JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月4日、サイバー攻撃グループ「Lazarus」が使用するマルウェア「VSingle」の機能が最近アップデートされ、C2サーバの情報をGitHubから取得するようになったと報告した。

VSingleにはWindowsをターゲットにしたバージョンとLinuxをターゲットにしたバージョンが存在するが、今回はLinuxをターゲットにしたバージョンのVSingleのアップデート内容が紹介されている。

  • GitHubからC2サーバーの情報を取得するマルウェアVSingle - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

    GitHubからC2サーバーの情報を取得するマルウェアVSingle - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

このレポートでは、VSingleの概要やGitHubへのアクセスパターン、通信方式などが説明されている。またVSingleが使用したGitHubリポジトリや通信先、ハッシュ値なども報告されている。

使用されたGitHubリポジトリは次のとおり。

  • https://github.com/bgrav1ty13j/bPanda3
  • https://github.com/fwo0d17n/fWr0te
  • https://github.com/glucky18p/gluxuryboy
  • https://github.com/gf00t18p/gpick/
  • https://github.com/jv0siej21g/jlaz3rpik

通信先は次のとおり。

  • https://mantis.westlinks.net/api/soap/mc_enum.php
  • https://www.shipshorejob.com/ckeditor/samples/samples.php
  • http://crm.vncgroup.com/cats/scripts/sphinxview.php
  • https://ougreen.com/zone
  • https://tecnojournals.com/general
  • https://semiconductboard.com/xcror
  • https://bluedragon.com/login
  • https://tecnojournals.com/prest

VSingleのハッシュ値は次のとおり。

  • 199ba618efc6af9280c5abd86c09cdf2d475c09c8c7ffc393a35c3d70277aed1
  • 2eb16dbc1097a590f07787ab285a013f5fe235287cb4fb948d4f9cce9efa5dbc
  • 414ed95d14964477bebf86dced0306714c497cde14dede67b0c1425ce451d3d7

JPCERT/CCは、サイバー犯罪者がC2サーバとの通信を隠蔽するために、正規のWebサーバを改ざんしたり、正規のクラウドサービスを悪用したりすることは多々あると説明。そのようなマルウェアを通信ログから発見することは困難なため、用途が限定されているサーバなどではアクセス可能な通信先を限定するなどの対策を行うことが推奨されている。