解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

Weekly Analysis Articles (2020/04/12-18)

f:id:k1z3:20200426185657j:plain

今週1週間で見かけたマルウェアなどの解析記事(10件)。
今週は多かった。

Gamaredon APT Group Use Covid-19 Lure in Campaigns

ウクライナの政府機関を標的とする APTグループ Gamaredon
コロナのパンデミックをテーマとした、メールの添付ファイルをつかう
docx ファイルに VBScript が含まれており追加のぺーロードを取得し復号、実行する。

  • docx Template Injection
  • VBS

blog.trendmicro.com

Exposing Modular Adware: How DealPly, IsErIk, and ManageX Persist in Systems

Dealply、IsErIk、ManageX とさまざまな名前が付けられた3つのアドウェアについての分析
Chrome 拡張機能の ManageX (Bujo) から始まる
暗号化されたPEファイルも使われる

  • JavaScript
  • WScript
  • 暗号化されたPEファイル

blog.trendmicro.com

PoetRAT: Python RAT uses COVID-19 lures to target Azerbaijan public and private sectors

これまで知られていなかったマルウェア PoetRAT によるキャンペーン
アゼルバイジャン政府ドメインを模倣したURLを使用して配布された
SCADAセクターの民間企業を含む、国アゼルバイジャンの市民を標的にしたいと考えられている

blog.talosintelligence.com

New AgentTesla variant steals WiFi credentials

WiFi の資格情報を盗む AgentTesla の亜種
ペイロードが埋め込まれた .NET アプリケーション
盗んだ情報を SMTP メッセージとして送信する
WiFiを拡散のメカニズムとして使用することを検討している可能性がある

blog.malwarebytes.com

Coronavirus Update App Leads to Project Spy Android and iOS Spyware

2019年に観測された Android アプリのマルウェア SpyAgent
これの最新バージョンが Coronavirus Updates というアプリとして公開されていた
トレンドマイクロはこのアプリの更新を何度か観測し、キャンペーンを Project Spy と名付けている。
同一作者名で iOS 用の App Store にも悪意のある挙動を行うアプリが存在した

blog.trendmicro.com

Slack phishing attacks using webhooks

GitHub などでリークした Slack Incomming WebHook をつかい投稿する
チャンネルオーバーライドを利用して他のチャンネルに書き込みを行う

  • Slack Incoming Webhooks
  • Python

cybersecurity.att.com

NetWire RAT Targeting Taxpayers is Spreading via Legacy Microsoft Excel 4.0 Macro

資格情報の盗用、キーストロークのログの記録、およびハードドライブ、ネットワークカードなどのコンポーネントを含むハードウェア情報の盗用に焦点を当てたトロイの木馬 NetWire RAT
WorldWiredLabs で販売されている
Excel 4.0 マクロ (xlm) を使用している

www.fortinet.com

TA505 Continues to Infect Networks With SDBbot RAT

TA505(別名Hive0065)によるSDBbotリモートアクセストロイの木馬
Onehubになりすまして標的型攻撃メールを使用している。

  • SDBbot RAT
  • CobaltStrike
  • Meterpreter (リバースシェル)
  • PowerShell

securityintelligence.com

Malicious Attackers Target Government and Medical Organizations With COVID-19 Themed Phishing Campaigns

政府および医療機関を標的としたCOVID-19をテーマにしたフィッシングキャンペーンを2件。
1.RTFファイルを使ってCVE-2012-0158を使用してランサムウェアを配信
2.AgentTeslaマルウェアファミリの亜種を配信するドロッパー(exe)

  • Ransomeware
  • Traffic
  • C#
  • FTP

unit42.paloaltonetworks.com

APT41が新たなSpeculoosバックドアを使用し、世界的規模で組織を攻撃

※ 4/13 発英語版の日本語抄訳。

Citrix、CiscoZoho各社のネットワークアプライアンスを標的にした攻撃者グループAPT41の攻撃キャンペーンで使われた検体のうち、Citrix製アプライアンスを標的にしたペイロードサンプル(Speculoosと命名)の解析。
FreeBSD上で動作する。
CVE-2019-19781の脆弱性をエクスプロイトして配信される。
GCC 4.2.1でコンパイルされたELF実行可能ファイルのバイナリ。

  • FreeBSD
  • Cirtix 製品の脆弱性 (CVE-2019-19781)
  • ELF 実行可能ファイル

unit42.paloaltonetworks.jp

過去の記事の日本語抄訳

gblogs.cisco.com

eset-info.canon-its.jp

blogs.mcafee.jp

www.fireeye.jp