日本語メール添付のマルウェア調査

日本語のマルウェアメールの接到を確認しています
Japanese language #malspam observed #AveMariaRAT?

title : 確定注文番号 2020-1-32410 / 21981/XMH
payload : https://t.co/tHTZDezhvG[.]com/u/0/uc?id=1nJC70ii9821la4-UiRQ2pwKENNHbKFFx&export=download
C2 : 185.140.53[.]91 pic.twitter.com/9yDhyueXU5
— moto_sato (@58_158_177_102) 2020年7月7日

7月7日に、日本語のマルウェアメールが届いているとの報告があったため、簡単に調査した結果をメモ。

添付のマルウェアを実行するとGoogle Driveに通信が発生し、メインのマルウェア（AveMariaRAT）をダウンロードして実行
AveMariaRATのハッシュ値（デコード後）
- MD5: ca2d22d0607a6fb66f6475069c6bf2f9
- SHA1: 129605d40dd37bfcefa3371d024b33e4ecab8eca
AveMariaRATは以下のいずれかのプロセスを生成し、プロセスインジェクションを行う
- C:\Program Files (x86)\internet explorer\ieinstal.exe
- C:\Windows\System32\TapiUnattend.exe
以下の常駐化設定を行う
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- Fuhk: %LOCALAPPDATA%\Fuhk\Fuhk.hta
以下に通信を行う
- 1 8 5 . 1 4 0 . 5 3 . 9 1 / 1867番ポート
参考スクリプト

enc_url = "5e404244450e191b52465f42531a515b59535a5118575959194119041941550b5f500b05587e7503065d5f0d0e06075857001b615f66670646437d71787a7e567d72704c10514e4459464209525b415a5a5b5750"
xor_key = "64"
num = 0
for i in range(0, len(enc_url), 2):
    print chr(int(enc_url[i:i+2], 16) ^ ord(xor_key[num%2])),
    num += 1