Posted By Hansoyoung , 2022年 July 21日

V3 Lite のアイコンを装って配布されているマルウェア

ASEC 分析チームは、V3 Lite のアイコンに偽装したマルウェアが .NET のフレームワークのパッカーでパックされて配布されている状況を確認した。実際の V3 Lite 製品のアイコンと非常に似せて作られており、これはユーザーを欺くための目的だと判断できる。実際に直近1か月間は AveMaria RAT と AgentTesla マルウェアが確認されている。

上記のようなアイコンの見た目は、実際の V3 Lite 製品のアイコンと大した差はないことが分かる。

AveMariaは、遠隔操作機能の RAT(Remote Administration Tool)マルウェアとして、C&C サーバーから攻撃者の命令を受け、様々な不正な振る舞いを実行することができる。通常 AveMaria マルウェアは、アンチウイルス製品による検知を回避するための目的で AgentTesla、Lokibot、Formbook マルウェアと類似した .NET フレームワークのパッカーを使用して配布されるといった特徴がある。

AveMaria マルウェアの従来の名前は WARZONE RAT であるが、動作プロセスにおいて C2 サーバーとのプロキシ接続時、認証目的で「AVE_MARIA」という文字列を送信する。この文字列が由来となって AveMaria と呼ばれている。

Avemaria マルウェアの機能とバイナリの分析情報は AhnLab TIP Portal の詳細分析レポートおよび ASEC ブログを通して紹介したことがある。

https://asec.ahnlab.com/jp/16911/

マルウェアが動作するプロセスにおいて、Windows システム評価ツールである winSAT.exe と winmm.dll ファイルを利用した UAC 権限昇格を目的としたコマンドも確認されたが、これについては以下のブログで簡単に紹介したことがある。

https://asec.ahnlab.com/jp/32387/

図2) AveMaria マルウェアの実行時、メモリ上で確認される UAC Bypass の振る舞い

マルウェアが実行されると、timeout.exe を通じて意図的に遅延させ、その後 Windows の正常なプログラムである RegAsm.exe に不正なバイナリをインジェクションして、追加で不正な振る舞いを実行する。内部に存在する不正なバイナリは図4で確認できる。

図3) プロセスツリー (RegAsm.exe 正常なプログラムにインジェクション)

AveMaria マルウェア以外にも AgentTesla マルウェアの配布も確認されている。AgentTesla は Web ブラウザ、電子メール及び FTP クライアント等に保存されたユーザー情報を流出させるインフォスティーラー型マルウェアであり、毎週公開している ASEC 週間マルウェア統計でも常に上位を占めるほど、非常に活発に配布されていることが分かる。

https://asec.ahnlab.com/jp/16732/

当社のインフラによって V3 Lite アイコンを利用して配布されている関連した不正なファイルを確認したところ、活発に配布されている状況が確認できた。このような不正なファイルは、フィッシングメールの添付ファイルによって配布されているケースが大半である。

ユーザーは基本的には出どころが不明なメールの添付ファイルを閲覧しないようにしなければならず、使用しているアンチウイルスソフトを最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意しなければならない。

AhnLab 製品では、これらのマルウェアを以下の通り検知している。

[ファイル検知]
Trojan/Win.MSILKrypt.R495355
Trojan/Win.MSILKrypt.R498085
Trojan/Win.MSIL.C5152589
Trojan/Win.MSIL.R500015
Trojan/Win.MSIL.C515258
Trojan/Win.AveMaria.R498632
Trojan/Win.Tnega.C5059801
Downloader/Win.MSIL.R498629

[メモリ検知]
Trojan/Win.AgentTesla.XM95

[ビヘイビア検知]
Persistence/MDP.AutoRun.M224

[IOC]
c5cb27cb09bdc222aeffaf0cccb96bad
ccb55c0200203e7fb4748d28c30ba2f9
45.162.228[.]171:26112
3280690e018ceb2112ee695933f65742
hxxp://ppz.devel.gns.com[.]br/temps/donexx.exe
hxxp://filetransfer[.]io/data-package/XRWqXdNN/download

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:インフォスティーラー,フィッシングメール,マルウェア,AGENTTESLA,Avemaria