されます。 なお、この動作はコマンド「user_files_get」の受信に関わらず実行され、C2サーバからコマンドがあっ た場合にも実行されます。 図6 Bitcoin-Qtのデータを窃取対象とするためのコード(バージョン1.6.28.0) 以上のように、ZloaderのCore Botは開発が盛んに行われており、全体的に不要な機能の削減をしつつ、 攻撃者の目的に沿って機能を追加している傾向があります。そのような中で、2020年10月頃から確認 https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 6 of 13 しているバージョン1.5.28.0以降から、仮想通貨に関連した機能が拡充されていることから、Zloaderを 利用する攻撃者グループは金銭窃取に高いモチベーションがあるものと考えられます。 日本の金融機関を狙うZloader 多くのオンラインバンキングマルウェアは、Webインジェクション(Webinjects)と呼ばれる攻撃手法 を利用します。この手法は、ユーザのWebブラウザ上で表示されるWebページに対して不正なHTMLや JavaScriptを挿入し、偽の入力画面などを表示させることで、ユーザの入力情報を窃取するものです。 Zloaderもこの攻撃手法を用いて金融機関やクレジットカード会社の認証情報を窃取します。 Zloaderが採用しているWebインジェクション用のシステムは、Yummba※4と呼ばれるものです。図7 は、Webインジェクション用の設定ファイルであり、図8は、攻撃者が用意したマニピュレーションサ ーバ※5にアクセスした画面です。2020年10月29日時点では稼働していることが確認できます。 ※4 XyliBox: ATSEngine ※5 マニピュレーションサーバ:不正なHTMLやJavaScriptを配信または窃取した認証情報などが送信さ れる不正なサーバ 図7 Webインジェクション用の設定ファイル(一部抜粋) https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 7 of 13 図8 Yummbaを利用したマニピュレーションサーバ 2020年10月下旬に感染経路③で確認したZloaderは、図9に示すような日本の金融機関やクレジットカー ド会社、ショッピングサイトを標的とするWebインジェクション用の設定ファイルを利用していまし た。これは、ほぼ同時期に感染経路①や感染経路②からダウンロードされたZloaderでも、同様の標的 が含まれており、ここからも、同じ攻撃者グループが様々な攻撃インフラを利用して活動を行なって いる可能性がうかがえます。 また、2020年10月下旬に確認できたWebインジェクション用の設定ファイルに含まれていた標的のWeb サイトは、全て日本のWebサイトであり、明らかに日本のユーザを標的としているということも言えそ うです。 図9 WebインジェクションのターゲットとなるURLの一例 Zloaderが端末に残す痕跡 https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 8 of 13 端末に作成されたディレクトリやファイル、レジストリキーの痕跡を確認することでZloaderへの感染 有無を判断することが可能です。 1. ディレクトリやファイルの痕跡 Zloaderは、「%APPDATA%」配下にランダムな文字列のフォルダを複数作成し(図10)、作成された フォルダには、それぞれZloaderの複製やC2サーバからダウンロードした追加モジュールなどを暗号化 して保存します。 図10 Zloaderによって「%APPDATA%」配下に作成されたランダムな文字列のフォルダ例 複製されたZloaderの例(図11) 「%APPDATA%¥Ykal¥osognyu.exe」 「%APPDATA%¥Qxpwr¥feyve.exe」 図11 Zloaderが複製されている例 ダウンロードされた追加モジュールの例(図12) 「%APPDATA%¥Ucfuba¥yapxu.ew」 「%APPDATA%¥OQcwhf¥irxie.le」 https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 9 of 13 図12 暗号化されたVNCモジュール(Hidden VNC)が作成されている例 2. レジストリキーの痕跡確認 Zloaderは、端末が起動時に自動起動するよう自動起動レジストリを作成します。また、Zloaderのボッ ト情報やWebインジェクションの情報などもレジストリキー 「HKEY_CURRENT_USER\Software\Microsoft\(ランダム文字列)\(ランダム文字列)」に格納しま す。 端末の自動起動レジストリキーの例(図13) HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run 図13 自動起動レジストリキーにZloaderが設定されている例 Zloaderの構成情報やWebInjectの情報などが含まれるレジストリキーの例(図14) HKEY_CURRENT_USER¥Software¥Microsoft¥toxm¥ugba HKEY_CURRENT_USER¥Software¥Microsoft¥Ofohq¥ukpofu 図14 Zloaderの構成情報が含まれている例 Zloader被害に遭わないための対策 2020年10月現在、Zloaderはさまざまな方法で日本のユーザを標的として国内へ配布されています。特 に猛威をふるっているEmotetの感染状況をみると、Zloaderの感染被害に遭っているユーザは多数存在 し、攻撃者は日本の感染端末から情報を窃取している可能性が考えられます。2020年10月下旬の攻撃 で利用されたWebインジェクション用の設定ファイルを確認する限りでは、2020年9月中旬で利用され たものに比べて対象とする金融機関が増えていました。 https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 10 of 13 今後、Zloaderを利用する攻撃者グループは、さらなる金融機関サイトの拡大や金銭に関連する情報を 扱う仮想通貨取引所、ショッピングサイトや検索エンジンサイトなどにもターゲットの幅を広げる可 能性があります。 引き続き、Zloaderを拡散するための攻撃は継続することが考えられるため、攻撃の被害に遭うことが ないよう、以下のようなセキュリティ対策が実施できているか今一度ご確認いただくことを推奨しま す。 Windows OSやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にする ウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新する EDR製品を導入し、感染の検知・防御だけでなく、万が一の際の迅速な対応を可能にする 身に覚えのないメールの添付ファイルは開かない。メール本文中のURLリンクはクリックしない マクロやセキュリティに関する警告が表示された場合、安易に「マクロを有効にする」「コンテ ンツの有効化」というボタンはクリックしない 脅威分析チームは、今後も、さまざまなマルウェアキャンペーンを継続的に調査し、広く情報を提供 していきたいと考えていますので、その情報をご活用いただければ幸いです。 サイバー救急センター 脅威分析チーム (松本、髙源、石川) IOC(Indicator Of Compromised) Zloaderハッシュ値(MD5) 0a2b1a930b0a1fd7dc11d9f41bb421bb 0ccdbb8625ce02f3b70023367ba727de 23f46600a01ee95f55e6ff51b5e1d5cb 28d032b4df55d51608542d1e7ba25fcb 399afac5870b698e7692fb7bb2a500eb 7f501acc3cb1175798eebc2d7066d3f7 870a53819f2db3549facbf849717aea7 b035e24d80b7460ead4a95d0894ec36d cd1f5e41d727816c6ca5e6c073130df4 d31b05ee7a806f3ffa827a4586478e92 d5afcf6fe67071bc51781701b7f9281a f001a34284907effccd73401f3c67024 通信先 as9897234135[.]com as9897234135[.]in as9897234135[.]net as9897234135[.]org as9897234135[.]xyz https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 11 of 13 azoraz[.]net dasifosafjasfhasf[.]com dogrunn[.]com dsdjfhd9ddksaas[.]com dsdjfhd9ddksaas[.]eu dsdjfhd9ddksaas[.]pro dsdjfhd9ddksaas[.]pro dsdjfhd9ddksaas[.]ru dsdjfhdsufudhjas[.]com dsdjfhdsufudhjas[.]com dsdjfhdsufudhjas[.]info dsdjfhdsufudhjas[.]info dsdjfhdsufudhjas[.]name dsdjfhdsufudhjas[.]net dsdjfhdsufudhjas[.]pro dsdjfhdsufudhjas[.]pro dsdjfhdsufudhjas[.]pw dsdjfhdsufudhjas[.]su dsjdjsjdsadhasdas[.]com dsjdjsjdsadhasdas[.]com fdsjfjdsfjdsdsjajjs[.]com fdsjfjdsfjdsdsjajjs[.]com fdsjfjdsfjdsdsjajjs[.]info fdsjfjdsfjdsdsjajjs[.]info fdsjfjdsfjdsjfdjsfh[.]com fqnssvtmqsywufblocpheas[.]eu fqnvtmqsyfwublocpheas[.]eu fqnvtmqsywubflocpheas[.]eu fqnvtmqsywublfocpheas[.]eu fqnvtmqsywublocpheas[.]eu fqnvtmqsywublocpheas[.]ru fqnvtmqsywublocpheas[.]su fqnvtmqsywuikdjsmasablocpheas[.]eu freebreez[.]com hbamefphmqsdgkqojgwe[.]com hoxfqvlgoabyfspvjimc[.]com idisaudhasdhasdj[.]com idisaudhasdhasdj[.]com idisaudhasdhasdj[.]info jdafiasfjsafahhfs[.]com karamelliar[.]org kasfajfsafhasfhaf[.]com https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 12 of 13 kdsadisadijdsasm2[.]com kdsidsiadsakfsas[.]com litlblockblack[.]com makaronz[.]com notsweets[.]net oajdasnndkdahm[.]com olpons[.]com ricklick[.]com vaktorianpackif[.]com yrsfuaegsevyffrfsgpj[.]com Source: https://www.lac.co.jp/lacwatch/people/20201106_002321.html https://www.lac.co.jp/lacwatch/people/20201106_002321.html Page 13 of 13