解析メモ

マルウェア解析してみたり解析に役に立ちそうと思ったことをメモする場所。このサイトはGoogle Analyticsを利用しています。

Weekly Analysis Articles (2020/06/07-13)

f:id:k1z3:20200426185657j:plain

今週1週間で見かけたマルウェアなどの解析記事(6件)。

New Android Spyware ActionSpy Revealed via Phishing Attacks from Earth Empusa

Earth Empura (別名 POISON CARP, Evil Eye) の Android スパイウェア ActionSpy
コピーしたニュースサイト (BeEF入り) などを使っているが配布方法は不明
VirtualApp で偽装し、Bangcle によって分析と検出回避
30秒ごとに収集した情報をC2サーバに送信する

blog.trendmicro.com

Gamaredon group grows its game

Gamaredon グループによるキャンペーン
Outlook をターゲットとする VBA マクロでターゲットのメールアカウントからアドレス帳の連絡先にフィッシングメールを送る
Outlook を強制終了したのちに Outlook マクロに関するレジストリ値を変更し、OTM (Outlook VBA プロジェクト)をロードして起動するオプションを付けて Outlook を起動する。
Gamaredon (ツール) の VirusTotal の最初のサンプルは日本からアップロードされた
(いくつかバリエーションがあるが) USBStealer モジュールの後継が使われていた。

www.welivesecurity.com

Deep Analysis of a QBot Campaign – Part I

トロイの木馬 QBot (別名 QakBot)
フィッシングキャンペーンを通じて Emotet などの別のマルウェアによって配布されていた
拡張子 png の EXE ファイルをダウンロードし、リネームして実行
実行にはいくつかのコマンドライン引数が必要
仮想環境検知(例外ハンドラ、デバイス名、プロセス名、DLL名、CPU情報)
暗号化されてリソースをロードし、復号して実行
WMI プロバイダーが explorer.exe などの上でQBot 本体を実行する

www.fortinet.com

Fake COVID-19 Contact Tracing Apps Used to Download Malware that Monitors Devices, Steals Personal Data

COVID-19 公式連絡先追跡アプリをテーマにした偽の Android アプリケーション
Anubis と SpyNote、およびその他の一般的なマルウェアファミリが使われている

www.anomali.com

Honda and Enel impacted by cyber attack suspected to be ransomware

ホンダのサイバー攻撃に使われたものと同様の攻撃がアルゼンチンの企業でも発生している
これらは Ekans (Snake を逆から読む) に関連している可能性がある
可能な攻撃ベクトル(侵入経路)として RDP が考えられるが、最終的な判断は内部調査が終わってから。

blog.malwarebytes.com

New Tekya Ad Fraud Found on Google Play

Google Playで広告詐欺の実行に使用されていたTekyaマルウェアファミリー
Admob、Facebook、Unityを含む最大11の広告ネットワークがターゲット
BOOT_COMPLETED のインテントによりデバイス起動後に起動する
ウェイトをかけてからペイロードのダウンロード
バイスやアカウントの情報をサーバに送る
アイコンとラベルをデバイス上の別のアプリのものに変更する

blog.trendmicro.com