日本語メール添付のマルウェア調査
日本語のマルウェアメールの接到を確認しています
— moto_sato (@58_158_177_102) 2020年7月7日
Japanese language #malspam observed #AveMariaRAT?
title : 確定注文番号 2020-1-32410 / 21981/XMH
payload : https://t.co/tHTZDezhvG[.]com/u/0/uc?id=1nJC70ii9821la4-UiRQ2pwKENNHbKFFx&export=download
C2 : 185.140.53[.]91 pic.twitter.com/9yDhyueXU5
7月7日に、日本語のマルウェアメールが届いているとの報告があったため、簡単に調査した結果をメモ。
- 添付のマルウェアを実行するとGoogle Driveに通信が発生し、メインのマルウェア(AveMariaRAT)をダウンロードして実行
- AveMariaRATのハッシュ値(デコード後)
- AveMariaRATは以下のいずれかのプロセスを生成し、プロセスインジェクションを行う
- C:\Program Files (x86)\internet explorer\ieinstal.exe
- C:\Windows\System32\TapiUnattend.exe
- 以下の常駐化設定を行う
- 以下に通信を行う
- 1 8 5 . 1 4 0 . 5 3 . 9 1 / 1867番ポート
- 参考スクリプト
enc_url = "5e404244450e191b52465f42531a515b59535a5118575959194119041941550b5f500b05587e7503065d5f0d0e06075857001b615f66670646437d71787a7e567d72704c10514e4459464209525b415a5a5b5750" xor_key = "64" num = 0 for i in range(0, len(enc_url), 2): print chr(int(enc_url[i:i+2], 16) ^ ord(xor_key[num%2])), num += 1