JPCERT/CC、攻撃グループLazarusがネットワーク侵入後に使用するマルウェアの詳細を公開
- 2020/09/03 10:30
- SecurityInsight
JPCERT/CCは8月31日、国内組織を狙ったLazarus(Hidden Cobraとも言われる)と呼ばれる攻撃グループの活動を確認したとして、公式ブログにおいて、侵入後に使用されたマルウェアの一つについて詳細を紹介した。攻撃には、ネットワーク侵入時と侵入後に異なるマルウェアが使われていたという。
このマルウェアは、モジュールをダウンロードして実行する。確認されたマルウェアは、 C:¥Windows¥System32¥などのフォルダーに拡張子drvとして保存されており、サービスとして起動していた。コードはVMProtectで難読化されており、またファイルの後半に不要なデータを追加することでファイルサイズが150Mほどになっていた。
マルウェアの設定情報(サイズ: 0x6DE)は、レジストリエントリに暗号化したうえで保存されており、実行時に読み込まれる。今回確認した設定情報の保存先は次のとおり。
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eventlog\Application
Value: Emulate
マルウェア内の文字列はすべてAES128で暗号化。暗号化に使用するキーは検体内に固定文字列で指定されている。検体内では、16文字をワイド文字(32バイト)に変換して使用しているため、実際に使用されるのは前半の16バイトのみ。
文字列だけではなくWindows APIも難読化されている。Windows API名がAESで暗号化されており、API文字列の復号後にLoadLibraryおよびGetProcAddressで呼び出すAPIのアドレス解決を行なっている。
このマルウェアのネットワーク内での横展開には、SMBMapというSMB経由でリモートホストにアクセスするPythonツールを、PyinstallerでWindows実行ファイル化したツールが使われていた。攻撃者は、事前に取得したアカウント情報をもとに、このマルウェアを横展開していた。