概要
INITECH 社の INISAFE CrossWeb EX V3 プログラムにおける脆弱性を解決するためのセキュリティアップデートが発表された。このプログラムは、インターネットバンキングに使用される電子金融や公共機関の金融セキュリティ認証のソフトウェアで、様々な企業のみならず、多数の個人 PC でも使用されている。そのため、ユーザーは自分の PC にこのプログラムがインストールされているかを必ず確認し、以下のガイドに従ってアップデートすることを推奨する。
説明
AhnLab Security Emergency response Center(ASEC)では Lazarus グループが脆弱性関連プロセスで不正な振る舞いを発生させている状況を把握しており、この内容に関して去年の4月に ASEC ブログで紹介したことがある。
当時確認された内容を要約すると、マルウェアの SCSKAppLink.dll が、INISAFE CrossWeb EX V3 の実行ファイルである inisafecrosswebexsvc.exe プロセスにインジェクションされて動作し、マルウェアの配布元に接続した後、インターネット一時フォルダーのパスにダウンローダーマルウェア main_top[1].htm ファイルをダウンロードして特定のパスにコピーしていた。
- ダウンロード先のパス:c:\users\<ユーザー>\appdata\local\microsoft\windows\inetcache\ie\zlvrxmk3\main_top[1].htm
- コピーされたパス : C:\Users\Public\SCSKAppLink.dll
パッチの対象およびバージョン
INISAFE CrossWeb EX V3 3.3.2.41 以下のバージョン
解決方法
[1] サービス運営者:INITECH を通して最新バージョンに交換
- INISAFE CrossWeb EX V3 3.3.2.41
[2] 製品のユーザー:脆弱なバージョンの INISAFE CrossWeb EX V3 がインストールされている場合、アンインストールしてから最新バージョンにアップデート
- [コントロールパネル]-[プログラム]-[プログラムおよび機能]で INISAFE CrossWeb EX V3 バージョン確認後にアンインストールをクリック
- 以下のリンクを参照し、OS に適した最新バージョンの INISAFE CrossWeb EX V3 をインストール
Windows クライアント(v3.3.2.41_32bit) : http://demo.initech.com/initech/crosswebex_pack/3.3.2.41/INIS_EX_SHA2_3.3.2.41.exe
検知情報および IOC
[ファイル検知]
- Data/BIN.Encoded
- Downloader/Win.LazarAgent
- Downloader/Win.LazarShell
- HackTool/Win32.Scanner
- Infostealer/Win.Outlook
- Trojan/Win.Agent
- Trojan/Win.Akdoor
- Trojan/Win.LazarBinder
- Trojan/Win.Lazardoor
- Trojan/Win.LazarKeyloger
- Trojan/Win.LazarLoader
- Trojan/Win.LazarPortscan
- Trojan/Win.LazarShell
- Trojan/Win.Zvrek
- Trojan/Win32.Agent
[ビヘイビア検知]
- InitialAccess/MDP.Event.M4242
関連 IOC は前述した過去の ASEC ブログで確認でき、
詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: 対応ガイド