Backdoor.PHP.NODESNAKE.THAEBE

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のプロセスを追加します。

• cmd.exe /s /c "powershell -c "tasklist /svc /FO CSV | ConvertFrom-Csv | ConvertTo-Json""
• cmd.exe /s /c "powershell -c "Get-Service | Select-Object -Property Name, DisplayName | ConvertTo-Json""
• cmd.exe /s /c "powershell -c "Get-NetNeighbor -AddressFamily IPv4 | Where-Object { $_.State -ne 'Permanent' } | Select-Object @{Name='Interface'; Expression={$_.InterfaceAlias}}, @{Name='Internet Address'; Expression={$_.IPAddress}}, @{Name='Physical Address'; Expression={$_.LinkLayerAddress}}, @{Name='Type'; Expression={'dynamic'}} | ConvertTo-Json""
• cmd.exe /s /c "powershell -c "Get-PSDrive -PSProvider FileSystem | ConvertTo-Json""

ダウンロード活動

マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。

• https://{BLOCKED}s.org/dist/v21.7.3/node-v21.7.3-win-x64.zip
• http://{BLOCKED}s.org/dist/v21.7.3/node-v21.7.3-win-x64.zip

情報漏えい

マルウェアは、以下の情報を収集します。

• Services
• Network neighbors
• Drive information
• System Information

その他

マルウェアは、以下のパラメータを受け取ります。

• EXE → It downloads a Windows executable file (.exe), saves it to a temporary folder, and runs it.
• DLL → It downloads a dynamic-link library (.dll) and executes it using the Windows tool rundll32.exe.
• JS → It downloads a JS file in %Application Data% folder
• AUTORUN → It sets itself up for persistence.
• CMD → It executes any shell command the attacker sends, giving them a remote command prompt on the victim's machine.
• OFF → It shuts itself down.

(註：%Application Data%フォルダは、現在ログオンしているユーザのアプリケーションデータフォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Roaming" です。)