韓国国内フォーラムのライブラリーで Nitol マルウェアが拡散中

ASEC 分析チームは、韓国国内の某コミュニティフォーラムのライブラリーにおいてマルウェアが拡散していることを確認した。攻撃者は、ユーティリティの共有に偽装したマルウェア配布のスレッドを4つアップロードしている。このスレッドでは、特定のユーティリティに偽装した Nitol マルウェアを配布している。関連する攻撃は、6月から続いている。

各スレッドにはユーティリティに関する説明と、Torrent ファイルが添付されている。Torrent クライアントを通して Torrent ファイルを開くと、ファイルのダウンロードが可能である。攻撃者がアップロードした Torrent ファイルでファイルをダウンロードする場合、ユーティリティに偽装したマルウェアがダウンロードされる。

[図1]スレッドの本文および添付ファイル

各スレッドからダウンロードしたマルウェアのファイルは、実際のユーティリティのアイコンに偽装していた。

[図2-1] 各スレッドに添付された Torrent ファイル
[図2-2] 各 Torrent ファイルによってダウンロードされるマルウェア

実行すると %Appdata% フォルダーにランダムなファイル名で自己コピーを実行し、レジストリ自動実行登録コマンドを実行する。

C:\Windows\System32\reg.exe  ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “My App” /t REG_SZ /F /D “C:\Users\vmuser\AppData\Roaming\[random].exe”
[表1]自動実行登録コマンド

その後、C2 への接続を試みて攻撃者の命令を待つ。Nitol マルウェアは攻撃者の命令によって追加のファイルをダウンロードして実行するか、特定のアドレスに DDoS 攻撃を実行する等の不正な行為が可能である。

[図3]C2 接続コード

一方、ASEC 分析チームではこの攻撃を6月から認識していた。攻撃者は、同じライブラリーに定期的に Nitol マルウェアを配布するスレッドをアップロードし続けており、配布された Nitol マルウェアはすべて同じ C2 を使用している。アップロードする際は、4~5つのスレッドを連続でアップロードするという特徴を示している。今後も攻撃者が当該ライブラリーにマルウェアをアップロードする可能性があるため、ユーザーの注意が必要である。

過去約2週間、以下のようなファイル名で同じフォーラム、その他のウェブハード等を通じて Nitol マルウェアが配布された履歴が存在する。

  • startisback++ 2.9.13 (2.9.1 for 1607) startisback+ 1.7.6 startisback 2.1.2
  • 한컴오피스교육기관용 2020 (翻訳:Hancom Office 教育機関用 2020)
  • lumion v4.02 [64bit] incl crack – [mumbai-tpb]
  • labyrinc
  • rival stars horse racing desktop edition repack
  • 한글 2020 (翻訳:アレアハングル 2020)
  • microsoft toolkit 2.6 beta 4 official
  • adobe illustrator 2020
  • sw_dvd5_office_professional_plus_2016_w32_korean_mlf_x20-41358
  • kmsauto net 2015 v1.4.5 portable
  • 2020 정품인증 (翻訳:2020 ライセンス認証)
  • microsoft office 2016
  • [정식 한글판] 오피스 2007 (翻訳:[正規韓国語版] Office 2007)
  • w10 digital activation v1.4.1.exe


[IOC]

C2: rlarnjsdud0502.kro[.]kr

7f0bd4234ba4799a6528eb47de6dde3a (Trojan/Win.Nitol.C4540307)
010db728be2d4ea9d315beec6377f35c (Trojan/Win.Nitol.C4540307)
6046e10c7361299301fb99013cc33ee1 (Trojan/Win.Nitol.C4540307)
0f216a47308f72427107e4a7f5f88c24 (Trojan/Win.Nitol.C4540307)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments