AhnLab ASEC分析チームは最近、「AhnLab」の文字列を含む情報流出マルウェアが拡散していることを確認した。このマルウェアには従来の Ryuk ランサムウェアと同じ文字列が使用され、内部コードのフローが類似しており、Ryuk ランサムウェアと関連しているものと把握されている。また、当該サンプルを分析した結果、特定国をターゲットにして製作されたマルウェアと推定されるいくつかの根拠が発見された。
昨年8月に発見された Ryuk ランサムウェアは、ファイルの拡張子を「.RYK」に変更して「RyukReadMe.txt」という名前のランサムノートを生成し、AhnLab フォルダを暗号化対象から除外している。この情報流出マルウェアも、ファイル名およびフォルダ名に AhnLab 文字列が存在する場合、流出対象から除外している。

マルウェアを実行すると、引数で与えられた文字列のパスのファイルを削除する。自身をドロップしたファイルを削除して追跡を困難にする用途に使用されることがある。

その後、流出対象から除外されるドライブ、およびフォルダをチェックする。リストは、以下の通りである。
除外ドライブ | CD-ROM |
除外フォルダ名 | Ahnlab 、Sample Music、 log、 .dll、Sample Pictures、 $Recycle.Bin 、Tor Browser、Package Cache、RyukReadMe.txt、 microsoft 、UNIQUE_ID_DO_NOT_REMOVE 、PUBLIC 、Windows、Intel、 PerfLogs、windows、Firefox、Mozilla、Microsoft、$WINDOWS、 Program Files、\Users\Public\Pictures、MySQL |
流出対象の拡張子、およびファイルサイズ(50,000,000Bytes以下)、ファイル名が条件に適合する場合、FTP によって攻撃者のサーバーにファイルをアップロードする。以降、そのファイルの内容を読み込んで特定キーワードが存在する場合、ファイルを再び転送する。流出対象の拡張子、ファイル名、キーワードリストは以下の通りである。
対象拡張子 | txt , xls , xlsx , doc , docx , docb , pdf , cpp , h , gov , jpg , zip , rar |
対象ファイル名 | securityN-CSR10-SBEDGAR spy radaragentnewswire , marketwired10-Q10Q8KfraudhackNSAFBI , CSI , secret , private , confident , important , pass , hidden , undercover , clandestine , investigation , federal , bureau , government , security , unclassified , concealed , newswire , marketwired |
対象キーワード | personal , securityN-CSR10-SBEDGAR spy radaragentnewswire , marketwired , 10-Q, 10Q , 8K , fraud , hack , NSA , FBI , defence , attack , military , tank , secret , CSI , balance , statement , checking , saving , routing , finance , agreement , SWIFT , BIC , IBAN , license , Compilation , report , secret , confident , hidden , clandestine , illegall , compromate , privacy , private , contract , concealed , backdoorundercover , clandestine , investigation , federal , bureau , government , security , unclassified , seed , personal , confident , mail , letter , passport , scans , Emma , Liam , Olivia , Noah , Ava , William , Isabella , James , Sophia , Logan |
この時、拡張子が「.docx」または「.xlsx」ファイルの場合、libzip ライブラリを利用して圧縮を解除した後、内部で対象キーワードを検索する。このライブラリがユーザーのPCに存在することで、マルウェアが実行可能になる。また、ファイル内容で特定形式に一致する文字列があるかを確認する。

各文字の位置別に制約事項を分析した結果、日付形式を意図したものであると推定され、これを解釈すると次のような日付形式等がチェック対象となる。
mm-dd-yyyy, dd-mm-yyyy, yyyy-mm-dd, yyyy-dd-mm, yyyy-d-m, d-m-yyyy, m-dd-yyyy, mm/dd/yyyy, dd/mm/yyyy, yyyy/mm/dd, yyyy/dd/mm, yyyy/d/m, d/m/yyyy, m/dd/yyyy (- と / は相互代替可能) |
また、000-00-0000形式の数字文字列をチェックするが、これは米国の社会保障番号(住民登録番号)の形式と一致する。

初期バージョンと推定されるマルウェアではユーザーの言語環境をチェックし、特定国の場合に感染対象から除外したが、現在はユーザーの言語環境を確認せず、すべての言語環境を対象とする。

除外する言語リストは、以下の通りである。
感染除外言語 | Korea, Russia, ukraina, Belarusian, Hong Kong SAR, Czech, Romanian, Albanian, Georgian, Rhaeto-Romanic |
このマルウェアは「Ahnlab」の文字列を含んでいるが、チェックする文字列がすべて英語である点、英語圏の名前が多数含まれている点から見て、英語を使用する国を対象としたマルウェアであると推定され、米国の社会保障番号形式の数字と「CSI」、「NSA」、「FBI」等の文字列をチェックする点等から、特定の国をターゲットにして製作されたマルウェアだと疑われる。一方、AhnLab V3 製品シリーズでは、このマルウェアを以下の通り診断し、接続するURLアドレスを ASD によってブロックしている。
[ファイル診断]
Trojan/Win32.Ryukstealer
[C2情報]
66.42.76.46/files_server/a8-5
109.236.92.162/upload/files/military2
185.254.121.157/upload/files/a71その他多数
Categories:マルウェアの情報