脆弱なソフトウェアおよび概要
VestCert は Web サイト利用時に使用される公認認証書プログラムで、韓国国内の YETTIE ソフト社が製造した Non-ActiveX モジュールである。このプログラムは、スタートアッププログラムに登録されており、プロセスが終了しても YETTIE ソフトのサービス(Gozi)によって再実行される特徴がある。一度インストールされると、プロセスに常駐するため、脆弱性攻撃にさらされることがある。そのため、プログラムを最新バージョンにアップデートする必要がある。
脆弱性の説明
この脆弱性は、AhnLab が最初に発見、および通報した脆弱性で、脆弱なバージョンの VestCert で遠隔コード実行脆弱性(RCE)が発生する可能性がある。
パッチの対象およびバージョン
VestCert 2.3.6 ~ 2.5.29 バージョン
脆弱性悪用ログ(Lazarus)
当社 ASD(AhnLab Smart Defense)インフラを通して、脆弱性を悪用した事実が確認された。攻撃者はこの脆弱性によってマルウェアをダウンロードして実行していた。
このマルウェア(winsync.dll)は以前のブログで言及した SCSKAppLink.dll ファイルのアウトラインといくつかの機能が非常に似ていた。
また、2つのファイルはどちらも Notepad++ プラグインオープンソースを悪用して作成されており、文字列を復号化するコードルーティンも同じであることが確認された。
解決方法
ユーザーは次の案内によって、プログラムのバージョンを確認し、最新バージョンへのアップデートをするようにしていた。
– サービス運営者 : YETTIE ソフトを通して最新バージョンに交換
– サービス利用者 : 脆弱な VestCert がインストールされている場合、アンインストール後に最新バージョンにアップデート
[1] プロセスの終了
– タスク管理者のプロセスタブで ① Goji → ② VestCert を必ず順番通りに終了
[2] インストールされたプログラムのアンインストール
– [コントロールパネル]-[プログラム]-[プログラムおよび機能]で VestCert バージョン確認後にアンインストールをクリック
[3] プログラムの再インストール
– 利用中の金融サイト*に接続し、解決したバージョンのプログラムを再インストール
* 金融サイト別に脆弱なプログラムパッチの日程が異なるため確認必要
検知
Trojan/Win.LazarLoader.C5378117 (2023.02.08.03)
Execution/MDP.Powershell.M1185
IOC
MD5
– 0a840090b5eac30db985f0c46f46a602
[References]
- https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881
- https://atip.ahnlab.com/ti/contents/asec-notes?i=11d64889-76f5-40a5-86d3-8319e1bef763
- https://www.yettiesoft.com/html/support/0502_faq.html
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 対応ガイド