watoly retweeted:
JPCERT/CC Eyes「日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション」を公開。国内で確認したLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールをご紹介しています。^MM blogs.jpcert.or.jp/ja/2021/03/Laz…
これまでJPCERT/CC Eyesでは、攻撃グループLazarus(Hidden Cobraとも言われる)が攻撃時に使用するマルウェアやツールを、数回に分けて紹介してきましたが、この攻撃グループによる攻撃オペレーションは他にも確認されています。今回は、国内で確認した攻撃グループLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールを紹介します。
VSingleの概要
VSingleは、リモートから任意のコードを実行する機能を持ったHTTPボットです。このマルウェアは、その他にプラグインをダウンロードして実行する機能なども持っています。
このマルウェアは起動後、Explorerを実行し、通信などを行うメインのコードをDLLインジェクションしたうえで、実行します(DLLインジェクションを行わない検体も確認されています)。なお、メインコード内には、以下のPDBパスが含まれていることを確認しています。
ネットワーク内部で使用するツール
この攻撃オペレーションでは、以下のツールを使用していることを確認しています。攻撃者は、感染ホスト上で、通信の中継を行うために、以下のようなツール使用していました。
- 3Proxy
3Proxy tiny free proxy serverは、クロスプラットフォーム(Win32/Win64&Unix)の本当に小さなフリーウェアのプロキシサーバーセットです。HTTPS と FTP をサポートする HTTP プロキシ、SOCKSv4/SOCKSv4.5/SOCKSv5 プロキシ (socks/socks.exe)、POP3 プロキシ、SMTP プロキシ、AIM/ICQ プロキシ (icqpr/icqpr.exe)、MSN メッセンジャー / Live メッセンジャー プロキシ (msnpr/msnpr.exe)、FTP プロキシ、キャッシング DNS プロキシ、TCP および UDP ポートマッパーが含まれています。 - Stunnel
Stunnelは、既存のクライアントやサーバーに、プログラムのコードを変更することなくTLS暗号化機能を追加するために設計されたプロキシです。そのアーキテクチャは、セキュリティ、ポータビリティ、スケーラビリティ(ロードバランシングを含む)に最適化されており、大規模な展開に適しています。 - Plink
PLINKは、Shaun Purcellによって設計された、無料で一般的に使用されているオープンソースの全ゲノム関連解析ツールセットです。基本的な大規模遺伝子解析を幅広く行うことができるように柔軟に設計されています。