攻撃グループLuoYuが使用するマルウェアWinDealer - JPCERT/CC Eyes2021年1月28日に開催されたJSAC2021で、2014年から活動が確認されている韓国や日本の組織をターゲットにした攻撃グループ「LuoYu」についての発表がありました[1][2]。今回は、JPCERT/CCが確認したLuoYuが使用するマルウェアWinDealerについてご紹介します。 マルウェアWinDealerの概要 マルウェアWinDealerは、感染したPCの各種情報を窃取し、C2サーバーへ送信する情報窃取型のマルウェアです。マルウェアの動作概要を図1に示しています。 図1:マルウェアWinDealerの動作概要 マルウェアWinDealerは起動初期にC:\ProgramData配下のファイルから設定情報をロードし、DLLモジュールを自身のメモリ上に展開します。マルウェアの機能として、PCの機器情報、ネットワーク設定、SNSアプリなどのデータを窃取し、%TEMP%配下に“.
