ASEC 分析チームは、韓国国内の某コミュニティフォーラムのライブラリーにおいてマルウェアが拡散していることを確認した。攻撃者は、ユーティリティの共有に偽装したマルウェア配布のスレッドを4つアップロードしている。このスレッドでは、特定のユーティリティに偽装した Nitol マルウェアを配布している。関連する攻撃は、6月から続いている。
各スレッドにはユーティリティに関する説明と、Torrent ファイルが添付されている。Torrent クライアントを通して Torrent ファイルを開くと、ファイルのダウンロードが可能である。攻撃者がアップロードした Torrent ファイルでファイルをダウンロードする場合、ユーティリティに偽装したマルウェアがダウンロードされる。
各スレッドからダウンロードしたマルウェアのファイルは、実際のユーティリティのアイコンに偽装していた。
実行すると %Appdata% フォルダーにランダムなファイル名で自己コピーを実行し、レジストリ自動実行登録コマンドを実行する。
| C:\Windows\System32\reg.exe ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “My App” /t REG_SZ /F /D “C:\Users\vmuser\AppData\Roaming\[random].exe” |
その後、C2 への接続を試みて攻撃者の命令を待つ。Nitol マルウェアは攻撃者の命令によって追加のファイルをダウンロードして実行するか、特定のアドレスに DDoS 攻撃を実行する等の不正な行為が可能である。
一方、ASEC 分析チームではこの攻撃を6月から認識していた。攻撃者は、同じライブラリーに定期的に Nitol マルウェアを配布するスレッドをアップロードし続けており、配布された Nitol マルウェアはすべて同じ C2 を使用している。アップロードする際は、4~5つのスレッドを連続でアップロードするという特徴を示している。今後も攻撃者が当該ライブラリーにマルウェアをアップロードする可能性があるため、ユーザーの注意が必要である。
過去約2週間、以下のようなファイル名で同じフォーラム、その他のウェブハード等を通じて Nitol マルウェアが配布された履歴が存在する。
- startisback++ 2.9.13 (2.9.1 for 1607) startisback+ 1.7.6 startisback 2.1.2
- 한컴오피스교육기관용 2020 (翻訳:Hancom Office 教育機関用 2020)
- lumion v4.02 [64bit] incl crack – [mumbai-tpb]
- labyrinc
- rival stars horse racing desktop edition repack
- 한글 2020 (翻訳:アレアハングル 2020)
- microsoft toolkit 2.6 beta 4 official
- adobe illustrator 2020
- sw_dvd5_office_professional_plus_2016_w32_korean_mlf_x20-41358
- kmsauto net 2015 v1.4.5 portable
- 2020 정품인증 (翻訳:2020 ライセンス認証)
- microsoft office 2016
- [정식 한글판] 오피스 2007 (翻訳:[正規韓国語版] Office 2007)
- w10 digital activation v1.4.1.exe
[IOC]
C2: rlarnjsdud0502.kro[.]kr
7f0bd4234ba4799a6528eb47de6dde3a (Trojan/Win.Nitol.C4540307)
010db728be2d4ea9d315beec6377f35c (Trojan/Win.Nitol.C4540307)
6046e10c7361299301fb99013cc33ee1 (Trojan/Win.Nitol.C4540307)
0f216a47308f72427107e4a7f5f88c24 (Trojan/Win.Nitol.C4540307)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報