米国大統領選挙に合わせてばらまかれたRAT

何かと物議を醸した米国大統領選挙の前日、投票日にテロ発生のおそれがあることを知らせるメールがばらまかれた。

著者: F-Secure Business Security Insider
日付: 2016年11月22日
読了時間: 1 分

パイヴィ・テュンニネン

何かと物議を醸した米国大統領選挙の前日、投票日にテロ発生のおそれがあることを知らせるメールがばらまかれた。テロ組織ISISによるものとされる、「The Murtadd Vote(背教者の投票)」と題する声明文に記されていたテロということのようだ。メールは、米国を拠点とするテロリスト監視団体の代表から送られた形になっている。もっとも、メールのメッセージは「USA Today」紙の記事からの引用であり、「The Murtadd Vote.zip」というZIPアーカイブが添付されている。

mail1

添付ファイルを展開すると、「The Murtadd Vote.jar」というファイルが現れるが、これは、Adwindというリモートアクセスツール/リモートアクセス型トロイの木馬(RAT)である。Adwind RAT(またはjRAT)は目新しいものではない。実際、Adwind RATは、Malware-as-a-Service(サービスとしてのマルウェア)としてサブスクリプション方式で利用可能になってもう4年になる。このRATに備わる機能をいくつか挙げれば、キーロギング、認証情報の盗み出し、感染したホスト上に置かれたファイルをさらにダウンロードして実行する、などがある。

manifest

この脅威が、他のRATと少し異なる点はどこだろうか。それは、プラットフォームに依存しないため、Java Runtime Environment(JRE)がインストールされていれば、ほとんどどんなデバイス上でも動作できるという点だ。次の図に示すように、WindowsでもLinuxでもすんなりと、自身のコピーをevgjyuBYuAY.WyhMVRとしてインストールできた。

windows_linux

このサンプルの場合、命令元のinvoicesheet[.]ddns[.]net:183へ通信(Phone Home)を行うようだ。アドレスを調べてみると、昨日は163.47.20.25だったが、今日は103.25.58.83となった。

Windowsでは、VBSスクリプトを使って、どのファイアウォールが使われているか、などのマシン情報を調べる。.REGファイルを使ってレジストリを書き換える。UACを無効化し、システム監視、アンチウィルス製品、デバッグ用ソフトウェアと関連があるいくつかのプロセスを停止させることも可能だ。

regentries

IOC:

  • 80b83ff63adce9ee3ef593ef92eb6fb8eebe431d
  • f9143d7ff3d7651155e7164093722d2eba25bd13 (DeepGuard Kavala.O)
  • dc4a1fdbaad15ddd6fe22d3907c6b03727b71510
  • 8a50c72b4580c20d4a7bfc7af8f12671bf6715ae
  • invoicesheet.ddns.net
  • 163.47.20.25
  • 103.25.58.83

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中