Posted By ,

INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア

AhnLab ASEC 分析チームは、2022年第1四半期に防衛産業企業を含む約47個の企業および機関が Lazarus グループから配布されているマルウェアに感染した状況を把握し、これらを深刻なものと判断してモニタリングを続けている。

被害を受けた企業では、INITECH 社のプロセス(inisafecrosswebexsvc.exe)により不正な振る舞いが発生することが確認された。

まず、被害を受けたシステムにおいて inisafecrosswebexsvc.exe に対する以下のような内容を確認した。

inisafecrosswebexsvc.exe ファイルは 

  • INITECH 社のセキュリティプログラム、INISAFE CrossWeb EX V3 の実行ファイルである。
  • 正常なファイルと同じハッシュ値を持つ。(MD5:4541efd1c54b53a3d11532cb885b2202)
  • INITECH 社により正常に署名されたファイルである。
  • INISAFE Web EX Client による侵害時点よりも前からシステムにインストールされており、改ざんの痕跡も発見されなかった。
  • システム起動時に iniclientsvc_x64.exe により実行されるが、侵害当日にも同様の方式で実行された。

確認された inisafecrosswebexsvc.exe ファイルは改ざんされていない正常なファイルであり、当時のプロセス実行ログとマルウェアである SCSKAppLink.dll のコードを確認した結果、SCSKAppLink.dll が inisafecrosswebexsvc.exe にインジェクションされて動作したものと確認された。

SCSKAppLink.dll にはインジェクションされたホストプロセスによって分岐するコードが含まれている。分岐コードは inisafecrosswebexsvc.exe プロセスにインジェクションして動作する場合、hxxps://materic.or.kr/include/main/main_top.asp?prd_fld=racket に接続し、さらなるマルウェアをダウンロードして実行するように記述されている。

その他の分岐は svchost.exe、rundll32.exe、notepad.exe にインジェクションの有無を判断するように記述されているが、それらの分岐構文には実行コードが含まれていないことから、完全なマルウェアではないものと見られる。

SCSKAppLink.dll がインジェクションされた inisafecrosswebexsvc.exe は、マルウェアの配布元に接続した後、インターネット一時フォルダーのパスにダウンローダーマルウェア main_top[1].htm ファイルをダウンロードし、SCSKAppLink.dll にコピーしている。

  • ダウンロード先のパス : c:\users\<ユーザー>\appdata\local\microsoft\windows\inetcache\ie\zlvrxmk3\main_top[1].htm
  • コピーされたパス : C:\Users\Public\SCSKAppLink.dll
図1.SCSKAppLink.dll のホストプロセスによる分岐コード
図2.SCSKAppLink.dll のコード (ホストが inisafecrosswebexsvc.exe の場合にアクセスする C2 アドレス)

これと同じマルウェアが数日前、シマンテック社のブログにおいて取り上げられた。4月15日に掲載された「Lazarus Targets Chemical Sector」というタイトルのブログには、Lazarus 攻撃グループが化学セクターを攻撃した内容を取り扱っている。Lazarus の攻撃が韓国国内の防衛産業、化学等の主要業界をターゲットとして拡大しているものと見られる。(https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lazarus-dream-job-chemical)

AhnLab は SCSKAppLink.dll を Lazarus 攻撃グループが製作したマルウェアであると判断し、関連するマルウェアを継続的に追跡している。現在までに把握された関連するマルウェアの IOC は以下の通りである。

[ファイル検知]

  • Data/BIN.Encoded
  • Downloader/Win.LazarAgent
  • Downloader/Win.LazarShell
  • HackTool/Win32.Scanner
  • Infostealer/Win.Outlook
  • Trojan/Win.Agent
  • Trojan/Win.Akdoor
  • Trojan/Win.LazarBinder
  • Trojan/Win.Lazardoor
  • Trojan/Win.LazarKeyloger
  • Trojan/Win.LazarLoader
  • Trojan/Win.LazarPortscan
  • Trojan/Win.LazarShell
  • Trojan/Win.Zvrek
  • Trojan/Win32.Agent

[ファイル MD5]

  • 0775D753AEAEBC1CFF491E42C8950EC0
  • 0AC90C7AD1BE57F705E3C42380CBCCCD
  • 0F994F841C54702DE0277F19B1AC8C77
  • 196FE14B4EC963BA98BBAF4A23A47AEF
  • 1E7D604FADD7D481DFADB66B9313865D
  • 2EF844ED5DCB9B8B38EBDE3B1E2A450C
  • 39457097686668A2F937818A62560FE7
  • 3D7E3781BD0B89BA88C08AA443B11FE5
  • 3ECD26BACD9DD73819908CBA972DB66B
  • 4B96D9CA051FC68518B5A21A35F001D0
  • 4E2DFD387ADDEE4DE615A57A2008CFC6
  • 5349C845499A6387823FF823FCCAA229
  • 570F65824F055DE16EF1C392E2E4503A
  • 683713A93337F343149A5B3836475C5D
  • 6929CAA7831AE2600410BC5664F692B3
  • 6A240B2EDC1CA2B652DBED44B27CB05F
  • 7188F827D8106F563980B3CCF5558C23
  • 7607EF6426F659042D3F1FFBFEA13E6A
  • 7870DECBC7578DA1656D1D1FF992313C
  • 7BF6B3CD3B3034ABB0967975E56F0A4B
  • 81E922198D00BE3E6D41DCE773C6A7FB
  • 878AD11012A2E965EA845311FB1B059F
  • 8FCDF6506CA05EFAFC5AF35E0F09B341
  • 933B640D26E397122CE8DE9293705D71
  • A329AC7215369469D72B93C1BAC1C3C4
  • A8B90B2DD98C4FDD4AE84A075A5A9473
  • ADF0D4BBEFCCF342493E02538155E611
  • B213063F28E308ADADF63D3B506E794E
  • B3E03A41CED8C8BAA56B8B78F1D55C22
  • B5EAEC8CE02D684BAA3646F39E8BC9B5
  • B85FDE972EE618A225BFBA1CEF369CC8
  • B91D1A5CC4A1DE0493C1A9A9727DB6F9
  • B974BC9E6F375F301AE2F75D1E8B6783
  • BB9F5141C53E74C9D80DCE1C1A2A13F0
  • C99D5E7EDBA670515B7B8A4A32986149
  • CB5401C760B89D80657FC0EFC605AE62
  • D3BFA72CC8F6F8D3D822395DBC8CD8B8
  • D57F8CD2F49E34BEDA94B0F90426F7B3
  • D9BC5EDCE4B1C4A941B0BF8E3FAC3EA8
  • DD3710ABFACDF381801BB11CF142BD29
  • DD759642659D7B2C7FD365CBEFF4942E
  • E04206BA707DE4CDE94EFEDA6752D0CA
  • E6265DCCFDEF1D1AA134AEC6236734F8
  • E84404DED7096CD42EF39847DE002361
  • E8D7EAF96B3E5AEE219013C55682968C
  • EC99EBB78857211EB52EB84750D070E7
  • F15FD25A4C6E94E2202090BBB82EBC39
  • F48369111F2FAABB0CCB5D1D90491E0E

[IP/URL]

  • hxxps://www.materic.or.kr/include/main/main_top.asp
  • hxxps://www.gaonwell.com/data/base/mail/login.asp
  • hxxp://www.h-cube.co.kr/main/image/gellery/gallery.asp
  • hxxps://www.shoppingbagsdirect.com/media/images/?ui=t
  • hxxps://www.okkids.kr/html/program/display/?re=32
  • hxxps://www.namchoncc.co.kr/include/?ind=55

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,,

5 2 votes
評価する
Subscribe
Notify of
guest

4 コメント
Inline Feedbacks
View all comments
trackback
BYOVD 手法でアンチウイルスプログラムを無力化する Lazarus 攻撃グループによるマルウェア感染事例 - ASECブログ
1 year ago

[…] ブログ(INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア、https://asec.ahnlab.com/jp/33733/)で Lazarus 攻撃グループがマルウェアの感染のために INITECH […]

0
Reply
trackback
INITECH 製品(INISAFE CrossWEB)セキュリティアップデートの推奨 - ASECブログ
7 months ago

[…] INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア(2022.04.26) […]

0
Reply
trackback
韓国国内の金融セキュリティソリューションの脆弱性を利用する Lazarus 攻撃グループ - ASECブログ
5 months ago

[…] INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア(2022.04.26) […]

0
Reply
trackback
Lazarus 脅威グループの Volgmer、Scout マルウェア解析レポート - ASECブログ
1 month ago

[…] 近年は、水飲み場型攻撃を利用して韓国国内の防衛産業、人工衛星、ソフトウェア、マスコミなど、多数の企業や機関を攻撃したが、初期侵入方式に韓国国内の金融セキュリティ認証ソフトウェアのセキュリティ脆弱性が使用された。[2] 攻撃者は初期侵入の後にも、ラテラルムーブメントのプロセスにおいて Web セキュリティソフトウェアや企業の財産管理プログラムの脆弱性を悪用したりした。[3] Lazarus グループはマルウェアの配布サーバー、または C&C サーバーに活用する目的で、一般 PC だけでなく、サーバーシステムも攻撃のターゲットにする。 [4] [5] […]

0
Reply