Posted By ,

[注意] 国内仮想通貨業者をターゲットにした「Amadey」マルウェアの攻撃試行

AhnLab ASECは最近、国内の仮想通貨業者をターゲットとした電子メールの添付ファイル(DOC、RTF、VBS、EXE等、様々)による形で「Amadey」という名前のマルウェア攻撃が頻繁に試行されていることを確認した。現在までに攻撃に使用された文書ファイルおよび実行ファイル名は次の通りである。

– Crypto Market Predictor for Desktop V2.13.exe

– Price list on blockchain 24.03.2019.exe

– Price list coins 26.03.19.bat

– 株式会社クリプト???_税務調整計算書(追加).doc

– トークン展望分析.doc

– 追加案内書.hwp.exe

– 詳細分析.doc

– 送金内訳.doc

– 会員様取引内容.doc

– coin関連問い合わせ内容.doc

– 音楽学院 2月.doc

– 入庫内訳.doc

– 参考事項.doc.   (空白)   .vbs

– ヒューマン企業銀行 確認の件.doc

主に電子メールの添付ファイルで拡散している。文書ファイル内部のマクロコードによって「Amadey」マルウェアの拡散に関連するページにアクセスおよび2次的な不正ファイルのダウンロード形式で作動する。下図は、当該マルウェアに感染した場合にアクセスする攻撃者のページ「http://cert-us.com」のうち、ログインページ画面を示している。これによって、国内で拡散しているこのようなタイプのマルウェアが「Amadey」であることが推定できる。

http://cert-us.com/CC/login.php アクセス画面

下図は、拡散に使用された文書ファイルのうち1つを示しており、暗号通貨関連の内容であることがわかる。この文書ファイルを開くと、ユーザーの意図とは関係なく攻撃者ページへのアクセス(http://cert-us.com/CC/index.php)および2次ファイルのダウンロード行為が発生する。

攻撃に使用されたWord文書ファイルの内容

「Amadey」マルウェアに関連して、現在までに確認された攻撃者のページは次の通りである。

http://51.15.252.131/CC/index.php

– http://ashleywalkerfuns.com/2hYbb4x/index.php

– http://kadzimagenius.com/index.php

– http://cert-us.com/CC/index.php

– http://result-viewer.com/CC/index.php

– http://servicestatus.one/b2ccsaG/index.php

– http://skcalladhellormi.xyz/s41g7gglkb/index.php

– http://software-update.live/computer/index.php

– http://datpapernl.com

– 95.215.1.196 (port:80)

– 51.15.232.120 (port:80)

– vua4cd.xyz (port:80)

ダウンロードされたEXEファイルに感染すると、次のようなファイルの生成およびレジストリの登録作業が行われることがわかる。「C:\ProgramData」 下層にランダムで10桁の名前(ex.1f29f7ab8f)のフォルダが生成され、自身のコピーを生成および自動実行のためにレジストリに登録する作業を実行する。

[ファイルの生成]

– C:\ProgramData\1f29f7ab8f\gnhlon.exe
– C:\ProgramData\9528110fb2\kmrin.exe
– C:\ProgramData\ac7bf85f8b\gdsun.exe

– C:\ProgramData\7426030338\vnrin.exe

[レジストリ登録]

– HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

  > “Startup” = c:\programdata\9528110fb2\kmrin.exe

文書ファイルによりダウンロードされたEXEファイルの実行プロセス

拡散しているマルウェアは、有効な証明書が含まれているケースも確認された。

現在までにマルウェアで使用された証明書情報は下記のの通りであり、証明書を含まない形式も同時に発見されている。

– 発行対象:LOGI 4 LIMITED、発行者:DigiCert EV Code Signing CA (SHA2)
– 発行対象:NEON CRAYON LIMITED、発行者:COMODO RSA Code Signing CA
– 発行対象: ALISA LTD、発行者:Sectigo RSA Code Signing CA
– 発行対象: ALL COLOUR AGENCY LTD、発行者:DigiCert SHA2 Assured ID Code Signing CA

AhnLab V3では、当該マルウェアを次のように診断している。

– Trojan/Win32.Amabot

– BAT/Amabot

– BinImage/Amabot

– Win-Trojan/Logi.Exp 
– Win-Trojan/Craydoor.Exp 
– Win-Trojan/Alisa.Exp
– Win-Trojan/ALLColour.Exp

Categories:マルウェアの情報

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments