Weekly Analysis Articles (2020/04/26-05/02)
今週1週間で見かけたマルウェアなどの解析記事(6件)。
Anatomy of Formjacking Attacks Anatomy of Formjacking Attacks
Web ページに JavaScript のコードを挿入し、ユーザの入力情報などを収集するフォームジャッキング
ショッピングサイトの決済ページで支払いフォームから決済情報を盗む
挿入される難読化された JavaScript の解析
デバッグを妨害するために、
・難読化
・Firebug デバッガーの仕様
・三項分岐による可読性の低下とブレイクポイントの設定回避
Hiding in plain sight: PhantomLance walks into a market
昨年確認された Android 向けのバックドア型のトロイの木馬に APT グループ
OceanLotus のキャンペーンとの類似点が見つかった
見つけた検体達を分類し、3つのバージョンに分けた
Google Play や野良 apk ファイルのマーケットプレイスで提供されている。
Maltego によるインフラの分析
ファイルの解析から IoC の分析、被害の分析、以前のキャンペーンとの比較などかなり詳しい解析内容
Version 1
検体自体が最終ペイロード 権限は dex 内に隠されて動的に要求される(マニフェストからは分からない) root を取っている端末の場合はユーザの承認なしで必要な権限を取得する
Version 2
ペイロードが apk 内の asset ディレクトリに暗号化されて配置されている。 公式の Gogle Play Games のパッケージ名 com.google.android.play.games を騙る
Version 3
バージョン2より難読化されており、複数の asset ファイルに分割されている
- Android APK
- Maltego
- PassiveDNS
"Asnarök" Trojan targets firewalls
ファイアウォール (Sophos XG Firewall) を標的としたマルウェア
ゼロデイの SQLインジェクションの脆弱性が利用されて 1 行のコマンドが DB に挿入された
これにより悪意のあるシェルスクリプトがリモートサーバからダウンロードされて実行された
ファイアウォール実行時のスクリプトに追記して常駐化
ファイアウォール内の情報を集めてアップロードする
- ShellScript
- ELF
Comprehensive Threat Intelligence: Upgraded Aggah malspam campaign delivers multiple RATs
複数の RAT を配布する Aggah キャンペーン
AgentTesla, njRAT, Nanocore RAT が最終的なペイロードとして取得される
攻撃の各フェーズに Pastebin アカウントを使用している
- mshta
- VBScript
- inf ファイルによる UAC バイパス
- PowerShell
Anomali Suspects that China-Backed APT Pirate Panda May Be Seeking Access to Vietnam Government Data Center
中国の APT 「PiratePanda」によるものと思われるベトナムの公務員を狙ったフィッシングメール
Excelファイルが添付されており、2つのファイルがドロップされる
ドロップされるファイルのひとつは exile-RAT および keyboy に類似点がある
- Email (ヘッダの解析)
- VBA
- DLL サイドローディング
Scammers Using COVID-19/Coronavirus Lure to Target Medical Suppliers
COVIT-19をテーマとした新しいフィッシングキャンペーン
医療機器サプライヤを標的とした電子メールで CVE-2017-11882 (数式エディタ) の脆弱性を利用した word ファイルを送り AgentTesla に感染させる
C2ドメインからメールアドレスを特定し、DomainTools を使い他の関連するドメインを洗い出す
- OSINT
- DomainTools
- CVE-2017-11882
- AgentTesla
過去の記事の日本語抄訳
更新履歴
2020/05/04 AM 日本語抄訳追加