www.welivesecurity.com 

ESET社がウクライナ政府を狙ったマルウェアに関する記事を公開していたので概要をメモ。

■ 標的

ウクライナ政府機関

■ 攻撃者

■ 使用するマルウェア

• Quasar (オープンソースRAT)
• Sobaken (Quasarを元に作られたもの)
• Vermin (カスタムメイド)

■ 攻撃方法

• 主にメールを使用

• 添付ファイルには以下の手法を使用

　　(1) RLOによる拡張子の偽装

　　(2) Wordファイル(CVE-2017-0199)

　　(3) RARの自己解凍書庫(SFX)

■ 特徴

　　(1) Windowsキーボードのレイアウトをチェックし、ロシアまたはウクライナである事を確認

　　(2) 感染端末のIPアドレスをチェックし、ロシアまたはウクライナである事を確認

　　(3) 存在しないURLに通信し、接続に失敗する事を確認

　　(4) ユーザ名をチェックし、マルウェア解析環境で使われている名前でない事を確認

　　e.g. ANDY, ANTONY, JOHN

■ その他

• パスワード窃取プログラムはロシアのフォーラム(Habrahabr)からコピペして作成

• コード難読化のために商用の「.NET Reactor」、またはフリーの「ConfuserEx」を使用

• Vitevic Assembly Embedderを使用

■ IOC

https://www.welivesecurity.com/wp-content/uploads/2018/07/ESET_Quasar_Sobaken_Vermin.pdf