パイヴィ・テュンニネン
何かと物議を醸した米国大統領選挙の前日、投票日にテロ発生のおそれがあることを知らせるメールがばらまかれた。テロ組織ISISによるものとされる、「The Murtadd Vote(背教者の投票)」と題する声明文に記されていたテロということのようだ。メールは、米国を拠点とするテロリスト監視団体の代表から送られた形になっている。もっとも、メールのメッセージは「USA Today」紙の記事からの引用であり、「The Murtadd Vote.zip」というZIPアーカイブが添付されている。
添付ファイルを展開すると、「The Murtadd Vote.jar」というファイルが現れるが、これは、Adwindというリモートアクセスツール/リモートアクセス型トロイの木馬(RAT)である。Adwind RAT(またはjRAT)は目新しいものではない。実際、Adwind RATは、Malware-as-a-Service(サービスとしてのマルウェア)としてサブスクリプション方式で利用可能になってもう4年になる。このRATに備わる機能をいくつか挙げれば、キーロギング、認証情報の盗み出し、感染したホスト上に置かれたファイルをさらにダウンロードして実行する、などがある。
この脅威が、他のRATと少し異なる点はどこだろうか。それは、プラットフォームに依存しないため、Java Runtime Environment(JRE)がインストールされていれば、ほとんどどんなデバイス上でも動作できるという点だ。次の図に示すように、WindowsでもLinuxでもすんなりと、自身のコピーをevgjyuBYuAY.WyhMVRとしてインストールできた。
このサンプルの場合、命令元のinvoicesheet[.]ddns[.]net:183へ通信(Phone Home)を行うようだ。アドレスを調べてみると、昨日は163.47.20.25だったが、今日は103.25.58.83となった。
Windowsでは、VBSスクリプトを使って、どのファイアウォールが使われているか、などのマシン情報を調べる。.REGファイルを使ってレジストリを書き換える。UACを無効化し、システム監視、アンチウィルス製品、デバッグ用ソフトウェアと関連があるいくつかのプロセスを停止させることも可能だ。
IOC:
- 80b83ff63adce9ee3ef593ef92eb6fb8eebe431d
- f9143d7ff3d7651155e7164093722d2eba25bd13 (DeepGuard Kavala.O)
- dc4a1fdbaad15ddd6fe22d3907c6b03727b71510
- 8a50c72b4580c20d4a7bfc7af8f12671bf6715ae
- invoicesheet.ddns.net
- 163.47.20.25
- 103.25.58.83
カテゴリ