PurpleFox マルウェアは2018年に初めて発見された。当時は自主的に開発したドライバを利用してマルウェアを隠蔽していたが、2019年からはオープンソース「Hidden」をカスタマイズして利用しており、2020年中頃からは攻撃者が様々な機能を追加するためにテストを行っていることが捕捉された。
PurpleFox は最終的には CoinMiner マルウェアだと言えるが、追加のマルウェアをインストールするダウンローダーの役割を実行し、リンクされた別の PC に伝播する機能も持っている。現在までに把握されている配布形式は、ブラウザの脆弱性を利用、または特定のプログラムに偽装、さらにはフィッシングメールを利用した手法等があり、2022年1月、韓国国外では「Telegram」インストーラーを装って配布されていることが確認された。
https://blog.minerva-labs.com/malicious-telegram-installer-drops-purple-fox-rootkit
ルートキットを利用したマルウェアは特定のファイルやプロセス、あるいはレジストリキー等を隠蔽することができるため、PC ユーザーが感染しているかどうかを確認することが困難である。したがって、ASEC 分析チームは PurpleFox ルートキットに感染しているかどうかを簡単に確認できる方法を紹介し、感染が疑われる場合は下部の専用アンチウイルスのリンクから対応できることをお知らせしている。
- 感染しているかどうかのチェック
1) 管理者モードで「cmd.exe」を実行する。
2) IPSEC ポリシーの中に「qianye」というポリシー名が存在するかチェックする。
コマンド> netsh ipsec static show policy all
3) フィルターリスト名のうち「Filter1」が存在するかどうかを確認し、フィルターのポート番号に135、139、445が含まれているか確認する。
コマンド> netsh ipsec static show all
上記の条件にすべて当てはまる場合は、その PC はすでに感染している確率が高い。したがって、以下の専用アンチウイルスをインストールして実際の感染状況を確認し、対応することを呼びかけている。
PurpleFox 専用アンチウイルスのダウンロード (韓国語)
- 専用アンチウイルスの対応プロセス
1) この専用アンチウイルスを実行して待機すると、自動で感染の有無をチェックし、以下のようなメッセージを表示する。この時、再起動により作成中のドキュメントや重要なタスクが終了する可能性がある。したがって、専用アンチウイルスを実行する前に他のアプリケーションを終了してから実行することを推奨する。
2) 再起動後、以下のように自動でチェックを実行する。対象となるパスは「%SystemRoot%\system32」で、PurpleFox の主なファイルである「MS(ボリュームシリアルナンバー)App.dll」を検知して削除する。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:対応ガイド