北朝鮮(DPRK)に関連するとされる脅威アクターが、LNKショートカットファイルを武器化して、XenoRATの亜種であるMoonPeakマルウェアを展開しました。
悪意のあるファイルは「실전 트레이딩 핵심 비법서.pdf.lnk」(実戦トレーディング核心秘法書.pdf.lnk)を装い、偽のトレーディングガイドで投資家を誘い込みました。
このキャンペーンは、DPRKが継続して行っている外貨窃取の取り組みを浮き彫りにしており、解析回避のトリックやGitHubのような信頼されるサイトを利用して検知を回避しています。
被害者がLNKをダブルクリックすると、2つの動作が実行されます。まず、XORでエンコードされたPDFのデコイが開き、ユーザーの注意をそらします。次に、難読化されたPowerShellスクリプトが非表示(-WindowStyle Hidden)で実行されます。
このスクリプトは40種類以上の解析ツールや仮想環境をチェックし、検知された場合は実行を停止します。
標的には、vmtoolsd.exe、vboxservice.exeなどのVMware関連プロセスや、dnSpy.exe、IDA Pro、Wireshark、ProcMonといったデバッガ/解析ツールが含まれます。
環境チェックを通過すると、スクリプトはtempディレクトリ内にランダムな8文字のフォルダを作成します。その中にランダム名の2つのファイルをドロップします:PowerShellスクリプト(図1相当)とVBScript(図2)です。
PowerShellはhxxp://mid[.]great-site[.]net/realzan/viewpoi.txtから別のスクリプトを取得し、一時保存して実行した後、削除します。
VBScriptは、実行ポリシーを回避してこのPowerShellを非表示で起動します。「Selling CoinBoruhde Whistling NOprobnl{BD234234324-1243324ADVE}」という名前のスケジュールタスクが、wscript.exe経由で永続化を確保します。
このスクリプトはまた、システム詳細(ホスト情報、OSバージョン、プロセス)をPOSTでhxxp://mid[.]great-site[.]net/maith.phpへビーコン送信します。
ランダムな4文字の文字列に「BEGIN」を付加し、hxxp://mid[.]great-site[.]net/aes.jsのJSを用いてAES復号を行います。これは感染を攻撃者に通知している可能性があります。
ダウンロードされたviewpoi.txtのPowerShellはraw.githubusercontent.comにアクセスし、現在は削除済みのGitHubリポジトリmacsim-gun/FinalDocu(IIJが報告)からoctobor.docxを取得します。
コミット作成者:sandamalmacsim@gmail[.]com(認証済みアカウント)。スクリプトはファイル先頭7バイトをGZIPヘッダー(1F 8B 08 00 00 00 00)に置き換え、メモリ上で展開してStella.exeを露出させます。PowerShellのAssembly.Loadがこの.NETバイナリを直接実行します。
Stella.exeはMoonPeakであり、dnSpyのような逆コンパイラを妨害するためにConfuserExで難読化されています。改ざん防止機構により、<Module>.<Module>()内でコードが動的に復号されます。IIJはde4dot-cexで抽出と難読解除を行いました。主要設定:Mutex「Dansweit_Hk65-PSAccerdle」;C2は27.102.137[.]88:443。
Internet Initiative Japanによると、機能はTrellixが2025年に報告した、GitHub C2を介したDPRKのスパイ活動に関する内容と一致します。Cisco TalosはこのアクターをUAT-5394として追跡しています。
このLOTS(Living Off Trusted Sites)戦術は継続しており、ペイロードにGitHubを利用しています。DPRKの標的は政府機関にとどまらず、世界中の個人へと拡大しています。IOCのブロック、LNK/PowerShellの監視、ConfuserExの痕跡のスキャンによって防御してください。
翻訳元: https://cyberpress.org/moonpeak-malware-via-lnk/