| 概要 初期侵入方式 …. 2.1. スピアフィッシング攻撃 …. 2.2. LNK マルウェア 遠隔操作マルウェア …. 3.1. XRat (Loader) …. 3.2. Amadey …. 3.3. 最新の攻撃事例 …….. 3.3.1. AutoIt Amadey …….. 3.3.2. RftRAT 感染後 …. 4.1. キーロガー …. 4.2. インフォスティーラー …. 4.3. その他のタイプ 結論 |
1. 概要
北朝鮮の支援を受けていると知られている Kimsuky 脅威グループは、2013年から活動している。初期の頃は韓国の北朝鮮関連研究機関等への攻撃を行っており、2014年、韓国のエネルギー機関への攻撃が、そして2017年以降は韓国以外の国に対する攻撃も確認されている。[1] 主にスピアフィッシング攻撃によって国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報や技術の窃取を目的とする。[2](韓国語のみ提供)
Kimsuky グループは最近でも初期侵入経路としてスピアフィッシング攻撃を主に使用している。過去と比べて最近の攻撃事例だけに見られる特徴としては、アレアハングルや MS Office ドキュメント形式のマルウェアに代わり、LNK 形式のショートカットマルウェアが使用される事例が増加している点である。攻撃者はスピアフィッシングメールの添付ファイルやダウンロードリンクを通じて圧縮ファイルのダウンロードを誘導し、解凍すると正常なドキュメントファイルと不正な LNK ファイルが同時に存在する。
ASEC では、LNK マルウェアを利用した Kimsuky グループの攻撃事例をモニタリングしており、確認された攻撃事例を継続的にブログに掲載している。Kimsuky グループはこのような初期侵入プロセス以降、感染システムを操作するために遠隔操作マルウェアをインストールする。Kimsuky グループが使用するマルウェアには AppleSeed、PebbleDash [3](韓国語のみ提供) のように自ら作成したタイプのほかにも、XRat [4]、HVNC [5]、Amadey [6]、Metasploit Meterpreter [7] 等、オープンソースであったり販売されているマルウェアが存在する。操作権限を掌握したあとは、最終的に RDP を利用するか Google の Chrome リモート デスクトップをインストールして [8] 感染システムの情報を窃取する。
ここでは、最近配布が確認された Amadey と RftRAT マルウェアを解析対象とする。Amadey と RftRAT は XRat と共に2023年の間使用が続けられてきたが、最近では AutoIt で作成された形式が確認されている。そして、Kimsuky グループが遠隔操作マルウェアを利用して追加でインストールする情報窃取型マルウェアを共に取り上げる。遠隔操作が目的のマルウェアは何度も変更されているが、これを利用してインストールするマルウェアは2023年の間は大きな変化がなく、攻撃に使用され続けていることが特徴である。
2. 初期侵入方式
2.1. スピアフィッシング攻撃
ASEC では、2023年の1年間「正常なアレアハングルドキュメントに偽装した不正なリンクファイル(LNK)」 [9]、「国税庁を騙った不正な LNK の拡散」 [10]、「企業の広報物制作に偽装した不正な LNK の拡散」 [11] 等のブログを通じて LNK マルウェアを配布する攻撃事例を公開してきた。
攻撃者は電子メールにファイルを添付する、またはダウンロードリンクを添付してユーザーに圧縮ファイルをダウンロードさせ、内部に存在する LNK ショートカットファイルを実行するよう誘導した。
2.2. LNK マルウェア
LNK ファイルの内部には暗号化された形で保存されている圧縮ファイルがあり、ここには様々なスクリプト形式のマルウェアが存在する。
LNK を実行すると当該圧縮ファイルが解凍され、最終的にスクリプト形式のマルウェアが実行される。内部に存在する BAT、VBS スクリプトには他のスクリプトを実行したり、感染システムの情報を収集して窃取する機能を担うインフォスティーラーがある。また、持続性維持の役割を果たしたり、追加のペイロードを外部からダウンロードして実行するダウンローダーも存在する。
このように感染システムで動作するスクリプト形式のマルウェアは外部から追加のマルウェアをインストールするが、代表的なものに XRat、Amadey、RftRAT というバックドアマルウェアがある。これらのタイプはすべて VMP でパックされた状態で配布されるが、最近では AutoIt で作成した Amadey と RftRAT が使用されることが特徴である。遠隔操作マルウェアをインストールしたあとは、キーロガー、情報窃取型マルウェアをインストールして最終的に組織の内部情報および技術の窃取を目的とするものと見られる。
3. 遠隔操作マルウェア
3.1. XRat (QuasarRAT)
XRat は .NET で開発された RAT マルウェアであり、Github に公開されている QuasarRAT をベースに作成された。Kimsuky グループによる XRat の使用はかなり前から確認されているが、最近では単独実行ファイルや DLL ではなく、暗号化されたペイロード形式で攻撃に使用することが特徴である。ローダーの機能を担うマルウェア「ht.dll」と、設定が含まれたデータファイル「htsetting.ini」ファイル、そして暗号化されたペイロードで構成されているが、このような方式はセキュリティ製品による検知を回避するための目的であると推定される。
Loader マルウェアは同じパスにある htsetting.ini ファイルを読み取り復号化したあと、インジェクションする機能を担う。現在までに確認されたローダーマルウェア ht.dll はすべて VMP でパックされて使用されており、復号化されたバイナリからは以下のように攻撃者が使用した文字列が確認できる。
設定ファイルには暗号化された実際のマルウェアファイル名、RC4 復号化キー、そしてインジェクション対象となる正常なファイルの情報が存在する。Ht.dll は当該情報を参照して暗号化されたファイルを読み取り、復号化したあと正常なプロセスにインジェクションする。最終的にインジェクションされて動作するペイロードは、暗号化されたファイルに応じて XRat 以外のマルウェアである可能性もある。
3.2. Amadey
Kimsuky グループは、このほかにも Amadey Bot を攻撃に使用した。Amadey は違法フォーラムで販売され始めたマルウェアであり、C&C サーバーからさらなるマルウェアをインストールするダウンローダーである。もちろん、このようなダウンローダー機能のほかに感染システムの基本的な情報を転送したり、設定やプラグインのインストール状況に応じてスクリーンショット、Web ブラウザや電子メールクライアントに保存されているアカウント情報を窃取する場合もある。
Kimsuky グループはドロッパーを利用して Amadey をインストールするが、DLL フォーマットのドロッパーマルウェアは以下のように %PUBLIC% パスにランダムな名前のフォルダーを隠し属性で生成し、内部に存在するファイルをドロップする。生成したファイルの中には実際の Amadey が含まれた圧縮ファイルが存在するが、解凍後のサイズを見ると 300MB 以上の大容量ファイルであることがわかる。これも、セキュリティ製品による検知を回避するために意図的にサイズを大きくしたものと推定される。
その後「%ALLUSERSPROFILE%\Startup」パスを生成し、スタートアップフォルダーに登録するが、ここには持続性の維持を行う「svc.vbs」という名前のスクリプトが生成される。Rundll32.exe プロセスによりロードされて実行される Amadey は svchost.exe プロセスを経て最終的に iexplore.exe プロセスにインジェクションされて動作する。
攻撃者は2023年にも多数の攻撃を通じて Amadey をインストールし、ほとんどが同じ形式のドロッパーマルウェアがこれをインストールした。このドロッパーマルウェアは Amadey のほかにも RftRAT マルウェアをインストールした。RftRAT も Amadey と同じく、300MB 以上のサイズを持っている。
これらの攻撃から確認された RftRAT はすべて Amadey と同じく VMP でパックされており、復号化された文字列から RFTServer というキーワードを確認できる。RftRAT は C&C サーバーからコマンドを渡され実行できる、バックドアマルウェアである。
3.3. 最新の攻撃事例
最近では、Kimsuky グループが AutoIt を利用してマルウェアを作成していることが確認された。過去から使用していた Amadey を AutoIt にポーティングしての作成も行っており、RftRAT をインジェクションする用途でも使われた。
過去の攻撃事例では RFTServer というデバッグ文字列のみ確認されていたが、最近の攻撃では PDB のパスが含まれたマルウェアが確認された。PDB のパスに存在する文字列を通じて、攻撃者が RAT タイプとして rft と名前をつけたことが確認できることから、ここでは当該マルウェアを RftRAT と分類する。
- PDB 文字列 : E:_WORK\My_Work\Exploit\Spyware_spy\RAT\RFT_Socket_V3.2\Release\rft.pdb
3.3.1. AUTOIT AMADEY
上記で取り上げたように、Amadey は Kimsuky グループが過去から使用を続けてきたマルウェアの一つである。Kimsuky グループが使用した Amadey は一般的な攻撃者が使用していたタイプとは違いが存在する。代表的なものとして DGA(Domain Generation Algorithms)を使用する点、感染システムにインストールされたアンチウィルスをチェックする時、韓国国内の企業名が存在するという点がある。
今回確認された Amadey は AutoIt 言語にポーティングされており、過去の攻撃事例で確認されているタイプと同じ形である。攻撃者は、正常な AutoIt 実行ファイルとコンパイルされた AutoIt スクリプトを感染システムにインストールした。コンパイルされた AutoIt スクリプトは、解析妨害のためにサイズが 100MB となっており、以下のようにダミーデータが含まれている。
復号化された AutoIt スクリプトは言語は異なるものの Amadey マルウェアと言えるが、感染システムの情報を収集した後 C&C サーバーに転送する際の HTTP リクエスト構造が典型的な Amadey のものと同じである。
このほかにも、感染システムにインストールされたアンチウィルスのリストを取得する際に韓国国内の企業をチェックするルーティンが存在し、exe フォーマット以外にも dll、PowerShell、vbs、js フォーマットの追加ペイロードをダウンロードして実行する機能もサポートしている。
上記でも述べたとおり、Kimsuky グループが使用する Amadey は DGA をサポートしている。DGA とはドメイン生成アルゴリズムであり、定められた形式ではなく動的にドメイン、すなわち C&C サーバーのアドレスを生成するアルゴリズムである。Kimsuky グループは日付をもとにして動的に C&C サーバーを取得したあと、これをサブ C&C サーバーとして使用し、もしメイン C&C サーバーの通信が不可能な場合は代わりに DGA で生成したサブ C&C サーバーを使用して通信を行う。
3.3.2. RFTRAT
攻撃に使用された AutoIt スクリプトの中には、Amadey のほかに RftRAT が存在する。AutoIt 実行ファイルと不正な AutoIt スクリプトはドロッパーマルウェアを通じて生成されることもあるが、以下の ASD ログからは RftRAT をインストールするドロッパー DLL、「d015700.dll」の実行ログと、最終的に svchost.exe にインジェクションされて動作する RftRAT が情報窃取マルウェアを生成するログを確認できる。参考に、同じシステムはその後 Kimsuky グループの別のマルウェアである AppleSeed が追加でインストールされることもあった。
過去の攻撃に使われた RftRAT は DLL フォーマットであり VMP でパックされていたため、正確に比較するのは難しい。しかし、使用するライブラリファイルが同じである点、ICMLuaUtil を利用して UAC Bypass を行う点、そして C&C 通信およびコマンドの結果を保存するのに使用されるパス名が似通っている点等の情報から、過去バージョンの RftRAT として分類した。
コンパイルされた AutoIt スクリプトは上記の Amadey の事例と類似しているが、実際の機能は svchost.exe を実行し、ここに RftRAT をインジェクションするためのインジェクターである。最終的なペイロードである RftRAT は単独では実行できず、マッピングされた「A1CCA2EC-C09F-D33C-4317-7F71F0E2A976_0」という名前のファイルからデータを読み取る必要がある。インジェクターの機能を担う AutoIt スクリプトは、ここに AutoIt 実行ファイルとスクリプトのパスをそれぞれ書き込む。
このようにして伝達された AutoIt 実行ファイルとスクリプトのパスは、以降 UAC Bypass プロセスで使われる。RftRAT は CMSTPLUACOM コンポーネントの ICMLuaUtil インターフェースを利用して UAC を回避、自身を管理者権限で実行する。管理者権限で実行された RftRAT は感染システムの基本的な情報を収集したあと、C&C サーバーに送信する。
| Offset | データ |
|---|---|
| 0x0000 | シグネチャ(0x963DA7EF) |
| 0x0004 | 感染システムの ID |
| 0x0044 | IP アドレス |
| 0x014 | コンピューター名 |
その後、C&C サーバーからコマンドを受け取る。RftRAT は受け取ったコマンドを「%APPDATA%\asc\t1.pb」に書き込み、その後これを復号化する。復号化した結果は実際のコマンドであるが、これを同じファイルに書き込んで再び読み込み使用する。参考に、コマンドと実行結果、そしてさらにダウンロードしたファイルは以下のようなパスに生成される。
| パス | 説明 |
|---|---|
| %APPDATA%\asc\t1.pb | C&C サーバーからダウンロードしたコマンド |
| %APPDATA%\asc\t2.ax | コマンド実行結果 |
| %APPDATA%\asc\t3.br | ダウンロードコマンドを通じてダウンロードしたファイル |
| コマンド | 説明 |
|---|---|
| 0x00 | ファイルのダウンロード |
| 0x01 | ファイルのアップロード(zip 圧縮) |
| 0x02 | ドライバー情報の照会 |
| 0x04 | ファイル名の変更 |
| 0x05 | ディレクトリの生成 |
| 0x06 | ファイルの削除 |
| 0x07 | ファイルの実行(with UAC Bypass) |
| 0x08 | プロセス情報の照会 |
| 0x09 | プロセスの終了 |
| 0x0A | リバースシェル |
| 0x0B | プロセスの終了およびファイルの削除 |
| 0x12 | 終了 |
| 0x14 | 待機 |
4. 感染後
Kimsuky グループは操作権限を奪った後も、キーロガー、Web ブラウザのアカウント、cookie 情報抽出ツール等の様々なマルウェアをインストールして感染システムの情報を窃取する。このほかにも、数年前から使用している Mimikatz、RDP Wrapper をインストールする場合もある。
4.1. キーロガー
キーロガーは主に「%ALLUSERSPROFILE%\startup\NsiService.exe」のパスにインストールされる。システムに常駐してユーザーのキー入力を監視し、「%ALLUSERSPROFILE%\semantec\av\C_1025.nls」または「%ALLUSERSPROFILE%\Ahn\av\C_1025.nls」パスに保存する。「%ALLUSERSPROFILE%\semantec」フォルダーはこのマルウェア以外にも本記事で取り上げた様々なマルウェアがインストールされたパスでもある。
4.2. インフォスティーラー
Web ブラウザ関連情報を収集するマルウェアは「%ALLUSERSPROFILE%\semantec\」パスに「GBIA.exe」、「GBIC.exe」、「GBS.exe」、「GPIA.dll」等の名前で生成された。大半は Web ブラウザに保存されたアカウントおよび cookie 情報を対象とするが、「Local Extension Settings」パスのファイル、すなわち Chrome Web ブラウザの拡張プログラム関連の設定情報を対象とするタイプもある。
このほかにも、「GPIA.exe」という名前のツールは感染システムのフルパスをすべて照会し、各フォルダー内に位置するファイルを表示する。全体ファイルのパスが含まれたファイルは当然サイズが大きくなるため、分割圧縮の機能もサポートしている。
4.3. その他のタイプ
Kimsuky グループの特徴は、情報窃取のために RDP を悪用するケースが多いという点である。これにより RDP Wrapper をインストールしたり、マルチセッションのためのパッチマルウェアを使用することもある。最近ではユーザーのログオン記録をモニタリングするマルウェアも確認されているが、これはユーザーがいつログオンするかを調べた後、アイドル時間中に RDP を接続するためであると推定される。
「%ALLUSERSPROFILE%\semantec\」パスにインストールされる「taskhosts.exe」はインジェクターマルウェアであり、「ipcheck.dll」を「explorer.exe」と「runtimebroker.exe」プロセスにインジェクションする。「ipcheck.dll」は「WinStationQueryInformationW()」、「ExitWindowsEx()」関数をフックする方式によりユーザーのログオン/ログオフをモニタリングし、ログは「%PUBLIC%\Log64.txt」パスに保存される。
攻撃者はこのほかにも Proxy マルウェアを使用した。過去に使用されていたプロキシツールはコマンドラインの引数を受け取って動作したが、このタイプは「setting.ini」設定ファイルを読み込んで使用する。基本設定のアドレスに RDP のポート番号である3389が設定されていることからして、プライベートネットワークに RDP 接続をするための目的と推定される。
5. 結論
Kimsuky 脅威グループは韓国国内のユーザーを対象にスピアフィッシング攻撃を持続的に行っている。最近では韓国国内ユーザーを対象に様々なトピックを利用した不正な LNK ファイルが配布されており、ユーザーは特に注意が必要である。
主に電子メールの添付ファイルやダウンロードリンクを通じてマルウェアを配布する手法が使われ、ユーザーがそれを実行すると現在使用中のシステムの操作権限が奪われることがある。Kimsuky グループは感染システムを操作して情報を窃取するために様々なマルウェアを新たに作成して使用しており、最近ではセキュリティ製品による検知を回避するために AutoIt を利用してマルウェアを作成している。
ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧しないようにしなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払う必要がある。
ファイル検知
– Downloader/Win.Amadey.R626032 (2023.11.30.00)
– Backdoor/Win.Agent.R626033 (2023.11.30.00)
– Downloader/Win.Amadey.C5462118 (2023.07.28.03)
– Trojan/AU3.Loader (2023.11.22.01)
– Dropper/Win.Agent.C5542993 (2023.11.17.02)
– Trojan/Win.Agent.C5430096 (2023.05.20.00)
– Infostealer/Win.Agent.R622445 (2023.11.17.02)
– Downloader/Win.Amadey.C5479015 (2023.08.31.01)
– Trojan/Win.Agent.C5485099 (2023.09.11.03)
– Trojan/Win.Agent.C5479017 (2023.08.31.01)
– Trojan/Win.Loader.C5479014 (2023.08.31.01)
– Trojan/Win.Agent.C5465186 (2023.11.30.00)
– Infostealer/Win.Agent.C5542999 (2023.11.17.02)
– Infostealer/Win.Agent.C5542997 (2023.11.17.02)
– Trojan/Win.Agent.C5451959 (2023.11.30.00)
– Trojan/Win.Agent.Prevention.C5446554 (2023.11.30.00)
– Trojan/Win.Agent.R589022 (2023.06.28.02)
– Trojan/Win.Loader.R588248 (2023.11.30.00)
– Trojan/Win.Agent.C5444839 (2023.11.30.00)
– Trojan/Win.Stealer.C5441397 (2023.11.30.00)
– Trojan/Win.KeyLogger.C5430090 (2023.05.20.00)
– Malware/Win.Generic.C5430065 (2023.11.30.00)
– Trojan/Win.Stealer.R579484 (2023.05.20.00)
– Trojan/Win.Loader.C5430091 (2023.05.20.00)
– Trojan/Win.KeyLogger.C5430092 (2023.05.20.00)
– Trojan/Win.Loader.C5430099 (2023.05.20.00)
– Trojan/Win.Proxy.C5430093 (2023.05.20.00)
– Trojan/Win.Agent.C5430095 (2023.05.20.00)
振る舞い検知
– Persistence/MDP.AutoIt.M4766
– Injection/MDP.Hollowing.M4767
IOC
MD5
– f5ea621f482f9ac127e8f7b784733514 : RftRAT Dropper – AutoIt (d009086.dll)
– 7b6471f4430c2d6907ce4d349f59e69f : Amadey – AutoIt Script (adal.au3)
– 14a7f83d6215a4d4c426ad371e0810a2 : RftRAT – AutoIt Script (run.au3)
– 74d5dac64c0740d3ff5a9e3aca51ccdf : RftRAT – AutoIt Script (chkdisc.au3)
– a7c9b4d70e4fad86598de37d7bf1fe96 : RftRAT – AutoIt Script (run.au3)
– 32696d9e1e72affaf8bc707ab271200d : Loader (ht.dll)
– 4b667f7ea5bdc9d872774f733fdf4d6a : Loader (ht.dll)
– 7f582f0c5c9a14c736927d4dbb47c5fa : Loader (ht.dll)
– 94aef716b23e8fa96808f1096724f77f : Loader (ht.dll)
– 0786984ab46482637c2d483ffbaf66dc : Loader (ht.dll)
– 1f63ce3677253636a273a88c5b26418d : Loader (ht.dll)
– 6f7cd8c0d9bfb0f97083e4431e4944c1 : Amadey Dropper (10.dll)
– 4fc726ab835ce559bada42e695b3d341 : Amadey Dropper (11.dll)
– 0fc1c99fd0d6f5488ab77e296216c7c6 : Amadey Dropper (10.dll)
– f9c4d236b893c0d72321a9210359f530 : Amadey (svc4615.dll)
– e22336eaf1980d2be5feed61b2dbc839 : Amadey (svc7014.dll)
– 862a855557cc274ab86e226e45338cff : Amadey (mtms2883.dll)
– 0f5762be09db44b2f0ccf05822c8531a : Amadey (ad53.dat)
– c87094e261860e3a1f70b0681e1bc8c5 : Amadey (ad54.dat)
– bac7f5eefe6a67e9555e93b0d950db59 : Amadey (d021999.dll)
– c5a1305aba22c8fedd6624753849905b : Amadey (mtms02.dat)
– 068d395c60e32f01b5424e2a8591ba73 : Amadey (adal66.dat)
– f3caa0f922600b4423ebcb16d7ea2dc6 : RftRAT Dropper (_e2.dll)
– 355817015c8510564c6ac89c976f2416 : RftRAT Dropper (_d2.dll)
– d541aa6bae0f8c9bd7e7b6193b52e8f2 : RftRAT Dropper (d010943.dll)
– 093608a2d6eb098eb7ea917cc22e9998 : RftRAT Dropper (30.dll)
– f76cde928a6eda27793ade673bcd6620 : RftRAT (msc1439.dll)
– aaa42b1209ed54bfcbd2493fe073d59b : RftRAT (mtms1929.dll)
– 1003a440c710ddf7faa1a54919dd01d8 : RftRAT (rtm8668.dll)
– b67e6e4c16e0309cfc2511414915df15 : RftRAT (cmms1106.dll)
– 4d4d485d3bfd3cbc97ed4b9a671f740f : RftRAT (cmms2366.dll)
– cf3440fa165e3f78d2a2252a6924f702 : RftRAT (mtms7794.dll)
– c55da826e50e2615903607e61968778f : RftRAT
– d070cf19b66da341f64c01f8195afaed : RftRAT (r2.dat)
– e665a985f71567f24a293ea430aad67d : RftRAT (r2.dat)
– c52410ed6787c39db87c4158e73089d4 : RftRAT (r1.dat)
– 1ac0b0da11e413a21bec08713e1e7c59 : RftRAT (40.dat)
– 39e755c08156123e4cabac6bf8d1fd3a : RftRAT (a2.dat)
– 187aa9b12c05cd1ff030044786903e7e : KeyLogger (NsiService.exe)
– b1337eb53b21594ac5dbd76138054ffb : KeyLogger (NsiService.exe)
– d820ddb3026a5960b2c6f39780480d28 : KeyLogger (NsiService.exe)
– 5c2809177bb95edc68f9a08a96420bb7 : Stealer – Web ブラウザ (GBIA.exe)
– 0bf558adde774215bb221465a4edd2fe : Stealer – Web ブラウザ (GBIA.exe)
– aa2cf925bae24c5cad2b1e1ad745b881 : Stealer – Web ブラウザ (GPIA.dll)
– baa058003bf79ba82ac1b744ed8d58cb : Stealer – Chrome 拡張 (GBS.exe)
– 38182f1f0a1cf598295cfbbabd9c5bf4 : Stealer – ファイルパス (GPIA.exe)
– 272c29bf65680b1ac8ec7f518780ba92 : Stealer – ファイルパス (GPIA.exe)
– e860dac57933f63be9a374fb78bca209 : Proxy (svc.exe)
– e96ca2aa7c6951802e4b17649cc5b581 : Injector (taskhosts.exe)
– 4eddf54757ae168450882176243d2bd2 : Injector (sihosts.exe)
– 119063c82373598d00d17734dd280016 : LogonMon (ipcheck.dll)
C&C
– hxxps://prohomepage[.]net/index.php :Amadey – AutoIt Script
– 45.76.93[.]204:56001 : RftRAT – AutoIt Script
– 91.202.5[.]80:52030 : RftRAT – AutoIt Script
– 192.236.154[.]125:50108 : RftRAT – AutoIt Script
– hxxp://brhosting[.]net/index.php : Amadey
– hxxps://topspace[.]org/index.php : Amadey
– hxxps://theservicellc[.]com/index.php : Amadey
– hxxps://splitbusiness[.]com/index.php : Amadey
– hxxps://techgolfs[.]com/index.php : Amadey
– 23.236.181[.]108:52390 : RftRAT
– 152.89.247[.]57:52390 : RftRAT
– 172.93.201[.]248:8083 : RftRAT
– 172.93.201[.]248:52390 : RftRAT
– 209.127.37[.]40:52390 : RftRAT
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報