2023年3月、Eset は東アジアの DLP 製作会社で発見されたマルウェアを解析し、Tick グループによるものであると発表した。
Tick グループは2014年以降、主に韓国、日本地域で活動しており、宇宙航空、軍隊、防衛産業、重工業、電子、通信、政府機関、外交などの分野を攻撃している。
AhnLab Security Emergency response Center (ASEC)は、このグループの追加活動を確認し、これを公開していく。
* 改ざんされた Q-Dir の変形
ASEC は、2021年1月から2022年8月までに韓国で収集された Q-Dir を装ったマルウェア3つを追加で確認した。
確認された2つの変形は ReVBSHell バックドアをドロップするが、2022年8月に発見された変形(md5 : 00b170970d46c9212b6d75ce7afc0870 )は FTP サーバーファイルを生成する。
* ShadowPY 変形
Eset は攻撃に使用された ShadowPY マルウェアに関する情報も公開したが、確認した結果、2021年9月に AhnLab が韓国のユーザーから収集したマルウェアと類似していた。
当時、ローダーとして使用されたプログラムも Avira 社の avshadow.exe であり、不正な DLL ファイル名も vssapi.dll である。これは、Eset が公開した内容と同じである。
コードも類似している事が分かる。
Vssapi.dll ファイルの比較
* Operation Triple Tiang との関係
Eset は、AhnLab の公表した Operation Triple Tiang と Tick グループが関係している可能性があると発表した。
Operation Triple Tiang は韓国の政治、外交分野を攻撃しているサイバー作戦であり、報告書を公開した2022年当時には、明確な背後は確認されなかった。
ASEC は、Operation Triple Tiang で使用された ReVBSHell ドロッパーと DLP 製作会社の攻撃に使用された ReVBSHell ドロッパーの変形において同じ手法が使用されていることを確認した。
どちらのドロッパーも、マルウェアが実行されるときに一時パスのファイル数を確認し、一定の数(変形によって10個もしくは18個)を超えた場合にのみマルウェアファイルを生成する。
Temp 内のファイル数チェックの比較類似
同じ ReVBSHell を利用し、ドロッパー間のコードが類似している等の性質から Operation Triple Tiang の背後に Tick グループが存在している可能性が高い。
* 結び
Tick グループは10年以上韓国と日本の政府機関、軍隊および諸産業を標的として活動している。現在も密かに活動している可能性が高いため、AhnLab は Tick グループの活動を追跡し続ける予定である。
* Eset の Facundo Muñoz 様、サンプルと情報をご提供いただきありがとうございます。
[ファイル検知]
Backdoor/VBS.Agent (2023.03.29.02)
Dropper/Win.Revbshell (2023.03.28.03)
Dowonloader/Win.Agent (2022.03.15.00)
Trojan/VBS.Obfus (2023.04.06.00)
Trojan/Win.ShadowPY (2023.04.05.03)
[IOC]
00b170970d46c9212b6d75ce7afc0870
19d0edc452b32b0d3da407459a1a9c56
2db7b0e8b0a3b7f142c4246d8c8bf892
31329cce9d0517233053b5363f06f5af
574df15b8bc888750ca28dd4f4f11fae
cb4a15d941a20985d145cd99fcaf3c82
ddbd1fcf0c332ce8dc38f6b48b29c597
ed97cf996bda070de3b7fa1e75b762b1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報