今週1週間で見かけたマルウェアなどの解析記事(5件)。
New Chinese Linux malware turning to Golang
よくある Mirai や BillGate のような成熟したボットネットではなく、独自のカスタムインプラントを利用した Kaiji
Golang を使用してゼロから構築された
root ユーザのみをターゲットとして SSH ブルートフォースを行う
実装されている機能は
・DDoS (ipspoof, synatack など)
・SSH ブルートフォース(感染拡大)
・ローカル SSH のハイジャック
・rc.d, systemd サービスを介した常駐化
Credit card skimmer masquerades as favicon
iframe で正規サイトを全画面に読み込む詐欺サイト
特定の文言を含むページにアクセスしたときに favicon.png のレスポンスを JavaScript コードに変え、動的にロードさせる
これによりチェックアウト時の支払い情報や個人情報を盗む
New Mac variant of Lazarus Dacls RAT distributed via Trojanized 2FA app
MacOS 用の Lazarus グループによるものと考えられる Dacls RAT
2要素認証アプリケーション MinaOTP を介して配布される
香港から VirusTotal に投稿された TinkaaOTP という名前の MacOS 用アプリケーションによって発見された。
再起動後に実行するアプリを指定する plist を取得するデーモンを通じて持続する。
Linux 版に含まれる 6 つのプラグインを使用する。
台湾企業での標的型攻撃事例で新たなランサムウェアを確認
※ 5/6 発英語版の日本語抄訳。
台湾の複数の企業が被害にあった標的型攻撃
「ColdLock」と名付けられたランサムウェアファミリーが使用された。
過去使用された「Lockergoga」「Freezing」「EDA2」との類似点が見つかっている。
感染経路は不明。
暗号化前にDB周りのサービスや Exchange サービスを停止する。
全てのファイルを暗号化せず、特定の条件のファイルのみ暗号化する。
- PE DLL
- C#
ClodCore: A malware family that delivers mining modules through cloud control
クラックされたゲームを通じて拡散された ClodCore トロイの木馬
クラウドからの制御を通してマイニングや他のモジュールの読み込みを行う
ロシアやウクライナなどで感染が広がっている
感染すると UPnPHost と呼ばれるスケジュールされたタスクが作成される
タスクは PowerShell を使いて他のモジュールを読み込む
アンチウィルスソフトの機能を破壊する(NSudo によってコア構成を改ざんする)
マイニングには XMRig を使用する
- PowerShell
- NSudo
- XMRig
