コンテンツを開く

テーマのトレンド

米国大統領選挙に合わせてばらまかれたRAT

F-Secure Japan

22.11.16 1 読了時間 分

パイヴィ・テュンニネン

何かと物議を醸した米国大統領選挙の前日、投票日にテロ発生のおそれがあることを知らせるメールがばらまかれた。テロ組織ISISによるものとされる、「The Murtadd Vote(背教者の投票)」と題する声明文に記されていたテロということのようだ。メールは、米国を拠点とするテロリスト監視団体の代表から送られた形になっている。もっとも、メールのメッセージは「USA Today」紙の記事からの引用であり、「The Murtadd Vote.zip」というZIPアーカイブが添付されている。

mail1

添付ファイルを展開すると、「The Murtadd Vote.jar」というファイルが現れるが、これは、Adwindというリモートアクセスツール/リモートアクセス型トロイの木馬(RAT)である。Adwind RAT(またはjRAT)は目新しいものではない。実際、Adwind RATは、Malware-as-a-Service(サービスとしてのマルウェア)としてサブスクリプション方式で利用可能になってもう4年になる。このRATに備わる機能をいくつか挙げれば、キーロギング、認証情報の盗み出し、感染したホスト上に置かれたファイルをさらにダウンロードして実行する、などがある。

manifest

この脅威が、他のRATと少し異なる点はどこだろうか。それは、プラットフォームに依存しないため、Java Runtime Environment(JRE)がインストールされていれば、ほとんどどんなデバイス上でも動作できるという点だ。次の図に示すように、WindowsでもLinuxでもすんなりと、自身のコピーをevgjyuBYuAY.WyhMVRとしてインストールできた。

windows_linux

このサンプルの場合、命令元のinvoicesheet[.]ddns[.]net:183へ通信(Phone Home)を行うようだ。アドレスを調べてみると、昨日は163.47.20.25だったが、今日は103.25.58.83となった。

Windowsでは、VBSスクリプトを使って、どのファイアウォールが使われているか、などのマシン情報を調べる。.REGファイルを使ってレジストリを書き換える。UACを無効化し、システム監視、アンチウィルス製品、デバッグ用ソフトウェアと関連があるいくつかのプロセスを停止させることも可能だ。

regentries

IOC:

  • 80b83ff63adce9ee3ef593ef92eb6fb8eebe431d
  • f9143d7ff3d7651155e7164093722d2eba25bd13 (DeepGuard Kavala.O)
  • dc4a1fdbaad15ddd6fe22d3907c6b03727b71510
  • 8a50c72b4580c20d4a7bfc7af8f12671bf6715ae
  • invoicesheet.ddns.net
  • 163.47.20.25
  • 103.25.58.83
F-Secure Japan

22.11.16 1 読了時間 分

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

下のボタンをクリックしてコンテンツを確認ください。

Gated Content modal

ありがとうございます。登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。