Vyveva: New Custom Malware in Lazarus Toolkit

ESETの専門家が新たなマルウェアサンプルを発見しました。これは ラザルスAPT によって、ある南アフリカの貨物会社を標的にしています。このマルウェアはVyvevaと呼ばれ、国が支援する行為者により偵察やサイバースパイ活動に使用される優れたバックドア機能を持つとされています。

Vyvevaバックドア概要

Vyvevaは、北朝鮮の国家後援グループが高度に標的化したオペレーションで使用するカスタム脅威です。現在までに、セキュリティ専門家は被害を受けたインスタンスをわずかに検出しており、これらは2020年夏に貨物会社に対するサイバー攻撃と関連しています。しかし、分析によれば、このマルウェアは2018年後半からラザルスのキャンペーンで使用されており、さらにNukeSpedファミリとのコードの多くの類似性を共有しています。これにより、専門家はVyvevaを北朝鮮の敵と判断しています。

ESET は、Vyvevaバックドアが3つの主要要素から成り立っていると詳細を示しています：インストーラー、ローダー、そして悪意のあるペイロード。初期侵入手法は現在未解明ですが、セキュリティの専門家は秘密の悪意のあるドロッパーの存在を示唆しています。インストーラーはローダーの永続性を担い、デフォルトペイロードをレジストリに置きます。さらに、ローダーコンポーネントはペイロードをXOR復号アルゴリズムで復号し、一連の悪意のある機能を実行できるようにします。 that Vyveva backdoor consists of three main elements: installer, loader, and malicious payload. The initial intrusion method is currently unexplored, still, security practitioners suggest the existence of a secret malicious dropper. The installer is responsible for the persistence of the loader and puts the default payload into the registry. Further, the loader component decrypts the payload with an XOR decryption algorithm, so it is ready to perform the array of malicious functions.

研究者によると、Vyvevaはファイルの流出、データのダンプ、任意のコード実行、timestompingを含む23のコマンドを実行できます。ほとんどの機能は一般的ですが、リストにあるいくつかの機能は高度なタスクを解決する能力を持っています。例えば、timestompingオプションは正当なファイルからのタイムメタデータのコピーを可能にします。そして、ファイルアップロードコマンドはディレクトリの流出とファイル拡張子フィルタリングのサポートが可能です。注目すべきは、コマンドが非同期で開始され、別々のスレッドで実行される可能性があることです。

Vyvevaバックドア検出

新しいラザルスツールに関連する悪意のある活動を検出するには、生産的なThreat Bounty開発者 Kyaw Pyiyt Htet:

https://tdm.socprime.com/tdm/info/HKO3ESP3ZBoF

からコミュニティSigmaルールをダウンロードできます。

ルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix,

MITRE ATT&CK:

戦術: 実行、流出、防御回避

技術: API経由での実行 (T0871)、コマンド・コントロールチャネル経由での流出 (T1041)、偽装 (T1036) ラザルスの侵入に対する積極的な防御を確認するために、 Threat Detection Marketplaceで利用可能な、カスタマイズされた検出の完全なリストを確認できます。

Threat Detection Marketplaceへの無料サブスクリプションを入手し、SecOpsチームがセキュリティ分析を強化し、サイバー攻撃のライフサイクルの最初の段階で耐性を高めるのを支援する世界有数のContent-as-a-Service (CaaS)プラットフォームを利用できます。あなたのスレットハンティングスキルを収益化し、業界初のSOCコンテンツライブラリに貢献することに興味がありますか? 私たちのThreat Bounty Programに参加してください！

プラットフォームへ行く Threat Bountyに参加する