ここ数日の間に、多くの日本企業宛に、健康保険組合になりすまし、医療費通知を装った不審なメールが送られています。メールに添付されたマルウェアは、図1のようにWordドキュメントを装った実行ファイル（exe）で、実行後に図2のデコイファイルが表示され、RAT本体がドロップされます。

図1　Wordドキュメントを装ったドロッパ

図2　ドロッパ実行後に表示されるデコイファイル

弊社で確認している検体のIndicatorは下記の通りです。

ドロッパ（Wordファイルに偽装した実行ファイル）
MD5 - 3b2b36edbf2934c7a872e32c5bfcde2a

デコイファイル
File path - %TEMP%\kptl.doc
MD5 - b91c9731736573e3e277031f87deed70

Implant/RAT
File path - %TEMP%\leassnp.exe
MD5 - 8bf944283987de847851d3d2279b8cf8

類似のImplant/RAT検体
MD5 - e4fc0ce4d1fd8c91eed4748721f279a8
MD5 - dccc63cd649b439d31afd0674bcab1a1

これらのRATに感染すると、下記のC2サーバへ接続します。
弊社が確認する限り、ほとんどのC2サーバが正規サイトが改ざんされたものなので、既存のブラックリストを利用したURLフィルターの類では検知することができません。下記リストでは、一部をアスタリスク「*」でマスキングしていますが、URLパスはそのまま表記させて頂きます。プロキシサーバのログ等から、感染事実を確認する際にご利用下さい。

【C2サーバのURL一覧】

www.ar***-**ll.jp/blog/tokuhan/book/index.php
www.d10103**.****ing-sv.jp/www.al****.jp/book/index.php
www.i**.gr.jp/100.html
www.kaer*****.com/_module/book/index.php
www.www.nish***.gr.jp/info/yougo/book/index.php
www.sakura*****.com/blog/index[.]php
www.seki***.biz/wp-content/plugins/akismet/state/index.php

RATから発生するCallback通信は、図3のように、POSTメソッドでパラメータを渡したり、Cookieで渡しているパターンも見られます。

図3　RATから発生するCallback通信

VirusTotal Intelligenceで上記RATを確認すると、いずれも一か月前の10月前半にアップロードされており、うち2つがTOR経由でアップロードされています。推測ではありますが、今回の攻撃キャンペーンを行う前に、攻撃の準備段階において、攻撃者がテストのために検体をVirusTotalへアップロードしていた可能性が考えられます。

図4　VirusTotalにて確認したRAT

また、いずれの検体も難読化されていない割に、VirusTotalへの初回アップロード時のAV検知率が低めです。

図5　VirusTotalでの検知率の推移

最後に、かなり粗いですが、上記RATを検出するためのYaraルールです。

rule Macnica_APT_20141106 : implant
{
meta:
author = "Macnica Networks Corp."
date = "2014-12-03"
version = "1.1"
actor = "Unknown"
description = "Spearphishing disguised as an medical bill from health insurance association"
strings:
$string00 = "HTTP/1.0" wide
$string01 = "CAB File Extract Utility" wide
$string02 = "omni callsig"
$string03 = "SERVER ERROR"
$string04 = "ncsi.txt"
$string05 = "a5j_5W"
$string06 = "tR99u2"
$string07 = "dynamic atexit destructor for"
$string08 = "vbtable"
condition:
all of them
}

#Emdivi #CloudyOmega #クラウディオメガ #医療費通知のお知らせ #エムディヴィ