ASEC(AhnLab SEcurity intelligence Center) は、韓国企業の証明書で署名されたマルウェアと同じ特徴を持つファイルを調査し、Nexaweb Inc. 証明書で署名されたマルウェアを発見した。このマルウェアは他のセキュリティ企業が Kimsuky グループの活動として報告したことがある。

アンラボでは、これらを Larva-25004 と名付けて追跡している。

Nextweb 証明書署名マルウェア

発見されたファイルは 2個で、 MD5 ハッシュ情報は次のとおりである。

Job Description (LM HR Division II).pdf.scr : 73d2899aade924476e58addf26254c2e

Automation Manager JD(LM HR II).scr として知られるファイル: aa89364341f7bc0fabb0b9efb6ea153f9

これらのファイルは、Nexaweb 証明書 (シリアル番号: 0315e137a6e2d658f07af454c63a0af2) により、2024年 5月 24日と 28日に署名されました。

マルウェアが実行されると、就職関連の PDF ファイルをおとりとして表示する。

正確なターゲットは確認されていないが、おとりとなる文書から防衛産業への就職を希望している人物がターゲットと推定される。

疑問の Nexaweb 証明書

Nexaweb で以前使用した証明書 (シリアル番号: 28ce4d33e7994c2be95816eea5773ed1) により署名されたファイルでは、マルウェアが検出されていない。

マルウェアに署名された証明書は、他のファイルの署名には使用されておらず、マルウェアの 2個ファイルの署名にのみ使用されたため、実際に Nexaweb 社の証明書かどうかを問い合わせしたが、まだ回答を得られていない。