政本 憲蔵

政本 憲蔵

医療費通知に偽装した攻撃(Backdoor.Emdivi) その後

昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。

図1のように、WordやPDFファイルを装った実行ファイル(exe)がドロッパとなっており、実行後にデコイファイルが表示される裏で、RAT本体がインストールされます。

Emdivi_dropper_3

図1 WordやPDFドキュメントを装ったドロッパ

デコイファイルは、従来の医療費通知を装ったWordファイルだけでなく、産業フォーラムの案内、業界団体からの案内、韓国船沈没事件関連の情報を装ったWord/PDFファイル、中には打ち合わせの議事録を装ったWordファイルも確認されました。

弊社で確認しているRAT検体のMD5は下記の通りです。

MD5 Hash:
05edc5d5bd9bda9ac8a75392b4231146
365f6b4ef127bc2adf445f3b19615cc2
3bdb9ab7caa2a9285b4ed04fe1c4753b
5b41fe8d645d2e1245748c176bd82960
6701efb6306fb3919cde58b82d42712d
a01c73da8fbafeae8a76f71d066aa135
a64bb1ed1f8210ef13fe686621161699
a8e3defc8184708bc0a66a96a686bd50
ae345f9833ac621cf497141b08ad34c2
b19d9aa5bcede2aa8648b85308ede71c
b582d899d519aaa8bb5a5c8b13bc6f76
c248bd02cf6468cb97a34b149701ec94
cf8b4d2fbd7622881b13b96d6467cdab
db7252dcd67affc4674c57d67c13c4f0
fc6f9b6c7402d1018f69f3f665f81c28
fcc4820790d8bf2c0cd654b594b791e1

以前と同様、C2サーバは正規サイトが改ざんされたもので、下記が新たに確認されたURLです。一部をアスタリスク「*」でマスキングしていますが、URLパスはそのまま表記させて頂きますので、プロキシサーバのログ等から、感染事実を確認する際にご利用下さい。

C2サーバのURL:
www.a-mas***.jp/html/mainland/index.php
www.sofu***.or.jp/htm/copyright/folder/index.php
www.sofu***.or.jp/htm/copyright/folder/sc_flash/index.php
www.toko-***.com/koushi/detail/index.php
www.toko-***.com/koushi/detail/sc_flash/index.php
www.turite***.jp/book/index.php
www.motoava***.com/shinyo/backup/look/index.php
www.skywo***.co.jp/tenpo/look/index.php
www.iand***.co.jp/blog/2014/index.php
www.katou***.com/images/fuck/index.php
www.sakurano***.com/blog/index.php
www.dol*.org.hk/FrNghomily/wp-content/upgrade/index.php
www.yodel-for***.jp/event/index.php
www.muku-m***.com/wp-includes/news/scripts/index.php
www.sib*.co.jp/view6/viewdata/book/index.php
www.techno***-net.co.jp/korea/company/folder/index.php

なお、前述したようにマルウェアは日を追うごとに機能追加されています。図2は、医療費通知に偽装したドロッパから展開されるプロセスツリーを解析したものです。ドロッパから、RAT本体であるvmmat.exeがドロップされ、同時にwinword.exeがキックされてデコイドキュメントが表示されています。vmmat.exeからはcmd.exeをキックして、ipconfigやnetコマンドなどのWindows標準コマンドで情報収集するようになっています。ネットワークやアカウント情報などを自動で調査し、いち早く、LAN内で侵入を拡大していこうという意図を感じます。

Falcon_host_6

図2 (CrowdStrike社のFalcon Hostのスクリーンショット)

引き続き、攻撃者の活動は活発なようなので、ご注意下さい。

#CloudyOmega #クラウディオメガ #医療費通知のお知らせ #エムディヴィ

この記事の筆者

政本 憲蔵

政本 憲蔵

インフラ分析とOSINT分析を担当。 Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。
  • アーカイブ

前へ

脆弱性を突かないエクスプロイト-マクロウィルス再び-

次へ

マルウェア解析奮闘記 ~難読化JScriptを解析せよ~