Weekly Analysis Articles (2020/06/07-13)
今週1週間で見かけたマルウェアなどの解析記事(6件)。
New Android Spyware ActionSpy Revealed via Phishing Attacks from Earth Empusa
Earth Empura (別名 POISON CARP, Evil Eye) の Android スパイウェア ActionSpy
コピーしたニュースサイト (BeEF入り) などを使っているが配布方法は不明
VirtualApp で偽装し、Bangcle によって分析と検出回避
30秒ごとに収集した情報をC2サーバに送信する
Gamaredon group grows its game
Gamaredon グループによるキャンペーン
Outlook をターゲットとする VBA マクロでターゲットのメールアカウントからアドレス帳の連絡先にフィッシングメールを送る
Outlook を強制終了したのちに Outlook マクロに関するレジストリ値を変更し、OTM (Outlook VBA プロジェクト)をロードして起動するオプションを付けて Outlook を起動する。
Gamaredon (ツール) の VirusTotal の最初のサンプルは日本からアップロードされた
(いくつかバリエーションがあるが) USBStealer モジュールの後継が使われていた。
Deep Analysis of a QBot Campaign – Part I
トロイの木馬 QBot (別名 QakBot)
フィッシングキャンペーンを通じて Emotet などの別のマルウェアによって配布されていた
拡張子 png の EXE ファイルをダウンロードし、リネームして実行
実行にはいくつかのコマンドライン引数が必要
仮想環境検知(例外ハンドラ、デバイス名、プロセス名、DLL名、CPU情報)
暗号化されてリソースをロードし、復号して実行
WMI プロバイダーが explorer.exe などの上でQBot 本体を実行する
Fake COVID-19 Contact Tracing Apps Used to Download Malware that Monitors Devices, Steals Personal Data
COVID-19 公式連絡先追跡アプリをテーマにした偽の Android アプリケーション
Anubis と SpyNote、およびその他の一般的なマルウェアファミリが使われている
Honda and Enel impacted by cyber attack suspected to be ransomware
ホンダのサイバー攻撃に使われたものと同様の攻撃がアルゼンチンの企業でも発生している
これらは Ekans (Snake を逆から読む) に関連している可能性がある
可能な攻撃ベクトル(侵入経路)として RDP が考えられるが、最終的な判断は内部調査が終わってから。
New Tekya Ad Fraud Found on Google Play
Google Playで広告詐欺の実行に使用されていたTekyaマルウェアファミリー
Admob、Facebook、Unityを含む最大11の広告ネットワークがターゲット
BOOT_COMPLETED のインテントによりデバイス起動後に起動する
ウェイトをかけてからペイロードのダウンロード
デバイスやアカウントの情報をサーバに送る
アイコンとラベルをデバイス上の別のアプリのものに変更する