Posted: 11 Min ReadJapanese
Original Post: English

Lancefly APTグループ、カスタムバックドアで政府や航空部門などの組織を標的に

バックドア「Merdoor」、普及率は低く、非常に標的を絞った攻撃で使用

Lancefly APT(高度標的型攻撃)グループはこの数年、カスタム仕様のバックドアを使用して、南アジアおよび東南アジアの組織を標的に攻撃を続けています。

Lanceflyはいくつかの既知のグループとつながりがある可能性がありますが、その信憑性は低く、Broadcom Softwareの一部門であるシマンテックの研究者の間では、今回の活動を新しいグループ名で分類しています。

Lanceflyのカスタムマルウェアは、「Merdoor」と呼ばれる強力なバックドアで、2018年から存在していると考えられます。シマンテックの研究者によると、2020年と2021年の一部の活動だけでなく、最近でも2023年第1四半期まで続いていた今回の活動でも使用されていたことが確認されています。この2つの活動の背景には、機密情報の収集が動機としてあると考えられています。

バックドアの使用は非常に限定的で、数年間でほんの一握りのネットワークと少数の機器でしか判明していません。そのような使用状況から、非常に標的を絞っているものと考えられます。また、この活動の攻撃者は、ZXShellルートキットの最新バージョンにもアクセスすることができます。

2022年半ばから2023年まで続いている今回の最近の活動では、南アジアと東南アジアを中心とした政府、航空、教育、通信などの部門が標的になっています。シマンテックの研究者の間では、2020年から2021年にかけて、同じ地域の政府、通信、テクノロジーの部門を標的にした活動で、Merdoorバックドアが使用されているのを確認しています。今回の最近の活動と同様、感染した機器の数はわずかで、当時の活動も非常に標的を絞っていたような印象でした。

Merdoorバックドア

Merdoorはフル機能を持つバックドアで、2018年から存在していると考えられています。

バックドアには以下の機能が含まれています。

  • サービスとしての自身のインストール
  • キーログの取得
  • C&C(コマンド&コントロール)サーバーとのさまざまな通信手順(HTTP、HTTPS、DNS、UDP、TCP)
  • ローカルポートでコマンドをリスンする機能

Merdoorバックドアのインスタンスは、一般的に組み込みおよび暗号化構成の例外と同じで、次のことを決定します。

  • C&C通信の手順
  • サービスの詳細
  • インストールするディレクトリ

バックドアは、正規のプロセス「perfhost.exe」または「svchost.exe」に挿入されるのが一般的です。

Merdoorドロッパーは自己解凍型RAR(SFX)で、次の3つのファイルが含まれています。

  • DLL検索順序ハイジャックに対して脆弱な正規の署名付きバイナリ
  • 悪意のあるローダー(Merdoorローダー)
  • 最終ペイロード(Merdoorバックドア)を含む暗号化ファイル(.pak)

ドロッパーが開かれると、埋め込みファイルを抽出し、正規のバイナリを実行して、Merdoorローダーをロードします。

Merdoorドロッパーの亜種は、5種類ある正規のアプリケーションのうち古いバージョンを悪用して、DLLサイドローディングを行うことが判明しています。

表1.DLLサイドローディングの目的でMerdoorが悪用する正規アプリケーションのリスト
正規のバイナリバージョン署名日ローダー(Merdoorローダー)暗号化されたペイロード(Merdoorバックドア)
SiteAdv.exe (McAfee SiteAdvisor) 1.6.0.23 2006年8月10日 SiteAdv.dll SiteAdv.pak
ssr32.exe (Sophos SafeStore Restore) 1.3.0.1 2017年11月17日 safestore32.dll safestore.pak
chrome_frame_helper.exe (Google Chrome Frame) 27.0.1453.110 2013年5月29日 chrome_frame_helper.dll chrome_frame_helper.pak
wsc_proxy.exe (Avast wsc_proxy) 1.0.0.3 2019年10月28日 wsc.dll proxycfg.pak
coInst.exe (Norton Identity Safe) 2014.7.3.12 2014年6月26日 msvcr100.dll coinstcfg.dat

攻撃チェーン

Lanceflyの当初の活動は2020年に始まっています。これは、当時のインスタンスにおいて、第37回ASEANサミットを用いた手口のフィッシングメールが最初の感染ベクトルとして使用された可能性があることを示唆しています。

今回の最近の活動においては、最初の感染ベクトルが十分に明らかになりませんでした。2つの攻撃対象において、最初の感染ベクトルらしきものを示す兆候はいくつか確認しましたが、決定的なものではありませんでした。

  • 攻撃対象の1つの政府部門では、最初の感染ベクトルとしてSSHブルートフォースを示唆する兆候がありました。複数のオープンソースのソースにより、今回の活動で攻撃者が使用したIPアドレスの1つが、SSHブルートフォースと関連付けられていたことから、最初の感染ベクトルがSSHブルートフォースでだった可能性を示唆しています。
  • 他の攻撃対象では、ファイルパス(Csidl_program_files\loadbalancer\ibm\edge\lb\servers\bin)により、ロードバランサーを悪用してアクセスしていた可能性が示され、最初の感染ベクトルは、公開されている一般向けサーバーであった可能性を示唆しています。

これらの感染ベクトルには、いずれも決定的な証拠がありません。しかし、使用される感染ベクトルに関しては、Lanceflyに適応性があると言えそうです。

マルウェア以外の手法による資格情報の窃取

また、当初の活動(2020年および2021年)と一致している活動として、攻撃者は攻撃対象の機器から資格情報を盗むために、マルウェア以外の手法を数多く使用していました。

  • PowerShellでrundll32.exeが起動し、comsvcs.dllのMiniDump機能でプロセスのメモリがダンプされました。これは、LSASSメモリをダンプする際によく使用される手法です。
  • SAMおよびSYSTEMレジストリハイブのダンプには、Reg.exeが使用されました。
  • Avastの正規ツールは、攻撃者によってインストールされ、LSASSメモリのダンプに使用されました。

さらに、攻撃者は正規のアーカイブツール「WinRAR」の偽装バージョンでファイルをステージングおよび暗号化してから、盗み出していました。

注目すべき攻撃チェーンのツールとTTP

  • Impacket Atexec: 悪意のある攻撃者に使用される可能性があるデュアルユースツールです。SMBを使用して、攻撃対象においてリモートで即時のスケジュールタスクを作成および実行し、攻撃対象のシステム上でコマンドを実行することができます。これにより、Lanceflyは攻撃対象のネットワークでの水平移動や、シェルコードの実行および回避が可能になります。cmdline出力ファイルを削除するために使用されている可能性があります。 
  • 疑わしいSMB活動疑わしいSMB活動が、攻撃対象の機器で数多く確認されています。これは、攻撃者によるImpacketの使用に関連していると思われます。
  • WinRAR: ファイルをアーカイブしたりzip圧縮したりすることができるアーカイブマネージャで、窃取前などに使用されます。攻撃者が攻撃対象の機器からどのようにデータを盗み出すのかは明らかになっていませんが、Merdoorを介している可能性が高いでしょう。
  • LSSAS Dumper: 攻撃者は、認証情報をすばやく盗み、攻撃対象のネットワーク内でさらにアクセスできるようになります。
  • NBTScan: オープンソースのコマンドラインNetBIOSスキャナ。ネットワーク上の情報を収集できるようになります。
  • BlackloaderおよびPrcloader: APTグループで使用されているローダーです。当初のMerdoor活動(2020年および2021年)でも使用されました。これらはPlugXの配信に関連しています。いずれのローダーも、攻撃対象の機器にサイドロードされると考えられています。これらのローダーが、Lanceflyにより独占的に使用されているのか、複数のグループ間で使用が共有されているのかは明らかになっていません。 

攻撃対象で見られる典型的なMerdoor攻撃チェーンは、次のように考えられています。

  • Merdoorが、perfhost.exeかsvchost.exeのいずれかに挿入されます。
  • その後、通常は不審なSMB活動が確認されます。さらに、バックドアがC&Cサーバーと接続します。
  • これに続いて、mavinject.exe(プロセスインジェクションで使用)やcreatedump.exe(LSASSなど、プロセスのダンプで使用)などのコマンドの実行をはじめ、環境寄生型(living-off-the-land)の疑わしい活動が始まります。
  • 偽装WinRAR(wmiprvse.exe)ファイルで、ファイルをステージングおよび暗号化します。窃取の前に行われると考えられています。実際のところ、攻撃対象のネットワークからファイルが盗まれたことは確認していません。しかし、Merdoorバックドア自体は窃取目的で使用されていると推測しています。

ZXShellルートキットの技術的詳細

ZXShellルートキットは、2014年にCiscoにより初めて報告されましたが、Lanceflyが使用しているツールはその最新バージョンで、積極的に開発が続けられていることがわかります。このルートキットのソースコードは公開されているため、複数の異なるグループに使用されている可能性があります。Lanceflyが使用しているルートキットの最新バージョンは、小型化しているようですが、機能が追加され、新たなウイルス対策ソフトウェアを無効化することを目的としています。 

ローダー

ルートキットのローダーは32ビットDLLで、「FormDll.dll」(SHA256: 1f09d177c99d429ae440393ac9835183d6fd1f1af596089cc01b68021e2e29a7)というエクスポートディレクトリ名を有しています。
以下のエクスポートがあります。

  • 「CallDriver」
  • 「DoRVA」
  • 「KillAvpProcess」
  • 「LoadSys」
  • 「ProtectDllFile」

Loadsys」エクスポート

「Loadsys」エクスポートが実行されるたびに、プロセッサアーキテクチャに基づき、次のいずれかのファイルがドロップされます。

  • [WindowsDirectory]\system32\drivers\TdiProxy.sys 
  • [WindowsDirectory]\system64\drivers\TdiProxy.sys 

これらのファイルは、悪意のあるWindows Kernelドライバです。これは、数年前にRSAのブログで初めて明らかにされたドライバの亜種です。 

PDBファイル名は次のとおりです: c:\google\objchk_win7_amd64\amd64\Google.pdb

サンプルは、次のデバイスを作成します: \Device\TdiProxy0

また、シンボリックリンク「\DosDevices\TdiProxy0」も作成されるため、パス名「\\.\TdiProxy0」で制御することができます。

その後、ローダーが「[WindowsDirectory]\system32\drivers\http.sys」ファイルからタイムスタンプをコピーして、ドロップされたファイルにタイムスタンプを付けます。

さらに、次のパラメータを使用してサービスを作成します。

  • ServiceName = "TdiProxy0"
  • DisplayName="TdiProxy0"(後に「TdiProxy」に置き換わります)
  • BinaryPathName = "[WindowsDirectory]\system32\drivers\TdiProxy.sys"

CallDriver」エクスポート

「CallDriver」は、悪意のあるKerneドライバ「 \\.\TdiProxy0 」によって作成されたもので、次のデバイスを開きます。

DeviceIoControl APIを使用して通信します。

エクスポートには2つの引数が必要です。最初の引数は、 DeviceIoControl APIを呼び出すときに使用する「dwIoControlCode」パラメータを指定します。パラメータは、次のいずれかの文字列にする必要があります。

  • "-init",
  • "-file",
  • "-pack",
  • "-port",
  • "-removetcpview",
  • "-tcpview",
  • "-clearall",
  • "-clear",
  • "-transport",
  • "-waitport",
  • "-kill",
  • "-antiscan",
  • "-removeprocessnotify",
  • "-setprocessnotify",
  • "-antiantigp",
  • "-hideproc",
  • "-hidekey",
  • "-hidefile",
  • "-setprotect",

他の値を指定すると、バグのあるdwIoControlCode値のようになります。2つ目の引数は、 MultiByteToWideChar APIによる変換後、 DeviceIoControl APIを呼び出すときにlpInBufferパラメータとして渡す文字列です。

DoRVA」エクスポート

「DoRVA」エクスポートが実行されるたびに、次のファイルが読み込まれます。

  • "[file_directory_of_the_DLL]\Form.hlp"

ファイルはマジック文字列「AP32」で始まり、圧縮形式で実行するシェルコードを含みます。

KillAvpProcess」エクスポート

実行中のプロセスや選択したプロセスを列挙し、次のパラメータで独自の「CallDriver」エクスポートを呼び出します。

  • 第1パラメータ: "-kill"
  • 第2パラメータ: "[ProcessID]"

エクスポートでは、実行プロセスの実行可能ファイルと比較して選択できる単一の文字列パラメータが必要です。

ProtectDllFile」エクスポート

次のパラメータで独自の「CallDriver」エクスポートを呼び出します。

  • 第1パラメータ: "-file"
  • 第2パラメータ: "[file_path_of_the_DLL]"

続いて、次のレジストリ値を設定します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ptdf\"ptdffile" = "[file_path_of_the_DLL]"

ロードポイント

これは、PDBファイル名を有する32ビット実行可能ファイルです。 "M:\Project\database\10.0.18362\Form\Release\Form.pdb". (SHA256: 180970fce4a226de05df6d22339dd4ae03dfd5e451dcf2d464b663e86c824b8e)

サンプルが実行されるたびに、次のDLLをロードします。

  • "[file_path_of_the_running_executable]\FormDll.dll"

さらに、次のエクスポートも呼び出します。"DoRVA"

インストールおよびアップデートユーティリティ

インストールおよびアップデートユーティリティは、32ビットPEの実行可能ファイル(SHA256:a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaaa0b221)です。Merdoorローダーのコードの中で、わずかですが特徴的な部分が共有されていることから、これらが同じツールセットの一部であることがわかります。

サンプルが実行されるたびに、構成データを含む次のファイルの読み取りや削除が試行されます。

  • "[file_directory_of_running_executable]\res.ini"

機能の更新

続いて、次のことを確認します。

  • 「\\.\TdiProxy0」のデバイスが使用可能かどうか
  • 自身のプロセスがコマンドラインパラメータ「-up」で始まっていたかどうか

両方の確認ができたら、サンプルは「\\.\TdiProxy0」のデバイスでさまざまなウイルス対策製品の改ざんを試みます。たとえば、「egui.exe」、「ekrn.exe」、「msmpeng.exe」のプロセスを終了させることができます。

続いて、ファイル名「[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\res.dat」を次のいずれかに変更します(Windowsのバージョンによって異なります)。

  • "[SystemDrive]\Users\All Users\Windows Defender\temp.temp"
  • "[WindowsDirectory]\temp.temp".

上記のファイルは、コードの構造に基づきマジック文字列「AP32」で始まり、圧縮形式のDLLファイルを含めることができます。次に、名前を変更したファイル「temp.temp」を解凍します。解凍すると、一時ファイル「temp.temp.pack」が同じフォルダに作成される場合があります。

次に、解凍されたファイルの最後に、「[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\res.ini」(バイトキー「0x12」を含むXORアルゴリズムで一部変換)のコンテンツに続く特定のマーカーを追加します。

さらに、次のレジストリ値も作成します。

  • HKEY_CLASSES_ROOT\.udf\"BINTYPE" = [content of "[file_directory_of_running_executable]\res.ini"(バイトキー「0x12」を含むXORアルゴリズムで一部変換)

続いて、サンプルは次のファイルが存在するかどうかを確認します。

  • "[SystemDrive]\Users\All Users\Windows Defender\DefenderSvc.dll"

存在する場合、サンプルは最新の「temp.temp」ファイルの名前を変更して、置き換えます。
存在しない場合、置き換えるパス名で次のレジストリ値を確認します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ecdf\"ecdffile"

確認できなかった場合、設定データのデフォルトを使用します。

最後に、サービス名で次のレジストリ値を確認します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.tudf\"tudffile"

参照したサービスを再起動します。

インストール機能

サンプルは、次のいずれかのファイルで、以下のいずれかでの解凍を試行します

  • "[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\google64.p"(64ットプロセッサアーキテクチャ)
  • "[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\google32.p"(32ビットプロセッサアーキテクチャ)

解凍結果:

  • "[WindowsDirectory]\Microsoft.NET\Framework64\iesockethlp.dll"(64ットプロセッサアーキテクチャ)
  • "[WindowsDirectory]\Microsoft.NET\Framework\iesockethlp.dll"(32ビットプロセッサアーキテクチャ)

続いて、次のいずれかのレジストリ値を変更し、対応するサービスをハイジャックする可能性があります。

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\exfat\"ImagePath" = "\??\[PATHNAME_OF_FILE_DECOMPRESSED_ABOVE]"
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDPWD\"ImagePath" = "\??\[PATHNAME_OF_FILE_DECOMPRESSED_ABOVE]"

次に、対応するサービスを起動して、レジストリ値を削除します。続いて、「\\.\TdiProxy0」のデバイスでさまざまなウイルス対策製品の改ざんを試みます。

さらに、次のパラメータを使用してサービスを作成します。

  • ServiceName: "[PER CONFIGURATION DATA]"
  • ImagePath:
    • "%SystemRoot%\System32\svchost.exe -k netsvcs"、または
    • "%SystemRoot%\System32\svchost.exe -k ntmssvcs"
  • Parameters:
    • ServiceDll:
      • "C:\Windows\Microsoft.NET\Framework64\[PER configuration data]"、または
      • "C:\WINDOWS\Microsoft.NET\Framework\[PER CONFIGURATION DATA]"

続いて、次のレジストリ値を作成します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.tudf\"tudffile" = [NAME OF CREATED SERVICE]

続いて、次のレジストリ値を削除します。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ptdf\"ptdffile"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ecdf\"ecdffile"

続いて、次のファイル名を、以下のいずれかに変更します。

  • "[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\res.dat"

変更後:

  • "[WindowsDirectory]\Microsoft.NET\Framework64\[PER CONFIGURATION DATA].back"(64ットプロセッサアーキテクチャ)
  • "[WindowsDirectory]\Microsoft.NET\Framework\[PER CONFIGURATION DATA].back"(32ビットプロセッサアーキテクチャ)

上記のファイルは、コードの構造に基づきマジック文字列「AP32」で始まり、圧縮形式のDLLファイルを含めることができます(aPLibで圧縮)。

次に、名前を変更した「[PER CONFIGURATION DATA].back」を「[PER CONFIGURATION DATA]」として解凍します。

次に、解凍されたファイルの最後に、「[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\res.ini」(バイトキー「0x12」を含むXORアルゴリズムで一部変換)のコンテンツに続く特定のマーカーを追加します。

さらに、次のレジストリ値も作成します。

  • HKEY_CLASSES_ROOT\.udf\"BINTYPE" = [content of "[FILE_DIRECTORY_OF_RUNNING_EXECUTABLE]\res.ini"(バイトキー「0x12」を含むXORアルゴリズムで一部変換)

最後に、構成データにオプション「OneSelfKey」が含まれている場合、次のいずれかのように、独自の実行可能ファイルの圧縮コピーが作成されます(aPLib圧縮)。

  • "[WindowsDirectory]\SysWOW64\nethlp.hlp"(64ットプロセッサアーキテクチャ)
  • "[WindowsDirectory]\system32\nethlp.hlp"(32ビットプロセッサアーキテクチャ)。

一部のサンプルでは、アーカイブが最終ペイロードに埋め込まれます。

  • "Msrpcsvc.dll"

これは、ZXShellバックドア (SHA256: d5df686bb202279ab56295252650b2c7c24f350d1a87a8a699f6034a8c0dd849) の亜種です。

他のグループとのつながりの可能性

Lanceflyが使用するZXShellルートキットは、「Wemade Entertainment Co.」の証明書によって署名されています。これは以前、APT41(別名Blackfly/Greyfly)に関連していることが報告されています。しかし、APT41などの中国のAPTグループは、証明書を他のAPTグループと共有していることが多いことが知られています。ZXShellバックドアも、以前はHiddenLynxやAPT17のAPTグループによって使用されていましたが、ZXShellのソースコードが公開されている今となっては、この2つのグループ間の決定的なつながりがわかならなくなっています。

また、ZXShellルートキットのローダーコンポーネント名が「formdll.dll」であることや、「Form.hlp」ファイルを読み込み、シェルコードとしてコンテンツを実行できることも注目すべき点です。これらと同じファイルが使用されていたことが、APTグループ「Iron Tiger(別名BudwormまたはAPT27)」の活動を解説した以前のレポートでも言及されていました。このときは、攻撃者がPlugXバックドアを攻撃対象の機器にロードする際に、これらのファイル名が使用されていました。このようなファイルの使用は非常に珍しいことから、当時の活動と最近の活動との間につながりがある可能性も否定できません。

LanceflyもPlugXを使用していることが確認されています。PlugXは、バックドアアクセスやデータ窃取などの多様な機能を備えたリモートアクセス型トロイの木馬(RAT)です。PlugXは10年以上前から存在しています。元々は中国のAPTグループの間で使用されていましたが、現在は非常に幅広く使用されるようになり、活動の属性を示すものとして見ることはできません。

また、ShadowPadも彼らによって使用されています。ShadowPadはモジュール式のRATで、中国のAPTグループが独占的に使用していると考えられています。機能がPlugXに類似していることから、PlugXマルウェアの後継として言及されることもしばしばです。

これらの共通性や共有ツールは、Lanceflyの活動と他のAPTグループの活動との間に何らかのつながりがあることを示している可能性があります。しかし、これらはいずれも、今回の活動やMerdoorバックドアの開発が既知の攻撃グループに起因するものと断定できるほど強力なものではありません。

注目すべきはバックドア。標的を絞った活動

最近のLanceflyの活動で注目すべき点はMerdoorバックドアの使用ですが、このバックドアは普及率が低く、攻撃においては非常に標的を絞った性質があるように思われます。Merdoorバックドアは数年前から存在していたと思われますが、これまでの間に攻撃で使用されたのはほんの数回だけと考えられます。ツールの使用に対するこれほどの慎重さは、気付かれないように活動を続けるというLanceflyの意思の表れなのかもしれません。

使用されているツールも標的となる部門もすべて、この攻撃活動の動機が情報収集であることを示しています。Lanceflyによる最近の活動と以前の活動が類似していることから、彼らは以前の活動が発見されたことに気付いていなかった可能性があると思われます。そのため、2つの活動のつながりについても、気に留めていなかったのでしょう。この活動の暴露が、彼らの活動方法に何らかの変化をもたらすかどうかはまだわかりません。

保護

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡(IOC)

Merdoorバックドア

SHA256             ファイル名           説明

13df2d19f6d2719beeff3b882df1d3c9131a292cf097b27a0ffca5f45e139581 – a.exe-Merdoorバックドア

8f64c25ba85f8b77cfba3701bebde119f610afef6d9a5965a3ed51a4a4b9dead – chrome_frame_helper.exe-Merdoorドロッパー

8e98eed2ec14621feda75e07379650c05ce509113ea8d949b7367ce00fc7cd38 – siteadv.exe-Merdoorドロッパー

89e503c2db245a3db713661d491807aab3d7621c6aff00766bc6add892411ddc – siteadv.exe-Merdoorドロッパー

c840e3cae2d280ff0b36eec2bf86ad35051906e484904136f0e478aa423d7744 –siteadv.exe-Merdoorドロッパー

5f16633dbf4e6ccf0b1d844b8ddfd56258dd6a2d1e4fb4641e2aa508d12a5075 –chrome_frame_helper.dll-Merdoorローダー

ff4c2a91a97859de316b434c8d0cd5a31acb82be8c62b2df6e78c47f85e57740 –chrome_frame_helper.dll-Merdoorローダー

14edb3de511a6dc896181d3a1bc87d1b5c443e6aea9eeae70dbca042a426fcf3 –chrome_frame_helper.dll-Merdoorローダー

db5deded638829654fc1595327400ed2379c4a43e171870cfc0b5f015fad3a03 –chrome_frame_helper.dll-Merdoorローダー

e244d1ef975fcebb529f0590acf4e7a0a91e7958722a9f2f5c5c05a23dda1d2c –chrome_frame_helper.dll-Merdoorローダー

f76e001a7ccf30af0706c9639ad3522fd8344ffbdf324307d8e82c5d52d350f2 –chrome_frame_helper.dll-Merdoorローダー

dc182a0f39c5bb1c3a7ae259f06f338bb3d51a03e5b42903854cdc51d06fced6 – smadhook64c.dll-Merdoorローダー

fa5f32457d0ac4ec0a7e69464b57144c257a55e6367ff9410cf7d77ac5b20949 – SiteAdv.dll, chrome_frame_helper.dll-Merdoorローダー

fe7a6954e18feddeeb6fcdaaa8ac9248c8185703c2505d7f249b03d8d8897104 – siteadv.dll-Merdoorローダー

341d8274cc1c53191458c8bbc746f428856295f86a61ab96c56cd97ee8736200 – siteadv.dll-Merdoorローダー

f3478ccd0e417f0dc3ba1d7d448be8725193a1e69f884a36a8c97006bf0aa0f4 – siteadv.dll-Merdoorローダー

750b541a5f43b0332ac32ec04329156157bf920f6a992113a140baab15fa4bd3 – siteadv.dll-Merdoorローダー

9f00cee1360a2035133e5b4568e890642eb556edd7c2e2f5600cf6e0bdcd5774 – libmupdf.dll-Merdoorローダー

a9051dc5e6c06a8904bd8c82cdd6e6bd300994544af2eed72fe82df5f3336fc0 – chrome_frame_helper.dll-Merdoorローダー

d62596889938442c34f9132c9587d1f35329925e011465c48c94aa4657c056c7 – smadhook64c.dll-Merdoorローダー

f0003e08c34f4f419c3304a2f87f10c514c2ade2c90a830b12fdf31d81b0af57 – SiteAdv.pak-Merdoorにコードされたペイロード

139c39e0dc8f8f4eb9b25b20669b4f30ffcbe2197e3a9f69d0043107d06a2cb4 – SiteAdv.pak-Merdoorにコードされたペイロード

11bb47cb7e51f5b7c42ce26cbff25c2728fa1163420f308a8b2045103978caf5 – SiteAdv.pak-Merdoorにコードされたペイロード

0abc1d12ef612490e37eedb1dd1833450b383349f13ddd3380b45f7aaabc8a75 – SiteAdv.pak-Merdoorにコードされたペイロード

eb3b4e82ddfdb118d700a853587c9589c93879f62f576e104a62bdaa5a338d7b–SiteAdv.exe-正規のMcAfee実行可能ファイル

1ab4f52ff4e4f3aa992a77d0d36d52e796999d6fc1a109b9ae092a5d7492b7dd–chrome_frame_helper.exe-正規のGoogle実行可能ファイル

fae713e25b667f1c42ebbea239f7b1e13ba5dc99b225251a82e65608b3710be7–SmadavProtect64.exe-正規のSmadAV実行可能ファイル

ZXShellルートキット

SHA256ファイル名説明
1f09d177c99d429ae440393ac9835183d6fd1f1af596089cc01b68021e2e29a7 formdll.dll Kernelドライバのローダー
180970fce4a226de05df6d22339dd4ae03dfd5e451dcf2d464b663e86c824b8e form.exe Kernelドライバのロードポイント
a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221 update.exe Kernelドライバのインストールとアップデートユーティリティ
592e237925243cf65d30a0c95c91733db593da64c96281b70917a038da9156ae update.exe Kernelドライバのインストールとアップデートユーティリティ
929b771eabef5aa9e3fba8b6249a8796146a3a4febfd4e992d99327e533f9798 formdll.dll Kernelドライバのローダー
009d8d1594e9c8bc40a95590287f373776a62dad213963662da8c859a10ef3b4 tdiproip.sys Kernelドライバ x64
ef08f376128b7afcd7912f67e2a90513626e2081fe9f93146983eb913c50c3a8 tdiproip.sys Kernelドライバ x32
ee486e93f091a7ef98ee7e19562838565f3358caeff8f7d99c29a7e8c0286b28 iehlpsrv.dll Kernelドライバ x64(旧)
32d837a4a32618cc9fc1386f0f74ecf526b16b6d9ab6c5f90fb5158012fe2f8c USBHPMS.sys Kernelドライバ x32(旧)
d5df686bb202279ab56295252650b2c7c24f350d1a87a8a699f6034a8c0dd849 ZXShell

その他のファイル

SHA256ファイル名説明
a1f9b76ddfdafc47d4a63a04313c577c0c2ffc6202083422b52a00803fd8193d ssmuidll.dll 実行可能なPlugX DLLローダー
3ce38a2fc896b75c2f605c135297c4e0cddc9d93fc5b53fe0b92360781b5b94e tosbtkbd.dll 実行可能なShadowPadローダー
210934a2cc59e1f5af39aa5a18aae1d8c5da95d1a8f34c9cfc3ab42ecd37ac92 klcsstd2.dll 実行可能なShadowPadローダー
530c7d705d426ed61c6be85a3b2b49fd7b839e27f3af60eb16c5616827a2a436 comhlpsvc.dll ドライバと相互作用するクライアント
5018fe25b7eac7dd7bc30c7747820e3c1649b537f11dbaa9ce6b788b361133bf comhlpsvc.dll ドライバと相互作用するクライアント
efa9e9e5da6fba14cb60cba5dbd3f180cb8f2bd153ca78bbacd03c270aefd894 searchsrvc.exe ドライバと相互作用するクライアント
a5a4dacddfc07ec9051fb7914a19f65c58aad44bbd3740d7b2b995262bd0c09e comhlpsvc32.dll ドライバと相互作用するクライアント
10b96290a17511ee7a772fcc254077f62a8045753129d73f0804f3da577d2793 a.exe LDAP列挙ツール
0dcfcdf92e85191de192b4478aba039cb1e1041b1ae7764555307e257aa566a7 intel.exe Mimikatz
415f9dc11fe242b7a548be09a51a42a4b5c0f9bc5c32aeffe7a98940b9c7fc04 tfc_windows_amd64.exe GO Socks5クライアント
947f7355aa6068ae38df876b2847d99a6ca458d67652e3f1486b6233db336088 deliver.exe HackTool-CMD.exe injector
8d77fe4370c864167c1a712d0cc8fe124b10bd9d157ea59db58b42dea5007b63 tool.exe HackTool-webshellのエンコーダ
d8cc2dc0a96126d71ed1fce73017d5b7c91465ccd4cdcff71712381af788c16d browser.exe インフォスティーラ
e94a5bd23da1c6b4b8aec43314d4e5346178abe0584a43fa4a204f4a3f7464b9 python27.dll 偵察DLL
5655a2981fa4821fe09c997c84839c16d582d65243c782f45e14c96a977c594e frpc.exe FRPC
19ec3f16a42ae58ab6feddc66d7eeecf91d7c61a0ac9cdc231da479088486169 ssf.exe SSF
41d174514ed71267aaff578340ff83ef00dbb07cb644d2b1302a18aa1ca5d2d0 intel_drive.exe LSASSダンプツール
67ebc03e4fbf1854a403ea1a3c6d9b19fd9dc2ae24c7048aafbbff76f1bea675 wsc.dll BlackLoader
f92cac1121271c2e55b34d4e493cb64cdb0d4626ee30dc77016eb7021bf63414 wsc.dll BlackLoader
859e76b6cda203e84a7b234c5cba169a7a02bf028a5b75e2ca8f1a35c4884065 smbver.exe SMB列挙ツール
fcdec9d9b195b8ed827fb46f1530502816fe6a04b1f5e740fda2b126df2d9fd5 smb2os.exe SMB列挙ツール
9584df964369c1141f9fc234c64253d8baeb9d7e3739b157db5f3607292787f2 ntmsvc.dll PrcLoader
711a347708e6d94da01e4ee3b6cdb9bcc96ebd8d95f35a14e1b67def2271b2e9 ntmsvc.dll PrcLoader
f040a173b954cdeadede3203a2021093b0458ed23727f849fc4c2676c67e25db ntmsvc.dll PrcLoader
90edb2c7c3ba86fecc90e80ac339a42bd89fbaa3f07d96d68835725b2e9de3ba ntmsvc.dll PrcLoader
b0d25b06e59b4cca93e40992fa0c0f36576364fcf1aca99160fd2a1faa5677a2 lsassunhooker.exe LsassUnhooker
4c55f48b37f3e4b83b6757109b6ee0a661876b41428345239007882993127397 ladon.exe Ladon
3e1c8d982b1257471ab1660b40112adf54f762c570091496b8623b0082840e9f nbt.exe NBTScan
9830f6abec64b276c9f327cf7c6817ad474b66ea61e4adcb8f914b324da46627 pot.exe PortScan
79ae300ac4f1bc7636fe44ce2faa7e5556493f7013fc5c0a3863f28df86a2060 rubes.e Rubeus

ファイルハッシュ、簡易リスト

13df2d19f6d2719beeff3b882df1d3c9131a292cf097b27a0ffca5f45e139581

8f64c25ba85f8b77cfba3701bebde119f610afef6d9a5965a3ed51a4a4b9dead

8e98eed2ec14621feda75e07379650c05ce509113ea8d949b7367ce00fc7cd38

89e503c2db245a3db713661d491807aab3d7621c6aff00766bc6add892411ddc

c840e3cae2d280ff0b36eec2bf86ad35051906e484904136f0e478aa423d7744

5f16633dbf4e6ccf0b1d844b8ddfd56258dd6a2d1e4fb4641e2aa508d12a5075

ff4c2a91a97859de316b434c8d0cd5a31acb82be8c62b2df6e78c47f85e57740

14edb3de511a6dc896181d3a1bc87d1b5c443e6aea9eeae70dbca042a426fcf3

db5deded638829654fc1595327400ed2379c4a43e171870cfc0b5f015fad3a03

e244d1ef975fcebb529f0590acf4e7a0a91e7958722a9f2f5c5c05a23dda1d2c

f76e001a7ccf30af0706c9639ad3522fd8344ffbdf324307d8e82c5d52d350f2

dc182a0f39c5bb1c3a7ae259f06f338bb3d51a03e5b42903854cdc51d06fced6

fa5f32457d0ac4ec0a7e69464b57144c257a55e6367ff9410cf7d77ac5b20949

fe7a6954e18feddeeb6fcdaaa8ac9248c8185703c2505d7f249b03d8d8897104

341d8274cc1c53191458c8bbc746f428856295f86a61ab96c56cd97ee8736200

f3478ccd0e417f0dc3ba1d7d448be8725193a1e69f884a36a8c97006bf0aa0f4

750b541a5f43b0332ac32ec04329156157bf920f6a992113a140baab15fa4bd3

9f00cee1360a2035133e5b4568e890642eb556edd7c2e2f5600cf6e0bdcd5774

a9051dc5e6c06a8904bd8c82cdd6e6bd300994544af2eed72fe82df5f3336fc0

d62596889938442c34f9132c9587d1f35329925e011465c48c94aa4657c056c7

f0003e08c34f4f419c3304a2f87f10c514c2ade2c90a830b12fdf31d81b0af57

139c39e0dc8f8f4eb9b25b20669b4f30ffcbe2197e3a9f69d0043107d06a2cb4

11bb47cb7e51f5b7c42ce26cbff25c2728fa1163420f308a8b2045103978caf5

0abc1d12ef612490e37eedb1dd1833450b383349f13ddd3380b45f7aaabc8a75

eb3b4e82ddfdb118d700a853587c9589c93879f62f576e104a62bdaa5a338d7b

1ab4f52ff4e4f3aa992a77d0d36d52e796999d6fc1a109b9ae092a5d7492b7dd

fae713e25b667f1c42ebbea239f7b1e13ba5dc99b225251a82e65608b3710be7

1f09d177c99d429ae440393ac9835183d6fd1f1af596089cc01b68021e2e29a7

180970fce4a226de05df6d22339dd4ae03dfd5e451dcf2d464b663e86c824b8e

a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221

592e237925243cf65d30a0c95c91733db593da64c96281b70917a038da9156ae

929b771eabef5aa9e3fba8b6249a8796146a3a4febfd4e992d99327e533f9798

009d8d1594e9c8bc40a95590287f373776a62dad213963662da8c859a10ef3b4

ef08f376128b7afcd7912f67e2a90513626e2081fe9f93146983eb913c50c3a8

ee486e93f091a7ef98ee7e19562838565f3358caeff8f7d99c29a7e8c0286b28

32d837a4a32618cc9fc1386f0f74ecf526b16b6d9ab6c5f90fb5158012fe2f8c

d5df686bb202279ab56295252650b2c7c24f350d1a87a8a699f6034a8c0dd849

a1f9b76ddfdafc47d4a63a04313c577c0c2ffc6202083422b52a00803fd8193d

3ce38a2fc896b75c2f605c135297c4e0cddc9d93fc5b53fe0b92360781b5b94e

210934a2cc59e1f5af39aa5a18aae1d8c5da95d1a8f34c9cfc3ab42ecd37ac92

530c7d705d426ed61c6be85a3b2b49fd7b839e27f3af60eb16c5616827a2a436

5018fe25b7eac7dd7bc30c7747820e3c1649b537f11dbaa9ce6b788b361133bf

efa9e9e5da6fba14cb60cba5dbd3f180cb8f2bd153ca78bbacd03c270aefd894

a5a4dacddfc07ec9051fb7914a19f65c58aad44bbd3740d7b2b995262bd0c09e

10b96290a17511ee7a772fcc254077f62a8045753129d73f0804f3da577d2793

0dcfcdf92e85191de192b4478aba039cb1e1041b1ae7764555307e257aa566a7

415f9dc11fe242b7a548be09a51a42a4b5c0f9bc5c32aeffe7a98940b9c7fc04

947f7355aa6068ae38df876b2847d99a6ca458d67652e3f1486b6233db336088

8d77fe4370c864167c1a712d0cc8fe124b10bd9d157ea59db58b42dea5007b63

d8cc2dc0a96126d71ed1fce73017d5b7c91465ccd4cdcff71712381af788c16d

e94a5bd23da1c6b4b8aec43314d4e5346178abe0584a43fa4a204f4a3f7464b9

5655a2981fa4821fe09c997c84839c16d582d65243c782f45e14c96a977c594e

19ec3f16a42ae58ab6feddc66d7eeecf91d7c61a0ac9cdc231da479088486169

41d174514ed71267aaff578340ff83ef00dbb07cb644d2b1302a18aa1ca5d2d0

67ebc03e4fbf1854a403ea1a3c6d9b19fd9dc2ae24c7048aafbbff76f1bea675

f92cac1121271c2e55b34d4e493cb64cdb0d4626ee30dc77016eb7021bf63414

859e76b6cda203e84a7b234c5cba169a7a02bf028a5b75e2ca8f1a35c4884065

fcdec9d9b195b8ed827fb46f1530502816fe6a04b1f5e740fda2b126df2d9fd5

9584df964369c1141f9fc234c64253d8baeb9d7e3739b157db5f3607292787f2

711a347708e6d94da01e4ee3b6cdb9bcc96ebd8d95f35a14e1b67def2271b2e9

f040a173b954cdeadede3203a2021093b0458ed23727f849fc4c2676c67e25db

90edb2c7c3ba86fecc90e80ac339a42bd89fbaa3f07d96d68835725b2e9de3ba

b0d25b06e59b4cca93e40992fa0c0f36576364fcf1aca99160fd2a1faa5677a2

4c55f48b37f3e4b83b6757109b6ee0a661876b41428345239007882993127397

3e1c8d982b1257471ab1660b40112adf54f762c570091496b8623b0082840e9f

9830f6abec64b276c9f327cf7c6817ad474b66ea61e4adcb8f914b324da46627

79ae300ac4f1bc7636fe44ce2faa7e5556493f7013fc5c0a3863f28df86a2060

Symantec Enterprise Blogs
You might also enjoy
2 Min Read

Clasiopa: 材料研究機関を標的とする新たなグループ

独特なツールセットを使用しているが正体を示す手がかりはほとんどない

Symantec Enterprise Blogs
You might also enjoy
3 Min Read

Blackfly: 材料技術を標的とするスパイグループ

グループの標的はアジアの単一のコングロマリットに属する複数の子会社

About the Author

Threat Hunter Team

Symantec

The Threat Hunter Team is a group of security experts within Symantec whose mission is to investigate targeted attacks, drive enhanced protection in Symantec products, and offer analysis that helps customers respond to attacks.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.