このAPT攻撃の時代において、政府間の会合があるのにマルウェアが発現しない、というのは何かがおかしいように感じる。しかし2015年11月21日の第3回ASEAN・米国サミットは期待を裏切らなかった。
クアラルンプールでのサミットの数日前、ARC(ASEAN Secretariat Resource Centre)のドメインが侵害された。これはasean.orgのサブドメインであった。侵害されたスクリプトファイルに悪意のあるコードが加えられ、サイトに訪れた者は43.240.119.35にリダイレクトされる(現在、この悪意あるスクリブトはアクセスできない)。
ARCのWebサイトはいまだ侵害されたままであり、「the 3rd ASEAN Defence Ministers’ Meeting.rar」というファイル名のアーカイブがホストされている。ここに含まれるマルウェアは、当社ではBackdoor:W32/Wonknu.Aとして検知する。
Wonknuは、防衛分野の顧客を持つ情報管理ソリューション企業であるAwarebase Corp.社により署名されている。
このマルウェアは、 c:\programdata\kav.exeとして自身のコピーをシステムにドロップする。次に43.240.119.40:443に接続し、以下のようなコマンドを受け付けるバックドアとして機能する。
- GetsSysteminfo – バージョン情報の取得
- GetDiskInfo – ディスクドライブの情報の取得
- GetFileList – ディレクトリ一覧の取得
- DownloadFile – ファイルのダウンロード
- UpFile – ファイルのアップロード
- RunExeFile – 実行ファイルの起動
- FileData – ファイルへのデータの書き込み
- DelFile – ファイルの削除
- NewDir – ディレクトリの作成
- CmeShell – シェルからのコマンドの実行
- プロセスの終了
- プロセスの列挙
我々が類似のサンプルについて探してみたところ、同じ証明書を用いている別のサンプルを見つけた。
このマルウェアが最初に見られるようになったのは、今年の8月初旬辺りだ。そのときはsft.spiritaero.comからダウンロードできた(Spirit AeroSystems社は商用航空構造物の最大のメーカーの1社)。
このマルウェアはJavaファイルを装っているが、正確にはJavaw.exeのバージョン6.0.0.105だ。オリジナルのJavaファイルは変更されており、178.79.181.246からファイルをダウンロードするという悪意あるコードが含まれている。ダウンロードされたファイルは、影響を受けたマシン上にJava_Down.exeとして保存される。このURLもまた、現在はアクセス不可能だ。
加えて、以下の特定のIPアドレスで、前述のケースと似ているJquery.jsがホストされていることを我々は発見した。しかし現時点ではそのコピーを入手できないでいる。
URLおよびIPアドレス:
43.240.119.40:443 http://arc.asean.org/the%203rd%20ASEAN%20Defence%20Ministers'%20Meeting.rar http://43.240.119.35/arc/Jquery.js http://178.79.181.246/microsoft/Java_Down.exe http://178.79.181.246/microsoft/jquery.js https://sft.spiritaero.com/java/javaws.exe
Fファイル名:
the 3rd ASEAN Defence Ministers' Meeting.rar the 3rd ASEAN Defence Ministers' Meeting.exe c:\programdata\kav.exe Java_Down.exe
ハッシュ:
a096a44aee0f0ff468c40488eab176d648b1c426 068fa495aa6f5d6b4e0f45c90042a81eecdaec2c
検知:
Backdoor:W32/Wonknu.A Trojan-Downloader:W32/Wonknu.B