INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア

AhnLab ASEC 分析チームは、2022年第1四半期に防衛産業企業を含む約47個の企業および機関が Lazarus グループから配布されているマルウェアに感染した状況を把握し、これらを深刻なものと判断してモニタリングを続けている。

被害を受けた企業では、INITECH 社のプロセス(inisafecrosswebexsvc.exe)により不正な振る舞いが発生することが確認された。

まず、被害を受けたシステムにおいて inisafecrosswebexsvc.exe に対する以下のような内容を確認した。

inisafecrosswebexsvc.exe ファイルは 

  • INITECH 社のセキュリティプログラム、INISAFE CrossWeb EX V3 の実行ファイルである。
  • 正常なファイルと同じハッシュ値を持つ。(MD5:4541efd1c54b53a3d11532cb885b2202)
  • INITECH 社により正常に署名されたファイルである。
  • INISAFE Web EX Client による侵害時点よりも前からシステムにインストールされており、改ざんの痕跡も発見されなかった。
  • システム起動時に iniclientsvc_x64.exe により実行されるが、侵害当日にも同様の方式で実行された。

確認された inisafecrosswebexsvc.exe ファイルは改ざんされていない正常なファイルであり、当時のプロセス実行ログとマルウェアである SCSKAppLink.dll のコードを確認した結果、SCSKAppLink.dll が inisafecrosswebexsvc.exe にインジェクションされて動作したものと確認された。

SCSKAppLink.dll にはインジェクションされたホストプロセスによって分岐するコードが含まれている。分岐コードは inisafecrosswebexsvc.exe プロセスにインジェクションして動作する場合、hxxps://materic.or.kr/include/main/main_top.asp?prd_fld=racket に接続し、さらなるマルウェアをダウンロードして実行するように記述されている。

その他の分岐は svchost.exe、rundll32.exe、notepad.exe にインジェクションの有無を判断するように記述されているが、それらの分岐構文には実行コードが含まれていないことから、完全なマルウェアではないものと見られる。

SCSKAppLink.dll がインジェクションされた inisafecrosswebexsvc.exe は、マルウェアの配布元に接続した後、インターネット一時フォルダーのパスにダウンローダーマルウェア main_top[1].htm ファイルをダウンロードし、SCSKAppLink.dll にコピーしている。

  • ダウンロード先のパス : c:\users\<ユーザー>\appdata\local\microsoft\windows\inetcache\ie\zlvrxmk3\main_top[1].htm
  • コピーされたパス : C:\Users\Public\SCSKAppLink.dll
図1.SCSKAppLink.dll のホストプロセスによる分岐コード
図2.SCSKAppLink.dll のコード (ホストが inisafecrosswebexsvc.exe の場合にアクセスする C2 アドレス)

これと同じマルウェアが数日前、シマンテック社のブログにおいて取り上げられた。4月15日に掲載された「Lazarus Targets Chemical Sector」というタイトルのブログには、Lazarus 攻撃グループが化学セクターを攻撃した内容を取り扱っている。Lazarus の攻撃が韓国国内の防衛産業、化学等の主要業界をターゲットとして拡大しているものと見られる。(https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical)

AhnLab は SCSKAppLink.dll を Lazarus 攻撃グループが製作したマルウェアであると判断し、関連するマルウェアを継続的に追跡している。現在までに把握された関連するマルウェアの IOC は以下の通りである。

[ファイル検知]

  • Data/BIN.Encoded
  • Downloader/Win.LazarAgent
  • Downloader/Win.LazarShell
  • HackTool/Win32.Scanner
  • Infostealer/Win.Outlook
  • Trojan/Win.Agent
  • Trojan/Win.Akdoor
  • Trojan/Win.LazarBinder
  • Trojan/Win.Lazardoor
  • Trojan/Win.LazarKeyloger
  • Trojan/Win.LazarLoader
  • Trojan/Win.LazarPortscan
  • Trojan/Win.LazarShell
  • Trojan/Win.Zvrek
  • Trojan/Win32.Agent

[ファイル MD5]

  • 0775D753AEAEBC1CFF491E42C8950EC0
  • 0AC90C7AD1BE57F705E3C42380CBCCCD
  • 0F994F841C54702DE0277F19B1AC8C77
  • 196FE14B4EC963BA98BBAF4A23A47AEF
  • 1E7D604FADD7D481DFADB66B9313865D
  • 2EF844ED5DCB9B8B38EBDE3B1E2A450C
  • 39457097686668A2F937818A62560FE7
  • 3D7E3781BD0B89BA88C08AA443B11FE5
  • 3ECD26BACD9DD73819908CBA972DB66B
  • 4B96D9CA051FC68518B5A21A35F001D0
  • 4E2DFD387ADDEE4DE615A57A2008CFC6
  • 5349C845499A6387823FF823FCCAA229
  • 570F65824F055DE16EF1C392E2E4503A
  • 683713A93337F343149A5B3836475C5D
  • 6929CAA7831AE2600410BC5664F692B3
  • 6A240B2EDC1CA2B652DBED44B27CB05F
  • 7188F827D8106F563980B3CCF5558C23
  • 7607EF6426F659042D3F1FFBFEA13E6A
  • 7870DECBC7578DA1656D1D1FF992313C
  • 7BF6B3CD3B3034ABB0967975E56F0A4B
  • 81E922198D00BE3E6D41DCE773C6A7FB
  • 878AD11012A2E965EA845311FB1B059F
  • 8FCDF6506CA05EFAFC5AF35E0F09B341
  • 933B640D26E397122CE8DE9293705D71
  • A329AC7215369469D72B93C1BAC1C3C4
  • A8B90B2DD98C4FDD4AE84A075A5A9473
  • ADF0D4BBEFCCF342493E02538155E611
  • B213063F28E308ADADF63D3B506E794E
  • B3E03A41CED8C8BAA56B8B78F1D55C22
  • B5EAEC8CE02D684BAA3646F39E8BC9B5
  • B85FDE972EE618A225BFBA1CEF369CC8
  • B91D1A5CC4A1DE0493C1A9A9727DB6F9
  • B974BC9E6F375F301AE2F75D1E8B6783
  • BB9F5141C53E74C9D80DCE1C1A2A13F0
  • C99D5E7EDBA670515B7B8A4A32986149
  • CB5401C760B89D80657FC0EFC605AE62
  • D3BFA72CC8F6F8D3D822395DBC8CD8B8
  • D57F8CD2F49E34BEDA94B0F90426F7B3
  • D9BC5EDCE4B1C4A941B0BF8E3FAC3EA8
  • DD3710ABFACDF381801BB11CF142BD29
  • DD759642659D7B2C7FD365CBEFF4942E
  • E04206BA707DE4CDE94EFEDA6752D0CA
  • E6265DCCFDEF1D1AA134AEC6236734F8
  • E84404DED7096CD42EF39847DE002361
  • E8D7EAF96B3E5AEE219013C55682968C
  • EC99EBB78857211EB52EB84750D070E7
  • F15FD25A4C6E94E2202090BBB82EBC39
  • F48369111F2FAABB0CCB5D1D90491E0E

[IP/URL]

  • hxxps://www.materic.or.kr/include/main/main_top.asp
  • hxxps://www.gaonwell.com/data/base/mail/login.asp
  • hxxp://www.h-cube.co.kr/main/image/gellery/gallery.asp
  • hxxps://www.shoppingbagsdirect.com/media/images/?ui=t
  • hxxps://www.okkids.kr/html/program/display/?re=32
  • hxxps://www.namchoncc.co.kr/include/?ind=55

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments