の表 Contents
- イントロダクション
- 初期調査結果。
- 感染連鎖。
- テクニカル分析。
- 初期感染 – 悪意のある文書。
- 第 2 段階 – 悪意のある PyInstaller 実行ファイル。
- 最終段階 – 悪意のある Python スクリプト。
- Discord ボットの機能。
- ランサムウェアの機能。
- 結論
- Seqrite 保護。
- IOC
- MITRE ATT&CK。
- 著者
イントロダクション
Seqrite Labs APTチームは最近、インド食品公社(FCI)の要件に関する偽の求人情報を利用した複数のキャンペーンを発見しました。これらのキャンペーンは、FCIの様々な技術職を目指す個人を標的とし、Xeleraと呼ばれるランサムウェアの亜種が利用されています。今回のケースでは、 マルウェア Python で記述され、ターゲット マシン上で実行される PyInstaller を使用してパッケージ化されます。
このブログでは、テレメトリ分析中に発見したキャンペーンの技術的な詳細を検証します。キャンペーンの各段階を検証し、最初の悪意のあるドキュメントペイロードとその内容から、悪意のあるPyInstallerと抽出された悪意のあるPythonスクリプトの抽出と分析、そして最後に悪意のあるランサムウェアファイルの詳細を検証します。
初期の調査結果
最近、18年2025月XNUMX日に、私たちのチームは、 VirusTotalのハンティング ルールに応じて、OLE ストリーム内に悪意のある埋め込みコンテンツを含むドキュメント ファイルをハンティングするために使用します。
初期分析の結果、FCEI-job-notification.doc として知られる悪意のあるルアーは、エンジニアやその他の技術職・準技術職など、様々な職種に応募する求職者を標的としていることが判明しました。OLEストリームの2025つから悪意のあるペイロードを抽出したところ、このペイロードはjobnotificationXNUMX.exeと呼ばれるPyInstallerベースの実行ファイルであることが判明しました。このファイルには、ランサムウェア作成者が制御するDiscordボットを使用して、標的マシン上でランサムウェアの実行やその他の意図しないタスクを実行する悪意のあるPythonスクリプトが含まれています。
PyInstaller は、Python スクリプトを選択肢の 1 つとして好む悪意のあるソフトウェア開発者のお気に入りのツールの 1 つであり、これまで HolyCrypt やその他の有名なロッカーやスティーラーが PyInstaller を悪用してマルウェアを In-The-Wild に展開してきました。
感染連鎖
テクニカル分析
分析を 3 つの異なる部分に分けて説明します。
初期感染 – 悪意のある文書。
最初の感染は、スピアフィッシングの添付ファイルを介して拡散する悪意のあるWord文書によって引き起こされます。この文書に含まれる悪意のあるOLEストリームの詳細を詳しく説明する前に、ルアー(ルアー)について見ていきましょう。
この文書は3ページにわたる情報で構成されており、最初のページにはインド食品公社(Food Corporation of India)の求人数と必要な人材の種類が記載されています。2ページ目には、様々な職種における年齢制限と応募資格について記載されており、各職種に必要な最低年齢と最高年齢が概説されています。
さらに、このページでは、職務に応じて学士号やその他の学位など、様々な職種に必要な学歴の概要が示されています。3ページ目では、試験形式を含む採用プロセスの詳細が説明されています。
試験は、数的処理能力、英語、論理的推論、一般教養などの科目を網羅した100問の問題から構成されています。受験者は60分で試験を受け、誤答ごとにXNUMX分のXNUMXの減点が課されますが、未解答の問題には減点はありません。この文書の悪意のある部分を調べ、迅速に抽出してさらなる分析に役立ててください。
悪意のある文書を分析したところ、文書には 埋め込みOLEオブジェクト (Ole10Native) このオブジェクトは ObjectPool 構造内に配置され、サイズは 31.5 MB です。
悪意のある OLE ストリームから埋め込まれたコンテンツを抽出し、そのファイルを分析ツールにロードしたところ、それが PE64 バイナリ (基本的には圧縮された PyInstaller バイナリ) であることがわかりました。
第2段階 – 悪意のあるPyInstaller実行ファイル
実行ファイルの内容を抽出した後、 pyinsxtractor、マルウェア ファイルのメイン ロジックとして機能するコンパイル済み Python スクリプトである mainscript.pyc などの Python コンパイル済みファイルが含まれる興味深いファイルとフォルダーが見つかりました。
psutil、aiohttp、asyncio などのサポート ディレクトリとライブラリも存在し、マルウェアでデータ収集やコマンド アンド コントロール (C2) 通信によく使用されるシステム監視と非同期ネットワーク操作の機能を示唆しています。
また、notoken887やcommandといったPythonでコンパイルされたファイルを含む興味深いフォルダも発見しました。これらのフォルダから、このキャンペーンがXELERAランサムウェアの展開だけでなく、それ以上の活動を行っていることが示唆されます。次のセクションでは、Pythonでデコンパイルされたファイルを分析します。
最終段階 – 悪意のあるPythonスクリプト
main.pyc ファイルをデコンパイルしたところ、 notoken887 、 start 、 command など、多くの興味深いライブラリがインポートされていることがわかりました。さらに詳しく分析したところ、脅威アクターは基本的に Discord をコマンドアンドコントロールとして使用し、リモートコマンドを実行して最終的に XELERA ランサムウェアを展開していることも判明しました。
Discordボットの機能
ここで、Discord ボットがターゲット マシン上で実行できる興味深いコマンドと、ランサムウェアの動作についていくつか見てみましょう。
悪意のある文書を実行して被害者が影響を受けると、脅威の攻撃者は Discord ボットを使用して、ブラウザベースの資格情報を盗んだり、特定の中傷的なメッセージをターゲットにスパム送信したりするなど、特定の不正なタスクを実行します。
権限昇格とシステム制御
- 管理者実行リクエスト: ボットには、IsUserAdmin API を使用してボットのプロセスが管理者として実行されているかどうかを確認するコマンド (admin) が含まれており、実行されていない場合は、runas フォームを指定した ShellExecuteW API を使用して操作を実行します。
- ロックとシャットダウンのコントロール: ボットはシステムをロックしたり (🔒 lockpc)、強制的にシャットダウン/再起動したり (📤 shutdown、🔄 restartpc) して、ターゲットマシンに不便を生じさせる可能性があります。
ブラウザの認証情報とファイルの盗難
- ファイルの盗難: Discord ボットはターゲット マシンからファイルを抜き出すことができます。
- ブラウザの資格情報の盗難: Discord ボットは、Google Chrome、Microsoft Edge などのさまざまなブラウザから、Cookie、ユーザー名、パスワードなどの機密情報をターゲット マシンから盗む可能性があります。
悪質な活動: 妨害行為、攻撃的なコンテンツのスパム。
- 視覚障害: 攻撃者は、歪んだ効果を引き起こしたり、壁紙を変更したり、その他の視覚的な混乱を引き起こして、ターゲットマシンで問題を引き起こします。
- 感覚障害: 攻撃者は、マウス入力をブロックし、ターゲットマシンでオーディオを再生することで感覚を混乱させ、ターゲットマシンで問題を引き起こします。
コマンドのリスト
| Command | 目的 | |
| 1 | 🔧 管理者 | 管理者としてマルウェアを実行するように要求する |
| 2 | 🚫 nomouse(開始/停止) | ユーザーのマウスとキーボードの権限を拒否する |
| 3 | チェックファイル | 特定のファイルをチェックし、必要に応じて削除する |
| 4 | BSOD | ブルースクリーン(BSOD)を引き起こす |
| 5 | 🌊ぼかし | 極端なGDIぼかし効果を適用する |
| 6 | 🔥 溶ける | スクリーンメルト効果を作成する |
| 7 | 🌎 スクリーンスワイプ | 画面全体をスワイプして曲げる |
| 8 | ⚡ 発作 | 画面を点滅させて発作を誘発する |
| 9 | 🌪 竜巻 | スクリーントルネード効果を作成する |
| 10 | 👴 白くする | 画面をホワイトアウトする |
| 11 | 🚫ブロックスクリーン | ヒトラーの画像を画面ブロックとして表示する |
| 12 | 🥏 超発作 | 発作のより激しいバージョン、開始/停止の議論あり |
| 13 | 📂 木 | 被害者のシステムからファイルツリーを取得する |
| 14 | 📤 シェアする | 被害者のPCにファイルをアップロードして実行する |
| 15 | 🔗 リンクシェア | 被害者のPCにURLベースのファイルをダウンロードして実行する |
| 16 | 📊 lp | アクティブなプロセスを一覧表示する |
| 17 | 🔨 kp | 特定のプロセスを強制終了する |
| 18 | 📂 ファイルを取得する | 被害者のシステムからファイルを盗む |
| 19 | 📁 CD | 被害者のファイルシステムをナビゲートする |
| 20 | 📸 ss | スクリーンショットを撮る |
| 21 | 📷 ウェブキャンプ | 被害者のウェブカメラから画像をキャプチャする |
| 22 | 📥 サグファイル | ダウンロード/ドキュメント内のすべてのファイルの名前を変更し、永久に破損させる |
| 23 | 🌍 開くURL | 被害者のブラウザでウェブサイトを開く |
| 24 | 🔎 検索 | ウェブ検索を実行する |
| 25 | 🔐 パスワードを取得する | Microsoft Edgeから保存したパスワードを抽出する |
| 26 | 📜 ブラウザ履歴を取得する | 被害者のシステムからブラウザ履歴を取得する |
| 27 | 😂 きゃー | 被害者の画面にKKK関連のミームを表示する |
| 28 | 🔔 スパム通知 | スパム通知を繰り返し送信する |
| 29 | 🔊 ベースブースト | 音量を100%にする |
| 30 | 😈 クソブラウザ | 被害者のPCにインストールされている場合、Chromeが破損している |
| 31 | 🛑 スワスティカ | 回転する卍を壁紙に設定する(開始/停止) |
| 32 | 🤯 ヌケpc | 被害者のPCに深刻な攻撃を実行する |
| 33 | 🔄 PCを再起動する | 被害者のPCを再起動する |
| 34 | 📤 シャットダウン | 被害者のPCをシャットダウンする |
| 35 | ❌ 閉じる | サグウェアアプリケーションを閉じる |
| 36 | 🧹 きれい | 現在のチャンネルを除くすべての Discord チャンネルを削除します |
| 37 | ❌ エラースパム | 面白いエラーメッセージをスパムする |
| 38 | 🌐 IPアドレス | 被害者のIPアドレスを取得する |
| 39 | 🎵 プレイサウンド | アップロードしたファイルからバックグラウンドオーディオを再生する |
| 40 | 💻 システム情報 | システム情報を抽出する |
| 41 | 🖼壁紙 | 被害者のデスクトップの壁紙を変更する |
| 42 | ℹ ヘルプ | すべてのコマンドのヘルプメッセージを表示する |
| 43 | 🔄リロード | サグウェアボットを再起動する |
| 44 | 🔒 ロックPC | 被害者のPCをロックする(ログイン画面を強制する) |
ランサムウェアの機能。
悪質なDiscordベースのスティーラーに加えて、攻撃者は、 ゼレラ警告機能を調べてみると、ランサムウェア関連のさまざまな目的に重要な機能が合計6つあることがわかります。
ランサムウェアのメッセージには、身代金を支払うためのLitecoinアドレスが記載されています。その他の機能についても見ていきましょう。
最初の関数であるkill_explorer関数を見てみましょう 実行中のプロセスを反復する 連続ループでmemz.exeの存在を確認します。memz.exeが 見つかりませんするとexplorer.exeを探し、 それを終了しようとするこのサイクルは無期限に繰り返され、memz.exe がアクティブでない限り Windows エクスプローラーは実行されないようになります。
一方、このランサムウェアで参照される create_memz_in_startup ファイルは、基本的に MBR 破損ベースの実行可能ファイルをダウンロードします。
さて、次の機能を見る前に、ここで MEMZ.exe としてダウンロードされる MBR 破損ツールの動作を見てみましょう。
その MEMZ.exe マルウェアは、コマンドライン引数を解析して動作モードを決定することで実行を開始します。/watchdog 引数が指定されている場合、「ウォッチドッグ」モードが起動し、監視スレッドが作成され、隠しウィンドウが登録されます。これにより、マルウェアは実行を継続し、Windows メッセージループを利用して終了を回避します。
さて、MBRのこの部分では、ディスクのマスターブートレコード(MBR)を上書きし、システムを起動不能にします。マルウェアは\\.\PhysicalDrive0を開いてプライマリディスクへの生のアクセスを取得し、悪意のあるペイロードを準備するための64KBのバッファを割り当てます。
次に、MBR破壊ツールは、挑発的なメッセージを含むnote.txtというテキストファイルを作成します。このファイルには、ユーザーのシステムがMEMZトロイの木馬に感染したことを知らせるテキストが含まれています。さらに、このメッセージは、マルウェアの停止を試みることに対して警告し、システムが即座に破壊されると主張しています。
さて、MBR 破損マルウェアについて理解が終わったら、他の機能セットの検討に進みます。
2 番目の関数を見ると、change_wallpaper は基本的にデスクトップの壁紙をロックの画像に変更します。
このランサムウェアの 3 番目と 4 番目の機能は、基本的に、被害者のコンピュータが影響を受けたというメッセージをすべてのウィンドウ タイトルにスパム送信し、デスクトップからすべての可能性のあるファイルとフォルダを削除し、同じフォルダに身代金イメージを大量に送信することです。
5番目の関数は、MBR破損ベースのマルウェアの実行に重点を置いています。まずWindowsのスタートアップフォルダを列挙し、悪意のあるソフトウェアが見つかった場合はそれを実行します。6番目の関数は壁紙をダウンロードし、現在のデスクトップをダウンロードしたものに変更します。その後、無限ループで音声合成(TTS)を使用して、メッセージを音声で再生します。
ランサムウェアが実行されると、このメッセージが画面に表示されます。次に、前述の暗号通貨ウォレットのアドレスを確認すると、同じウォレットアドレスを使用した取引が合計16件発生していることがわかります。
結論
XELERAランサムウェアが確認されました。これはPythonベースのマルウェアで、データと認証情報の窃取に加え、ランサムウェアの展開を伴う非常に新しい動作を特徴としています。このランサムウェアは、現時点では暗号化技術を用いた暗号化は一切行いません。活発に拡散しており、現在では上記の手口が主な手口となっており、様々な標的マシンにランサムウェアを侵入させるのに利用されています。
Seqrite 保護
- OLE.ランサム.49280.GC
- ランサム.Xelera
IOC
| ファイル名 | SHA-256 |
| FCEIジョブ通知.doc | ff06ce3fd6fe994aeaa0edc5162989d08f34440e9cacbc9e49e5db8ef98a74e3 |
| mainscript.exe (jobnotification2025.exe) | 519401c998fe5d6eb143415f7c17ad5f8e5ef5ebae57ac91e9fa89a0bfcf0c7f |
| URL |
| hxxps[:]//github[.]com/Sam-cpu999/stuff/raw/main/MEMZ[.]exe |
| hxxps[:]//th[.]bing[.]com/th/id/OIP.nQu9CQ9gM84Pblh6AgykIgHaHa?rs=1&pid=ImgDetMain |
| hxxps[:]//pghnetworks[.]com/wp-content/uploads/2018/06/Blog-pic[.]jpg |
| hxxps[:]//thugging[.]org/static/kkk[.]png |
| hxxps[:]//thugging[.]org/static/3[.]mp4 |
| hxxps[.]//chochox[.]com/wp-content/uploads/2016/10/Geto 29[.]jpg |
LTC Address: LaHL1jGMk2VUgn6c4QtFVLi7BjycWrQorB
MITER ATT&CK
| 戦略 | テクニックID | 名前 |
| 初期アクセス | T1566.001 | フィッシング: スピアフィッシング添付ファイル。
|
| 実行 | T1204.002
T1059.006 |
ユーザーによる実行: 悪意のあるファイル。
Python |
| 固執 | T1547.001 | レジストリ実行キー / スタートアップ フォルダー。 |
| 防衛回避 | T1562.001 | 防御を弱める: ツールを無効化または変更します。 |
| クレデンシャルアクセス | T1555.003 | Web ブラウザからの資格情報。 |
| プーケットの魅力 | T1033
T1217
T1010
T1083
T1016 |
システム所有者/ユーザーの検出。
ブラウザ情報の検出。
アプリケーション ウィンドウの検出。
ファイルとディレクトリの検出。
システム ネットワーク構成の検出。 |
| 収集 | T1560.002
T1056.001 T1113
|
ライブラリ経由でアーカイブします。
キーロギング。 スクリーンキャプチャ。
|
| コマンドおよび制御 | T1102.002 | 双方向通信。 |
| 影響 | T1531
T1486 T1657 T1491.001 T1561.001 T1489 T1529
|
アカウント アクセスの削除。
影響を考慮してデータが暗号化されています。 金融窃盗。 内部の改ざん。 ディスク コンテンツの消去。 サービス停止。 システムのシャットダウン/再起動。
|
著者
- スバジート・シンハ
- カルティッククマール・イシュヴァルバイ・ジヴァニ
