北朝鮮関与のマルウェア「KEYMARBLE」
米国土安全保障省(DHS)と米連邦捜査局(FBI)が北朝鮮が関与すると思われるマルウェア「KEYMARBLE」について注意喚起を呼びかけたとの記事。
情報元は下記のサイトと思われます。
Incident Reporting System | US-CERT
■ 概要
■ マルウェア機能
-
ファイルのダウンロード / アップロード
-
コマンド実行
-
プロセス一覧の取得
-
プロセスの停止
-
ファイル検索
-
ファイル削除
-
ファイル属性の設定
-
レジストリ作成(データ格納用途)
-
端末情報の収集(OS、CPU、MACアドレス、コンピュータ名...)
■ IOC (STIX形式)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.r17.v1.WHITE_stix.xml
■ その他
- US-CERTの記事だと443番ポートで通信するとしか記載されていませんが、995番ポートも使用するため注意。
using port 443, attempts to connect to the hard-coded IP addresses listed below.
- 公開されているyaraファイルは以下。
rule rsa_modulus {meta:Author="NCCIC trusted 3rd party"Incident="10135536"Date = "2018/04/19"category = "hidden_cobra"family = "n/a"description = "n/a"strings:$n = "bc9b75a31177587245305cd418b8df78652d1c03e9da0cfc910d6d38ee4191d40"condition:(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and any of them}
※その他の解析記事