北朝鮮関与のマルウェア「KEYMARBLE」

www.security-next.com

米国土安全保障省（DHS）と米連邦捜査局（FBI）が北朝鮮が関与すると思われるマルウェア「KEYMARBLE」について注意喚起を呼びかけたとの記事。

情報元は下記のサイトと思われます。

Incident Reporting System | US-CERT

■ 概要

北朝鮮のAPT(HIDDEN COBRA)によって使われているマルウェア
32bitのWindows実行ファイル
Remote Access Trojan (RAT)の機能を持つ

■ マルウェア機能

ファイルのダウンロード / アップロード
コマンド実行
プロセス一覧の取得
プロセスの停止
ファイル検索
ファイル削除
ファイル属性の設定
レジストリ作成（データ格納用途）
スクリーンショット取得
端末情報の収集（OS、CPU、MACアドレス、コンピュータ名...）

■ IOC (STIX形式)

https://www.us-cert.gov/sites/default/files/publications/MAR-10135536.r17.v1.WHITE_stix.xml

■ その他

US-CERTの記事だと443番ポートで通信するとしか記載されていませんが、995番ポートも使用するため注意。

using port 443, attempts to connect to the hard-coded IP addresses listed below.

f:id:b1nary:20180816002723p:plain

f:id:b1nary:20180816003406p:plain

公開されているyaraファイルは以下。

rule rsa_modulus {

meta:

Author="NCCIC trusted 3rd party"

Incident="10135536"

Date = "2018/04/19"

category = "hidden_cobra"

family = "n/a"

description = "n/a"

strings:

$n = "bc9b75a31177587245305cd418b8df78652d1c03e9da0cfc910d6d38ee4191d40"

condition:

(uint16(0) == 0x5A4D and uint16(uint32(0x3c)) == 0x4550) and any of them

}

f:id:b1nary:20180816004343p:plain

※その他の解析記事

blog.joshlemon.com.au