Andariel グループの新たな攻撃活動の解析

主に韓国国内の企業および機関を攻撃対象とする Andariel 脅威グループは、Lazarus 脅威グループと協力関係である、または Lazarus グループの下位組織として知られている。2008年から韓国国内を対象とする攻撃が最初に確認され、主な攻撃対象は国防、政治機構、造船、エネルギー、通信など、安全保障と関連があるところである。もちろんそれ以外にも大学や運送、ICT 業者等、韓国国内にある様々な企業や機関が攻撃対象となっている。[1](韓国語のみ提供)

Andariel 脅威グループは初期侵入プロセスにおいて主にスピアフィッシング攻撃や水飲み場型攻撃、そしてサプライチェーン攻撃を利用し、このほかにもマルウェアのインストール過程で中央管理ソリューションを悪用する事例も存在する。[2](韓国語のみ提供) Andariel グループの特徴の一つは様々なマルウェアを製作して攻撃に使用する点であるが、特に過去の攻撃に使用された Andarat 、Andaratm、Phandoor、Rifdoor 以外にも、数年前から確認されている TigerRAT [3](韓国語外部サイト)、MagicRAT [4](英語外部サイト)等、バックドアタイプが多い。

ASEC(AhnLab Security Emergengy response Center)では Andariel 脅威グループの攻撃を持続的にモニタリングしており、最近 Andariel グループの攻撃と推定される攻撃事例が確認されたため、関連内容をブログで公開する。これらの攻撃事例では過去の攻撃で確認されたマルウェアや C&C サーバーが使用されていないため、直接的な関連関係は存在しない。このため、これらの攻撃と Andariel 脅威グループの関係性を確認するために、まずは2023年上半期の Andariel グループの攻撃事例を解析したあと、これをもとに関連関係を整理し、必要に応じてこれより以前の攻撃事例で確認された内容も含めていく。

2023年に確認された攻撃の特徴としては、Go 言語で開発されたマルウェアが多数確認された点である。過去、Innorix Agent を悪用した攻撃事例では Go 言語で開発された Reverse Shell が使われ、その後韓国国内の企業を対象とした攻撃では Black RAT が使われた。このような傾向は最近の攻撃事例でも続いており、Goat RAT、DurianBeacon 等、Go 言語で開発された別のマルウェアが攻撃に使われている。DurianBeacon は Go バージョン以外にも Rust 言語で開発されたバージョンも存在することが特徴である。

最初の配布事例が直接確認できていないため、本記事では攻撃に使われたマルウェアをもとに解析を行う。攻撃には様々なマルウェアが使用されるが、マルウェアの製作者が指定した名前が確認されている場合はその名前を使用し、そうでない場合は類似のマルウェアや当社の検知名を記載する方法で整理する。

1. 過去の攻撃事例

1.1. Innorix Agent 悪用事例

2023年2月、ASEC では「脆弱な Innorix を悪用したマルウェアの配布：Andariel」というブログ記事で Andariel 脅威グループが脆弱なバージョンの Innorix Agent ユーザーを対象にマルウェアを配布した状況を公開した。[5]配布に悪用された Innorix Agent プログラムはファイル転送ソリューションクライアントプログラムであり、韓国インターネット振興院(KISA)が脆弱性に関する内容を掲載してセキュリティアップデートが推奨される INNORIX Agent 9.2.18.450 およびそれ以前のバージョンであることが確認された。[6](韓国語外部サイト)

上記の攻撃事例を通じて攻撃に使われたマルウェアを調査した結果、多数の韓国国内の大学においてマルウェアに感染していたことを確認した。攻撃に使用されたマルウェアのほとんどはバックドアタイプであり、すべてにおいて既知のタイプは存在しない。しかし、過去に使用されていた他のマルウェアや以降の攻撃に使われたマルウェアとの関連性が見られたため、ここでは簡単にその特徴を整理する。

1.1.1. NUKESPED 変種 – VOLGMER

過去のブログでも取り上げたように、このマルウェアは C&C サーバーとの通信プロセスにおいてパケットを暗号化するために、以下のような 0x10 バイトのキーを使用した。このキーの値はアメリカのサイバーセキュリティ・社会基盤安全保障庁(CISA)のレポートにおいて Hidden Cobra (Lazarus)脅威グループの Volgmer マルウェアが使用したキーの値と同じである。[7](現在接続不可)

• Key : 74 61 51 04 77 32 54 45 89 95 12 52 12 02 32 73

Volgmer は比較的最近の攻撃でも使用されており、レジストリ「HKLM\SYSTEM\CurrentControlSet\Control\WMI\Security」キーに保存された設定データを読み込んで動作し、C&C サーバーとの通信に HTTP プロトコルを使用する。このような点は過去の CISA レポートで取り上げられたタイプとほぼ類似している。これは、Volgmer がこれといった変形が行われず持続的に攻撃に使われているということを意味する。また、このマルウェアは Volgmer と同じキー値を使用していたが、このマルウェアが C&C サーバーとの通信パケットを暗号化するのに当該キーの値を使用するのとは異なり、Volgmer はレジストリに暗号化状態で保存された設定データを復号化するのに使用したという違いがある。

これらの状況から上記マルウェアを Volgmer と同タイプと分類するには無理があり、NukeSped の変種として分類している。基本的な機能のみを提供する比較的単純な形式のバックドアであり、自己削除のプロセスで使用される Batch スクリプトが従来の NukeSped タイプと類似している点が特徴である。

1.1.2. ANDARDOOR

.NET で開発され TestProgram という名前を持つバックドア型マルウェアである。当社の検知名に基づいて Andardoor に分類し、Dotfuscator ツールを利用して難読化されているのが特徴である。ファイルタスク、プロセスタスク、コマンド実行、スクリーンショットキャプチャ等、感染システムを操作できる複数機能をサポートしている。C&C サーバーとの通信には SSL を利用した暗号化が使われ、サーバー名には「clientName」という文字列を指定している。

1.1.3. 1TH TROY REVERSE SHELL

1th Troy は Go 言語で開発された Reverse Shell マルウェアである。バイナリに含まれた以下の文字列から、マルウェアが「Reverse_Base64_Pipe」という単純な名前であり、マルウェアの製作者はこれを「1th Troy」に分類していることが確認できる。

基本的なコマンドのみを提供する Reverse Shell らしく、サポートするコマンドは「cmd」、「exit」、「self delete」であり、それぞれコマンド実行、プロセスの終了、自己削除機能に対応している。

1.2. 韓国国内企業の攻撃事例

Andariel グループは2023年3月にも韓国国内の防衛産業メーカーおよび電子機器メーカーを攻撃し、マルウェアを拡散させた。初期侵入方式は確認されていないが、当社 AhnLab Smart Defense (ASD)インフラを通じて mshta.exe プロセスが TigerRat をインストールしたログと、mshta.exe プロセスを終了させるログが確認されている。これはスクリプトのマルウェアによってインストールされたことを意味し、スピアフィッシング攻撃が使われたものと思われる。

攻撃に使われたマルウェアは主にバックドアであり、以前から Andariel グループが使用する TigerRat が同時に使用された。

1.2.1. TIGERRAT

TigerRat は、過去に KISA が名付けた RAT マルウェアであり、[8](韓国語外部サイト) 2020年頃から最近に至るまで Andariel 脅威グループが攻撃に何度も使用している。一般的にスピアフィッシングメールに添付された不正なマクロ文書ファイルや水飲み場型攻撃によって配布されたものと知られている。[9] Andariel グループは脆弱なバージョンの VMware Horizon 製品を使用している韓国国内企業を対象に Log4Shell 脆弱性攻撃を実行し、TigerRat をインストールした事例も存在する。[10]

TigerRat はファイルタスク、コマンド実行のような基本的機能のほかにも情報収集、キーロガー、スクリーンキャプチャ、ポートフォワーディング等、様々な機能をサポートするバックドア型マルウェアであり、C&C サーバーと最初に通信する際に認証プロセスが存在することが特徴である。過去のバージョンでは認証時に以下のように SSL 通信を偽装した文字列を使用していた。マルウェアによって「HTTP 1.1 /member.php SSL3.4」または「HTTP 1.1 /index.php?member=sbi2009 SSL3.3.7」文字列を C&C サーバーに伝達したあと、C&C サーバーから「HTTP 1.1 200 OK SSL2.1」文字列を渡された場合のみ認証に成功する。

だが、今回確認された NukeSped は以下のようにランダムな 0x20 サイズの文字列が使用されている。この文字列は「fool」(dd7b696b96434d2bf07b34f9c125d51d)、「iwan」(01ccce480c60fcdb67b54f4509ffdb56)に対する MD5 ハッシュと推定され、攻撃者はネットワークの検知を回避するために認証プロセスでランダムな文字列を使用したものと思われる。

• C&C リクエスト文字列：dd7b696b96434d2bf07b34f9c125d51d
• C&C レスポンス文字列：01ccce480c60fcdb67b54f4509ffdb56

1.2.2. BLACK RAT

Black RAT は攻撃者が製作したものと推定されるバックドア型マルウェアであり、他のマルウェアのように Go 言語で製作された。以前の攻撃で確認された 1th Troy リバースシェルは単純なコマンド実行機能のみをサポートしているが、Black RAT はコマンド実行以外にもファイルのダウンロード、スクリーンキャプチャのような様々な機能をサポートしている。

バイナリに含まれた以下の文字列を見ると、マルウェアの製作者がこのマルウェアを RAT に分類しており、名前を Black と指定していることが分かる。

1.2.3. NUKESPED 変種

この攻撃にも、典型的な NukeSped バックドアが使用された。サポートする機能には、ネットワークスキャン、プロセスおよびファイルの照会、ファイルのアップロード/ダウンロード、コマンド実行等がある。使用する API の名前は以下のように暗号化されており、これを復号化した後に直接取得して使用する。復号化には 0x26 サイズのキーが使用される。

• 復号化に使われるキーの値 : i<6fu>-0|HSLRCqd.xHqMB]4H#axZ%5!5!?SQ&

この NukeSped 変種でも自己削除のための Batch スクリプトが使用されるが、過去の攻撃で使われたタイプとは若干の違いが存在する。

確認された NukeSped 変種は二種類あり、それぞれ Reverse Shell 方式と Bind Shell 方式である。Bind Shell 形式も Reverse Shell 形式と同じく、使用するポート、すなわち Listen するポート番号は10443である。この NukeSped は TigerRat のように C&C サーバーと通信を行う以前に認証プロセスを経由するが、TigerRat が SSL 通信を偽装するのに対し、NukeSped は HTTP 通信を偽装している。すなわち、以下のような POST リクエストを送信したあと、正確にマッチする HTTP レスポンスを受け取った時のみ C&C サーバーとの通信を行う。

2. 最近の攻撃事例

ASEC では Andariel グループの攻撃をモニタリングしており、最近では Innorix Agent がマルウェアをインストールするために悪用されている事例を確認した。Innorix Agent がマルウェアをダウンロードする方式であった過去の事例とは異なり直接生成する方式であるため、脆弱性攻撃かどうかは把握できず、単純に悪用されたものである可能性がある。

この攻撃で確認されたマルウェアは過去に Andariel グループが使用したタイプではないが、Innorix が攻撃に使われた点以外にも、攻撃対象が韓国国内の大学である点は過去の攻撃事例と類似している。この他にも、似たようなタイミングで韓国国内の ICT 企業や電子機器メーカー、造船、製造業等の様々な企業を対象とした攻撃事例が確認されており、解析の結果 Innorix を悪用した攻撃事例で使われたマルウェアとの関連性を確認することができた。

ここではまず、それぞれの攻撃事例と攻撃プロセスにおいて使用されたマルウェアを解析していく。その後、それぞれの攻撃事例を同じ攻撃者による仕業だと考える根拠を整理したあと、それらの攻撃と過去の Andariel 脅威グループの攻撃事例との関連性を整理する。

2.1. Innorix Agent 悪用事例

2.1.1. GOAT RAT

最近、韓国国内の複数大学を対象とする攻撃において Innorix Agent がマルウェアをインストールした事例が確認された。Innorix Agent は「iexplorer.exe」という名前でマルウェアをインストールしたのだが、これはもともと Andariel グループがよく使用する名前の一つである。

攻撃に使われたマルウェアは Go 言語で開発されたマルウェアであり、以下のようなオリジナルソースコード情報を確認することができる。

過去の攻撃で使われた Go ベースのバックドア型マルウェアとは異なり難読化されているが、基本的なファイルのタスクや自己削除のような機能を確認でき、実際に以下のようなコマンドを実行したログも確認されている。

2.2. 韓国国内企業の攻撃事例

2.2.1. ANDARLOADER

ASEC では Innorix Agent を悪用した攻撃事例とは別に、類似する時期に異なる攻撃を確認した。最初の配布経路は不明だが、攻撃に使われたマルウェアは上記で Andardoor に分類した .NET マルウェアと同じく Dotfuscator ツールを利用して難読化されており、C&C サーバーと SSL 通信を行う点も同じである。C&C サーバーとの接続時は「clientName」を使用していた Andardoor とは異なり、「sslClient」文字列が使われる。

ほとんどの機能が直接実装されていた Andardoor マルウェアとは異なり、このマルウェアは外部から .NET アセンブリのような実行可能なデータを受け取って実行する、ダウンローダー機能がすべてである。C&C サーバーから渡されたコマンドのうち、以下のようなコマンドによって受け取ったコードを実行する、または終了することができる。攻撃者が AndarLoader を利用して実行した振る舞いの中には Mimikatz を感染システムにインストールするログも確認されている。

解析当初は C&C サーバーとの接続が不可能であり実質的な機能を担う部分は確認できなかったため、従来の Andardoor との直接的な類似性は未確認であるが、同じ難読化ツールを使用している点や C&C サーバーとの通信プロセスが類似しており、ここでは AndarLoader タイプに分類した。

AndarLoader が攻撃者の命令を受け取り実行したコマンドの中には mshta.exe プロセスを終了させるコマンドが存在する。AndarLoader が PowerShell を利用してインストールされた点や mshta.exe プロセスと関連している点を見ると、初期流入経路が上記で取り上げた攻撃事例のようにスピアフィッシング攻撃である可能性を示している。

AndarLoader に感染したシステムには以下のように mshta.exe プロセスが C&C サーバーに接続するログも同時に確認されている。

C&C アドレスおよびダウンロードアドレスには kro.kr ドメインが使用されているが、これは一般的に Kimsuky 脅威グループがよく使用するドメインである。また、攻撃のプロセスで RDP 接続のために Ngrok をインストールする点も Kimsuky 脅威グループの攻撃パターンと類似している。

2.2.2. DURIANBEACON

AndarLoader マルウェアを調査していたところ、攻撃プロセスにおいて DurianBeacon という名前のマルウェアが同時に使用されたことが確認された。DurianBeacon は Go 言語で開発された形式と Rust 言語で開発された形式の2種類が確認されているが、どちらもバックドア型マルウェアであり、C&C サーバーから攻撃者のコマンドを受け取って不正な振る舞いを実行することがある。

A. GO バージョン

バイナリに含まれた以下の文字列を通じて、マルウェアの製作者がこのマルウェアを DurianBeacon という名前で製作したことが分かる。

Go 言語で開発された DurianBeacon は C&C サーバーとの通信時に SSL プロトコルを使用する。最初の接続のあと、感染システムの IP 情報、ユーザー名、デスクトップ名、アーキテクチャ、ファイル名を転送したあとコマンドを待機し、コマンドが渡されると結果を返す。サポートする機能の中には、感染システムの基本的な情報を収集する機能のほか、ファイルのダウンロード/アップロード、照会、コマンド実行等の機能が存在する。

SSL プロトコルを利用するために通信パケットは暗号化されているが、内部的には以下のようなパケット構造が使われる。

それぞれのコマンド番号に該当する機能は以下の通りである。

コマンド実行後は成功/失敗やコマンド実行の結果を C&C サーバーに伝達するが、レスポンスもコマンドパケットと類似している。

B. RUST バージョン

関連ファイルを調査していたところ、Rust 言語で製作された DurianBeacon も攻撃に使われたことを確認した。

• PDB 情報 : C:\Users\Anna\Documents\DurianBeacon\target\x86_64-pc-windows-msvc\release\deps\DurianBeacon.pdb

DurianBeacon は C&C サーバーとの通信方式のうち SSL 以外に XOR を利用したパケットの暗号化をサポートし、キーは 0x57 である。

Go バージョンと比較した際のパケット構造およびコマンドも同様である。Rust バージョンの DurianBeacon は最初の接続のあと、「durian2023」のキーワードと共に感染システムの IP 情報、ユーザー名、デスクトップ名、アーキテクチャ、ファイル名を転送したあとコマンドを待機し、コマンドが渡されると結果を返す。

3. 最近の攻撃事例の関連性

上記項目では、最近確認された二つの攻撃、すなわち Innorix Agent を悪用して韓国国内の大学を攻撃した事例と、スピアフィッシングと推定される攻撃によって韓国国内企業にマルウェアをインストールした事例を取り上げた。ここでは、これら二種類の攻撃が同じ攻撃者による仕業であると推定している根拠を整理する。

まず、当社 ASD のログを通じて特定のシステムで Durian、Goat RAT、AndarLoader マルウェアが類似したタイミングで同時に収集された事例が存在する。このシステムは攻撃者のテスト PC と推定されるが、これは AndarLoader マルウェアのパス名が以下の通りであったためである。

• AndarLoader の収集パス : d:\01__developing\99__c#_obfuscated\runtime broker.exe

このほかにも、バックドア型マルウェアの C&C サーバーが共有された事例も存在する。攻撃者が Innorix Agent を悪用してマルウェアをインストールする際は大抵 Goat RAT が使われていたが、別のマルウェアがインストールされた事例も一定の割合で存在する。このマルウェアは収集はできなかったが、C&C サーバーとの通信ログが残っており、当該アドレスは他の攻撃で使用された DurianBeacon の C&C アドレスと同じであった。

最後に DurianBeacon が AndarLoader をインストールしたログも確認することができた。すなわち、これらの攻撃は類似したタイミングで発生しており、各マルウェアがインストールの過程で、または使用する C&C サーバーのアドレスで関連性を示している。

4. Andariel グループの過去攻撃事例との関連性

最近になって確認された二つの攻撃事例は、同じ攻撃者による仕業であると推定される。ここでは、これらの攻撃と Andariel 脅威グループとの関連性を確認していく。

A. 攻撃対象

• 韓国国内の大学や防衛産業、電子機器、ICT 業者等を対象に攻撃

B. 攻撃方式

• 過去の事例と同じく Innorix Agent を悪用
• 過去の事例と同じく、スピアフィッシング攻撃と推定される状況を確認
• マルウェアのインストール時に使用したパス、およびファイル名の類似性

C. 使用されたマルウェア

• Go 言語で製作されたマルウェアの使用
• Andardoor マルウェアと AndarLoader マルウェアの類似性
• 過去の攻撃に使用した情報窃取型マルウェアと類似したマルウェアの確認

まず、攻撃対象となる分野が従来の攻撃事例において確認された対象と同じであるという点と、過去の攻撃で確認された攻撃方式と同じものが使用されたという点がある。Innorix Agent を悪用した事例は直接確認しており、推定ではあるものの複数のログを通じてスピアフィッシング攻撃が使われたと思われる状況も確認されている。

そして、マルウェアのインストール時に使用された「iexplorer.exe」という名前がかなり以前の Andariel による攻撃事例当時から確認されているという点である。「iexplorer.exe」のほかにも「authsvc.exe」、「creditsvc.exe」のように「svc」のキーワードを含む名前も過去から何度も使用されている。上記の過去事例において使用された「mainsvc.exe」、「certsvc.exe」のほかにも「netsvc.exe」という名前や「srvcredit.exe」のような類似する名前が使用された事例も存在する。

AndarLoader はこの項目で取り上げたように、過去の攻撃で使用された Andardoor と同じツールである Dotfuscator の評価版バージョンで難読化されており、C&C サーバーとの通信方式も SSL 暗号化を使用しているという点において類似していることがわかる。この他にも Go 言語で開発されたマルウェアが二つ使われたのだが、これは 1th Troy Reverse Shell、Black RAT 等、今年初めから Go 言語で開発されたマルウェアが継続的に使われている流れとも一致している。

最後に、攻撃者のテスト PC と推定されるシステムと実際の攻撃事例で直接製作したものと推定される情報窃取型マルウェアが使用されたという点がある。過去の事例においても Andariel グループは攻撃のプロセスでアカウント情報窃取の役割を担うマルウェアをインストールし、Internet Explorer や Chrome、Firefox Web ブラウザ等に保存されたアカウント情報を窃取していた。このマルウェアはコマンドラインツールであり、抽出したアカウント情報をコマンドラインで出力し、攻撃者はバックドアを利用して結果を C&C サーバーに転送したものと推定される。

最近の攻撃で使用された情報窃取型マルウェアもこれと類似する形式であり、違いがあるとすれば Web ブラウザだけを情報窃取対象として、アカウント情報だけでなく、履歴まで窃取対象にしているという点である。この他にも、コマンドラインで出力していた過去のものとは異なり、窃取した情報を同じパスに「error.log」という名前のファイルで生成する。

5. 結論

Andariel グループは Kimsuky、Lazarus グループと共に韓国国内を対象として活発に活動している脅威グループの一つである。初期の頃は主に安全保障と関連する情報を取得するために攻撃を展開していたが、以降は金銭的利得を目的とした攻撃も行っている。[11](韓国語のみ提供) 初期侵入の際は主にスピアフィッシング攻撃や水飲み場型攻撃、そしてソフトウェアの脆弱性を利用するものと知られており、攻撃プロセスで別の脆弱性を利用してマルウェアを配布する状況も確認されている。

ユーザーは、出どころが不明なメールの添付ファイルや、Web ページからダウンロードした実行ファイルは特に注意しなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチの適用や V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。

ファイル検知
– Backdoor/Win.Agent.R562183 (2023.03.14.00)
– Backdoor/Win.Andardoor.C5381120 (2023.02.16.01)
– Backdoor/Win.Andardoor.R558252 (2023.02.16.01)
– Backdoor/Win.AndarGodoor.C5405584 (2023.04.05.03)
– Backdoor/Win.DurianBeacon.C5472659 (2023.08.18.02)
– Backdoor/Win.DurianBeacon.C5472662 (2023.08.18.02)
– Backdoor/Win.DurianBeacon.C5472665 (2023.08.18.03)
– Backdoor/Win.Goat.C5472627 (2023.08.18.02)
– Backdoor/Win.Goat.C5472628 (2023.08.18.02)
– Backdoor/Win.Goat.C5472629 (2023.08.18.02)
– Backdoor/Win.NukeSped.C5404471 (2023.04.03.02)
– Backdoor/Win.NukeSped.C5409470 (2023.04.12.00)
– Backdoor/Win.NukeSped.C5409543 (2023.04.12.00)
– Infostealer/Win.Agent.C5472631 (2023.08.18.02)
– Trojan/Win.Agent.C5393280 (2023.03.11.00)
– Trojan/Win.Agent.C5451550 (2023.07.11.00)
– Trojan/Win.Andarinodoor.C5382101 (2023.02.16.01)
– Trojan/Win.Andarinodoor.C5382103 (2023.02.16.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)

ビヘイビア検知
– Suspicious/MDP.Download.M1004
– Infostealer/MDP.Behavior.M1965

IOC
MD5
– 0a09b7f2317b3d5f057180be6b6d0755 : NukeSped 変種 – Volgmer (%SystemRoot%\mstc.exe.irx)
– 1ffccc23fef2964e9b1747098c19d956 : NukeSped 変種 – Volgmer (%SystemRoot%\msnox.exe.irx)
– 9112efb49cae021abebd3e9a564e6ca4 : NukeSped 変種 – Volgmer (%SystemRoot%\system32\mscert.exe)
– bcac28919fa33704a01d7a9e5e3ddf3f : NukeSped 変種 – Volgmer (%SystemRoot%\msnoxe.exe.irx)
– ac0ada011f1544aa3a1cf27a26f2e288 : Andardoor (%SystemDrive%\users\%ASD%\msdes.exe.irx)
– c892c60817e6399f939987bd2bf5dee0 : Andardoor (%SystemDrive%\users\%ASD%\msdes.exe.irx)
– 0211a3160cc5871cbcd4e5514449162b : Andardoor (%SystemDrive%\users\%ASD%\msdes.exe.irx)
– e5410abaaac69c88db84ab3d0e9485ac : 1st Troy Reverse Shell (%SystemRoot%\msnox.exe.irx)
– 88a7c84ac7f7ed310b5ee791ec8bd6c5 : 1st Troy Reverse Shell (%SystemRoot%\msnox.exe.irx)
– eb35b75369805e7a6371577b1d2c4531 : TigerRat (%SystemRoot%\system32\hl_cl.exe)
– 5a3f3f75048b9cec177838fb8b40b945 : TigerRat (%SystemDrive%\users\%ASD%\larabar.exe, %SystemDrive%\users\%ASD%\mainsvc.exe, %SystemDrive%\users\%ASD%\certsvc.exe)
– 9d7bd0caed10cc002670faff7ca130f5 : Black RAT (%SystemRoot%\syswow64\mbcbuilder.exe, %SystemRoot%\syswow64\msinfo.exe)
– 8434cdd34425916be234b19f933ad7ea : Black RAT (%SystemRoot%\system32\shamon.exe)
– bbaee4fe73ccff1097d635422fdc0483 : NukeSped 変種 (%SystemDrive%\users\%ASD%\update.exe)
– 79e474e056b4798e0a3e7c60dd67fd28 : NukeSped 変種 (%SystemRoot%\hl_cl.exe)
– 3ec3c9e9a1ad0e6a6bd75d00d616936b : Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– 95c276215dcc1bd7606c0cb2be06bf70 : Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– 426bb55531e8e3055c942a1a035e46b9 : Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– cfae52529468034dbbb40c9a985fa504 : Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– deae4be61c90ad6d499f5bdac5dad242 : Goat RAT (%SystemDrive%\users\%ASD%\downloads\iexplore.exe)
– 6ab4eb4c23c9e419fbba85884ea141f4 : AndarLoader (SystemDrive%\users\%ASD%\pictures\runtime broker.exe, %SystemRoot%\system32\authsvc.exe, %SystemRoot%\system32\creditsvc.exe, %ProgramFiles%\smartplant\svchost.exe)
– bda0686d02a8b7685adf937cbcd35f46 : DurianBeacon Go (a.exe)
– 6de6c27ca8f4e00f0b3e8ff5185a59d1 : DurianBeacon Go (%SystemDrive%\users\%ASD%\pictures\xxx.exe)
– c61a8c4f6f6870c7ca0013e084b893d2 : DurianBeacon Rust (%SystemDrive%\users\%ASD%\documents\d.exe)
– 5291aed100cc48415636c4875592f70c : Mimikatz (%SystemDrive%\users\%ASD%\mimi.exe)
– f4795f7aec4389c8323f7f40b50ae46f : アカウント情報収集マルウェア (%SystemDrive%\users\%ASD%\documents\mshelp.exe)

ダウンロードアドレス
– hxxp://27.102.113[.]88/client.exe : NukeSped 変種 – Volgmer
– hxxp://27.102.107[.]230/mstcs.exe : NukeSped 変種 – Volgmer
– hxxp://27.102.107[.]233/update.exe : NukeSped 変種 – Volgmer
– hxxp://27.102.107[.]233/client.exe : NukeSped 変種 – Volgmer
– hxxp://27.102.107[.]234/update.exe : NukeSped 変種 – Volgmer
– hxxp://27.102.107[.]235/mstcs.exe : NukeSped 変種 – Volgmer
– hxxp://139.177.190[.]243/update.exe : Andardoor
– hxxp://4.246.144[.]112/update.exe : Andardoor
– hxxp://27.102.113[.]88/update.exe : 1st Troy Reverse Shell
– hxxp://27.102.107[.]224/update.exe : 1st Troy Reverse Shell
– hxxp://27.102.107[.]230/update.exe : 1st Troy Reverse Shell
– hxxp://www.ipservice.kro[.]kr/dataSeq.exe : AndarLoader
– hxxp://www.ipservice.kro[.]kr/creditsvc.exe : AndarLoader

C&C アドレス
– 27.102.113[.]88:5443 : NukeSped 変種 – Volgmer
– 27.102.107[.]234:8443 : NukeSped 変種 – Volgmer
– 27.102.107[.]224:5443 : NukeSped 変種 – Volgmer
– 109.248.150[.]179:443 : NukeSped 変種 – Volgmer
– 139.177.190[.]243:443 : Andardoor
– 4.246.144[.]112:443 : Andardoor
– 27.102.113[.]88:21 : 1st Troy Reverse Shell
– 27.102.107[.]224:8443 : 1st Troy Reverse Shell
– 4.246.149[.]227:8080 : TigerRat
– 13.76.133[.]68:8080 : TigerRat
– 217.195.153[.]233:443 : TigerRat
– bbs.topigsnorsvin.com[.]ec:8080 : Black RAT
– 27.102.129[.]196:8088 : Black RAT
– 13.76.133[.]68:10443 : NukeSped 変種
– 46.183.223[.]21:8080 : Goat RAT
– chinesekungfu[.]org:443 : AndarLoader
– privatemake.bounceme[.]net:443 : AndarLoader
– 8.213.128[.]76:1012 : DurianBeacon Go

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。