今週1週間で見かけたマルウェアなどの解析記事（６件）。

標的型攻撃の新たな手口判明。診断ツール「PoshC2」を悪用する攻撃の流れを解説

ペネトレーションテストツール「PoshC2」を悪用した標的型攻撃

CVE-2019-9489およびDLLハイジャックの悪用

→ CVE-2019-9489の脆弱性を悪用し、管理者権限を持つ認証トークンファイルを作成
→ 管理者権限でアクセス。
→ パターンファイル配信を偽のアップデートサーバへ設定
→ 不正な「dbghelp.dll」ファイルを含む偽のパターンファイルを配信
→ DLLファイルに含まれたいくつかの攻撃コード実行される

MSBuildの悪用

→ PoshC2 が MSBuildで利用可能なXMLファイル を生成
→ メモリ上で実行され、「MSBuild.exe」プロセスにインジェクション
→ 「PowerShellRunner」をカスタマイズしたものであり、PowerShellの機能を持つ

背後に潜む攻撃者グループの候補として以下が挙げられる
Taioor, BlackTech

• CVE-2019-9489 (ウィルスバスター Corp.)
• DLL サイドローディング
• MSBuild
• .NET Framework (C#)
• PowerShellRunner (https://github.com/EmpireProject/PSInject/tree/master/PowerShellRunner)
• PoshC2 (https://github.com/nettitude/PoshC2)

www.lac.co.jp

New Android Banking Trojan Targets Spanish, Portuguese Speaking Users

スペイン語またはポルトガル語ユーザを標的とした Android バンキングマルウェア Banker.BR
野良 apk をインストールすることにより感染する
オンラインバンキング認証情報、SMS で受信した認証コードを盗む
複数の悪意のあるアクセス権限の付与を要求する
耐解析機能は実装されていない

• Android apk
• B4Xプログラミング言語 (VBの最新バージョン)

securityintelligence.com

Exposed Redis Instances Abused for Remote Code Execution, Cryptocurrency Mining

最近見つかった安全でない Redis インスタンスを悪用してリモートコード実行（RCE）を実行する方法についての説明
Redis インスタンスを暗号通貨マイニングボットに変える
ワームのような拡散機能を介して他の脆弱なインスタンスに感染する

configコマンドの悪用

不正なcronを利用させる

slaveof機能の悪用

悪意のある Redis インスタンスが saveof コマンドを送信するマスタサーバになる
（https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf）

観測されたサンプルの解析

→ シェルスクリプトを実行し競合するプロセスを殺す
→ マルウェアを /etc にダウンロードしてインストール
→ crontab に追加（永続化）
→ authorized_keys に SSH キー書き込み
→ iptables 変更 (3333, 5555, 7777, 9999 をブロック)
→ .bash_history の削除 (証拠隠滅)
→ .ssh/known_hosts を元に既知のホストへ接続を試みる
→ 影響を受けるホストで感染動作（is.sh, rs.sh）
→ is.sh, rs.sh の解析

（参考）コンテナ環境を対象としたマルウェア「Kinsing」が増加中
https://www.creationline.com/lab/34036

• シェルスクリプト
• Kinsing マルウェア
• XMRig 暗号通貨マイナ

blog.trendmicro.com

Deconstructing an Evasive Formbook Campaign Leveraging COVID-19 Themes

バイオメディカル企業の、財務リソース、データ、または知的財産を狙う COVID-19 をテーマとしたスパムメール
IoC を検索したところフォーラムの書き込みを発見
ターゲットを絞った標的型攻撃メールであった可能性がある
最終ペイロードは、情報窃取マルウェア Formbook
dnSpy によるデコンパイル
→ 起動時の処理に悪意のあるコードが挿入されている
→ 画像オブジェクトのステガノをデコード
→ 別の .NET 実行可能ファイルをドロップし実行
→ (復号されたものをメモリダンプで取得)
→ 耐解析機能
→ タスクスケジューラによる永続化

• Email
• .NET Framework (C#)
• Steganography

www.fortinet.com

Following ESET's discovery, a Monero mining botnet is disrupted

これまでに言及されたことのないボットネット VictoryGate
中南米のデバイス、特にペルーで構成されている（世界全体で少なくとも35,000デバイス）
ボットネットの主な活動は Monero マイニング
ボットマスターがコマンドを発行して、新たなモジュールをダウンロード／実行する可能性がある
USBデバイスのファイル（拡張子偽装）を実行
→ AutoItスクリプト（VictoryGateによってオンザフライでコンパイル）
→ 永続化
→ 巨大な配列（検知回避）のデコード
→ AutoItエージェントのプロセスインジェクション
→ C2 サーバとの通信
→ XMRig 暗号通貨マイナをプロセスインジェクション

（参考）Autoit3 decompiler – Exe2Aut (.EXE bestanden)
http://domoticx.com/autoit3-decompiler-exe2aut/

• AutoIt
• .NET Framework (C#)
• Process Injection
• XMRig 暗号通貨マイナ

www.welivesecurity.com

Gorgon-uses-COVID-19-outbreak-to launch-cyber-attacks-on-Canada-and-other-regions

南アジアの国を起源とする APT 組織 Gorgon
最新のペイロードが Gitlab でホストされている
テンプレートインジェクション
→ RTFドキュメントを実行
→ 埋め込み Excel オブジェクト
→ PowerShell を実行するローダー(exe)をダウンロード
→ GitLab からモジュールをダウンロード
→ AZORult, Cryptojacking Trojan, Lokibot

SHA256 : 4cfb7b9d9968692ead699a4d631ccb7d4455f808a84ce0678b2fff7378686e76
※ ハッシュが載っていなかったのでファイル名から VT で検索しました。

• docx Template Injection
• OLE
• VBA
• PowerShell

blog.360totalsecurity.com

過去の記事の日本語抄訳

blog.trendmicro.co.jp

www.cylance.com