Backdoor.Win64.COBEACON.ZCLG.enc

トレンドマイクロは、このマルウェアをNoteworthy（要注意）に分類しました。

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

マルウェアは、不正リモートユーザからのコマンドを実行し、感染コンピュータを改ざんします。 マルウェアは、特定のWebサイトにアクセスし、情報を送受信します。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• Connect and disconnect to a named pipe
• Escalate privileges
• Execute arbitrary commands
• Impersonate tokens
• Inject code into processes
• Manage directories (Create, Remove, Set Directory)
• Manage files (List, Create, Delete, Modify, Rename, Copy)
• Manage processes (List, Create, Terminate)
• List Drive Information
• Use/purge Kerberos tickets

マルウェアは、以下のWebサイトにアクセスし、情報を送受信します。

• http://{BLOCKED}g-f12b.azuer.workers.dev/feedback/js/help/prod/service/lazy.min.js
• http://{BLOCKED}g-f12b.azuer.workers.dev/we/s/h36B915845CCD42D1_App_Scripts/jquery.signalR2.1.1.min.js

情報漏えい

マルウェアは、以下の情報を収集します。

• Username
• Computer name
• Operating System Version
• Executable used to load the sample

その他

マルウェアは、以下を実行します。

• It requires being loaded by mscorsvc.dll located in %windows%\assembly directory to decrypt the content of this file → detected as Backdoor.Win64.COBEACON.ZCLG
• This sample needs to be located in the %windows%\assembly directory and have a file name of 'msco.conf' to execute properly.

<補足>
バックドア活動

マルウェアは、不正リモートユーザからの以下のコマンドを実行します。

• 名前付きパイプへの接続および切断
• 権限の昇格
• 任意のコマンドの実行
• トークンの偽装
• プロセスにコードの注入
• ディレクトリの管理（作成、削除、ディレクトリの設定）
• ファイルの管理（一覧表示、作成、削除、改ざん、名前変更、コピー）
• プロセスの管理（一覧表示、作成、終了）
• ドライブ情報の一覧表示
• Kerberosチケットの使用/削除

情報漏えい

マルウェアは、以下の情報を収集します。

• ユーザ名
• コンピュータ名
• オペレーティングシステム（OS）のバージョン
• マルウェアの読み込みに用いる実行ファイル

その他

マルウェアは、以下を実行します。

• マルウェアの内容を復号するには、%windows%\assemblyディレクトリ内に存在するmscorsvc.dllによって読み込まれる必要があります → 「Backdoor.Win64.COBEACON.ZCLG」として検出される
• マルウェアが意図した不正活動を実行するには、%windows%\assemblyディレクトリに配置され、ファイル名が「msco.conf」である必要があります。