AhnLab のセキュリティ対応センター(ASEC)は、2020年頃から最近までに確認されている Lazarus グループの攻撃に関して解析レポートを公開している。ここで取り上げるマルウェアは NukeSped という名前で知られており、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できるバックドア型マルウェアである。この文書では、NukeSped を利用した攻撃に関する全体的なフローを解析する。順番に確認された配布方式に始まり、NukeSped の様々な機能の解析、攻撃者から渡されたコマンドや追加でインストールされるマルウェアまで、段階ごとに詳しく整理していく。
____
Lazarus グループの NukeSped マルウェア解析レポート
____
目次
概要
1.初期ペネトレーション方式
….1.1.メールの添付ドキュメントファイルによる配布事例
….1.2.ウォータリングホール型攻撃による配布事例
2.ダウンローダー
….2.1.ダウンローダー #1
….2.2.ダウンローダー #2
….2.3.パッカー
3.NukeSped 解析
….3.1.特徴
….3.2.C&C 通信
….3.3.機能解析
……..a.ModuleUpdate
……..b.ModuleShell
……..c.ModuleFileManager
……..d.ModuleKeyLogger
……..e.ModuleSocksTunnel
……..f.ModuleScreenCapture
……..g.ModuleInformation
……..h.ModulePortForwarder
4.感染後
….4.1.NukeSped コマンド
……..a.インストールプロセス
……..b.情報収集
……..c.タスクスケジューラ登録
….4.2.追加マルウェアの生成
……..4.2.1.Web ブラウザおよび Outlook アカウント情報の窃取
……..4.2.2.クリップボードおよびウィンドウのテキスト情報窃取
……..4.2.3.ファイル MAC Time の変更
……..4.2.4.Launcher
……..4.2.5.ポートスキャナ
……..4.2.6.DarkComet RAT
AhnLab 対応状況
結論
IoC (Indicators of Compromise)
….ファイルのパスおよび名前
….ファイル Hashes (MD5)
….関連ドメイン、URL および IP アドレス
参考文献
※ 当該レポートの全文ダウンロードは、韓国語 PDF ファイルでのみ提供しています。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/28588/ […]