AhnLab では、国家サイバー安保センター(NCSC)合同解析協議体と共に、最近特定の政府による支援を受けているハッキンググループの攻撃活動を捕捉した。
発見されたマルウェアはセキュリティアップデートのインストーラーに偽装しており、以下のように Inno Setup ソフトウェアを使用して制作されていた。
[図1] Security Upgrade に偽装したインストーラー
| Inno Setup |
|---|
| Jrsoftware 社が制作したプログラムであり、スクリプトベースの Windows OS 用インストーラーを制作できるツール |
Inno Setup を使用して制作されたインストーラーは、ファイル内部にスクリプトファイル「install_script.iss」が存在する。スクリプトファイルに記録されたコマンドによりシステムにファイルを生成し、プログラムがインストールされる構造である。
スクリプトファイルの内容は以下の通りであり、「プログラムと機能」にインストール情報を記録して、マルウェアファイルをシステム上のパス「C:\ProgramData」に生成する。
[図2] 偽装したインストーラー
[図3] install_script.iss ファイル情報
[図4] 「プログラムと機能」に登録されたインストール情報
生成されたマルウェアは、以下のようにレジストリ領域のスタートアッププログラムに登録され、システムに常駐して動作する。
[図5] マルウェアの動作概要
[図6] レジストリ情報
以後、システムの情報を窃取して攻撃者の C&C サーバーに転送し、攻撃者の遠隔コマンドに応じて様々なコマンドをさらに実行することがある。
出どころが不明なファイルは V3 製品を利用して精密検査を行い、ソフトウェアをインストールする際はソフトウェア開発元の公式ホームページを利用してダウンロードすることを推奨する。
[IOC]
- ファイル検知
Dropper/Win.FakeGovuki (2023.04.15.01) - MD5
c5e0a2b881a60fb3440bb78e9920dccd - URL & C2
pita1.sportsontheweb[.]net
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報