« 脆弱性を突かないエクスプロイト-マクロウィルス再び- | メイン | マルウェア解析奮闘記 ~難読化JScriptを解析せよ~ »

2015年1月26日 (月)

医療費通知に偽装した攻撃(Backdoor.Emdivi) その後

昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。

図1のように、WordやPDFファイルを装った実行ファイル(exe)がドロッパとなっており、実行後にデコイファイルが表示される裏で、RAT本体がインストールされます。

 

Emdivi_dropper_3

図1 WordやPDFドキュメントを装ったドロッパ

デコイファイルは、従来の医療費通知を装ったWordファイルだけでなく、産業フォーラムの案内、業界団体からの案内、韓国船沈没事件関連の情報を装ったWord/PDFファイル、中には打ち合わせの議事録を装ったWordファイルも確認されました。

弊社で確認しているRAT検体のMD5は下記の通りです。

MD5 Hash:
05edc5d5bd9bda9ac8a75392b4231146
365f6b4ef127bc2adf445f3b19615cc2
3bdb9ab7caa2a9285b4ed04fe1c4753b
5b41fe8d645d2e1245748c176bd82960
6701efb6306fb3919cde58b82d42712d
a01c73da8fbafeae8a76f71d066aa135
a64bb1ed1f8210ef13fe686621161699
a8e3defc8184708bc0a66a96a686bd50
ae345f9833ac621cf497141b08ad34c2
b19d9aa5bcede2aa8648b85308ede71c
b582d899d519aaa8bb5a5c8b13bc6f76
c248bd02cf6468cb97a34b149701ec94
cf8b4d2fbd7622881b13b96d6467cdab
db7252dcd67affc4674c57d67c13c4f0
fc6f9b6c7402d1018f69f3f665f81c28
fcc4820790d8bf2c0cd654b594b791e1

以前と同様、C2サーバは正規サイトが改ざんされたもので、下記が新たに確認されたURLです。一部をアスタリスク「*」でマスキングしていますが、URLパスはそのまま表記させて頂きますので、プロキシサーバのログ等から、感染事実を確認する際にご利用下さい。

C2サーバのURL:
www.a-mas***.jp/html/mainland/index.php
www.sofu***.or.jp/htm/copyright/folder/index.php
www.sofu***.or.jp/htm/copyright/folder/sc_flash/index.php
www.toko-***.com/koushi/detail/index.php
www.toko-***.com/koushi/detail/sc_flash/index.php
www.turite***.jp/book/index.php
www.motoava***.com/shinyo/backup/look/index.php
www.skywo***.co.jp/tenpo/look/index.php
www.iand***.co.jp/blog/2014/index.php
www.katou***.com/images/fuck/index.php
www.sakurano***.com/blog/index.php
www.dol*.org.hk/FrNghomily/wp-content/upgrade/index.php
www.yodel-for***.jp/event/index.php
www.muku-m***.com/wp-includes/news/scripts/index.php
www.sib*.co.jp/view6/viewdata/book/index.php
www.techno***-net.co.jp/korea/company/folder/index.php

なお、前述したようにマルウェアは日を追うごとに機能追加されています。図2は、医療費通知に偽装したドロッパから展開されるプロセスツリーを解析したものです。ドロッパから、RAT本体であるvmmat.exeがドロップされ、同時にwinword.exeがキックされてデコイドキュメントが表示されています。vmmat.exeからはcmd.exeをキックして、ipconfigやnetコマンドなどのWindows標準コマンドで情報収集するようになっています。ネットワークやアカウント情報などを自動で調査し、いち早く、LAN内で侵入を拡大していこうという意図を感じます。

Falcon_host_6

図2 (CrowdStrike社のFalcon Hostのスクリーンショット)

引き続き、攻撃者の活動は活発なようなので、ご注意下さい。

#CloudyOmega #クラウディオメガ #医療費通知のお知らせ #エムディヴィ

« 脆弱性を突かないエクスプロイト-マクロウィルス再び- | メイン | マルウェア解析奮闘記 ~難読化JScriptを解析せよ~ »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat