履歴書を装って配布する方式は、LockBit ランサムウェアの代表的な配布経路である。これに関する内容は今年2月の ASEC ブログを通じて共有したことがあり、[1] 最近では LockBit ランサムウェアだけが配布されていたのとは異なり、情報窃取型マルウェアを含めて配布されている状況を確認した。[2](韓国語のみ提供)
「履歴書16.egg」内部には PDF ファイルに偽装した LockBit ランサムウェア(左)と PPT ファイルに偽装した Vidar インフォスティーラー(右)が存在した。
実行されるランサムウェアは LockBit 3.0 バージョンであり、ユーザー PC 環境の PE ファイルを除いてファイルを暗号化する。
LockBit ランサムウェアと共に配布される Vidar インフォスティーラーは C2 通信よりも前に Telegram の Web サイトに接続する。このサイトは「twowheelfun」チャンネルであり、このページに記載されている文字列を C2 サーバーアドレスに使用する。このような方式は Vidar インフォスティーラーにおいて頻繁に確認されるものであり、定期的な C2 の変更によってネットワーク検知を回避できる。
その後、実際の C2 サーバーに接続して不正な振る舞いに必要な DLL ファイルをダウンロードし、窃取した情報を C2 サーバーに伝達する。
履歴書を装ったマルウェアは企業をターゲットとし、LockBit ランサムウェアだけでなく情報流出型マルウェアと共に拡散されている。それぞれの企業ではアンチウイルスを最新にアップデートするだけでなく、ユーザー自身が特に注意する必要がある。このマルウェアについて、当社 V3 では以下の通り検知している。
[ファイル検知]
Trojan/Win.Generic.R613812
[振る舞い検知]
Ransom/MDP.Event.M4353
Win-Trojan/MalPeP.mexp
[IOC 情報]
0d4967353b6e48ab671aed24899827aa
92350da914ba55c3137c9a8a585f7750
hxxp://128.140.96[.]230
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報