新しいUrsnifキャンペーン

Ursnifの新しいキャンペーンが観測されています。
呼び名にはいくつかありますので、Goziという名前のほうであれば知っているという方も多いかもしれません。

Ursnifの感染経路は複数ありますが、メール経由とWebサイト経由の2種類に分類されます。
メール経由の場合、ダウンローダとして動作する添付ファイルを実行することにより Ursnifに感染します。
Web経由の場合、まず最初に別のExploitに感染し、これがUrsnifをもってきます。

基本的にオフィス文書に仕込まれたマクロですので、いかにしてその文書のマクロを有効にさせるかという点がこのマルウェアに感染するかどうかのポイントになってきます。
新しいキャンペーンでは、感染する間の処理のなかでIPアドレスを使用してそのパソコンの地域を特定します。
そしてターゲットとして想定した地域の場合はそのまま感染へ向けての処理を続行しますが、そうでない場合にはアダルトサイトにリダイレクトされます。

Ursnifは長く活動が観測されているマルウェアなのですが、観測当初は広く感染活動を行う動きし、その感染対象を絞る動きはしていませんでした。
このマルウェアはヨーロッパや日本で多く観測されているのですが、日本の人にイタリア語の請求書資料を送りつけても、詐欺には引っ掛かりにくいと思います。
このような点が今回確認されている新しいUrsnifでは対応されてきています。
対象者により適した攻撃を効果的に実施するということでしょうか。

Ursnifは、技術面では、攻撃プロセスを複数のステージで構成し、Powershellやステガノグラフィを活用し、より複雑な攻撃チェーンを使用する、などの取り組みを実施しています。
しかしこういったことと同時に、対象に応じた内容を的確に対象に届けるということも確実に感染させるために取り組んできています。

防御側としても、技術面に絞った対策だけに終始するのではなく、効果的な対策について視野を広くして考えていくことが必要なのかもしれません。

参考記事（外部リンク）：TA544 group behind a spike in Ursnif malware campaigns
targeting Italy
securityaffairs.co/wordpress/122875/malware/ta544-ursnif-campaigns-italy.html