Plead。この単語を久しぶりに目にしました(笑)

ESET がつい先ほど5/14の18時半ごろにブログ記事を出しました。

www.welivesecurity.com

本日は、号外的な感じで、私の見解とともに、記事を書いてみます。

目次

• BlackTech と PLEAD について
• 今回用いられた手法
• 感染手順
• 関連が想定される検体たち
• 最後に

BlackTech と PLEAD について

内容は2012年ごろから、アジアをターゲットにサイバー諜報活動を行っている攻撃グループ BlackTech が使うマルウェア Plead に関するもので、同グループによる新たな感染活動について記載されています。

Plead を使った攻撃は日本も標的になっていることが確認されており、過去にはラックや JPCERT/CC からも記事が出ています。

www.lac.co.jp

blogs.jpcert.or.jp

ちなみに、今回確認されたマルウェアは、台湾を標的にして使われたマルウェアみたいですね。

今回用いられた手法

今回の手法は、セキュリティが十分でないルータ経由、もしくは、正規のクラウドストレージサービス ASUS WebStorage経由でPlead を配布する手法です。

思い起こせば、正規のクラウドストレージサービスを用いる手法はトレンドマイクロが書いているように前々から確認されているし、

blog.trendmicro.com

ESET によると、今回使われた Plead は2018年の7月にブログで言及していた、「盗んだD-Linkの証明書を使った攻撃」に使われた検体と同じものが確認できたとのことです。

www.welivesecurity.com

ASUS WebStorage 経由で、配布された Plead はAsusWSPanel.exe として実行されるようで、このプロセスネームは ASUS WebStorage の Windows クライアントと同じだとのことです。 手が込んでますねー(笑)

感染手順

今回確認された攻撃の感染手順は、以下のような流れです。

1. Plead ダウンローダーから始まり
2. 画像ファイル (PNG) と マルウェアに使われるデータ部が落とされ
3. スタートアップフォルダにファイルを置き永続化を試みます
4. その後、2次検体としてローダーを取得
5. 最終的に、3次検体である DLL ファイル落としてきて、C2 サーバーから情報窃取のためのモジュールを落としてくる

関連が想定される検体たち

公開情報もろもろをもとに、今の自分で確認できる検体をいくつか探してみました。
すると、いくつかの関連検体が見つかったのですが、GW明けの数日で、Plead と検知される検体がいくつか上がっていました。
以下はブログに上がっていた検体のうちの一つですが、
検体のコンパイルタイムが先月、サブミッションは先週、
個人的に気になるところとしては、PE resources by language にロシアが含まれており、
あれれ～って感じです(笑)

他の検体では、フランスの言語みたいなのがあったので、
アジアがターゲットではなかったかなーみたいに思っています。

ASUSWebStorageSyncAgent2.4.3.612.exe
Compilation timestamp 2019-04-16 15:26:24
First submission 2019-05-07 08:35:13 UTC
Number of PE resources by language
ENGLISH US 330
CHINESE TRADITIONAL 66
RUSSIAN 26
NEUTRAL DEFAULT 2
https://www.virustotal.com/ja/file/9de607b1563939749faafba419ecc02e24e3af89d21ba13a147fe787522e991f/analysis/

最後に

ということで、ここまで速報として、自身の知識と今持てるツールで、詮索してみましたが。。。
弱すぎる(笑)
これじゃあ、レポートもかけないですね。
やっぱり専門機関ってすごいなーと思っているわけです。
外に出たいな～
誰かと話したいな～
なんて思いつつ、今は会社でMicrosoft Office とお友達してます。
ではでは。