2022年10月17日、KISA(韓国インターネット振興院)から「カカオトークサービス障害問題を悪用したサイバー攻撃に関する注意勧告」のお知らせが掲示されたが、その内容によると電子メールを通じてカカオトークのインストーラー(KakaoTalkUpdate.zip 等)に偽装して拡散していることがわかる。
- KISA セキュリティに関するお知らせの参考 URL(韓国語外部サイト) : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66958
ASEC 分析チームは、関連サンプルをモニタリングするプロセスにおいてこの類と思われるファイルを確保した。このマルウェアは配布されるファイル名とアイコンが実際のメッセンジャープログラムと同じであり、一般ユーザーによる実行を誘導する。
メールに添付されていたものと思われる kakaotalk_update.exe マルウェアの初回実行時、当該プロセスを再帰処理して自分自身のプロセスにインジェクションする。インジェクションされたプロセスは C2サーバーに接続し、さらなるマルウェアが圧縮された zip ファイルを共用フォルダーにダウンロードしたあと、以下のコマンドを実行する。
- cmd.exe /c rundll32.exe “C:\users\public\srms.dat” Run
- cmd.exe /C timeout /t 5 /nobreak & Del /f /q “C:\Users\[ユーザー名]\Desktop\kakaotalk_update.exe”
srms.dat というファイル名のダウンロードおよび実行されたファイルは[図3]のようなドロッパー(Dropper)形式であり、AmadeyBot マルウェアにより動作する DLL を生成する。
その後、rundll32.exe を利用して生成された tapi32.dll というファイル名の Amadey Bot を以下のように実行させて自己削除を行う。
- rundll32.exe “C:\users\public\348520\tapi32.dll”,Run
- rundll32.exe “C:\users\public\348520\tapi32.dll”,Start
- cmd.exe /C timeout /t 5 /nobreak & Del /f /q “C:\users\public\srms.dat”
実行された Amadey Bot は[図7]のように C2 サーバーに感染先システムの ID、Amadey バージョン、管理者権限の有無、アーキテクチャ、Windows バージョン、PC 名、ユーザー名のような利用者 PC の情報を送信する。
Amadey Bot マルウェアの詳しい解析情報は、以下の ASEC ブログで確認できる。
AhnLab 製品では、これらのマルウェアを以下の通り検知している。
[ファイル検知]
– Downloader/Win.Amadey.R5282269 (2022.10.17.03)
– Trojan/Win.Amadey.C5282244 (2022.10.17.03)
– Dropper/Win.Amadey.C5282248 (2022.10.17.03)
[IOC]
MD5
– 0184b0f6403420f7134a3e4a37498754 (初期ダウンローダー)
– 00a7588c41c5a1183f098901d30df09a (追加ドロッパー)
– ccd5a8f11035b888a7a3de6035ac272e (Amadey Bot)
C&C サーバー
– hxxps://office-download3791[.]com/list.php
– hxxps://rs-shop7301[.]com/index.php
– hxxp://hc228783[.]info/index.php
– hxxp://bj226871[.]info/index.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報