おとりに使われる研究会リスト(同社公式ブログより)

Palo Alto Networksインテリジェンスチーム「Unit42」は、日本人を標的にしたマルウェア「Aveo」に注意喚起を促している。

「Aveo」は、Excelファイルを実行するとおとりとなる関東の工業大学研究室の文書を実行、研究会の参加者の一覧などが表示されるが、バックグラウンドでは、米国内のドメインと通信、自己解凍型実行ファイル実行後にバッチファイルや複数のexe.ファイルを使い、

· 一意の被害者のハッシュ
· IPアドレス
· Microsoft Windowsのバージョン
· ユーザー名
· ANSIコード ページID

などを盗み出してコマンドアンドコントロール(C2)サーバへと送信する。

同社公式ブログには、詳細なマルウェアの動きを掲載しているが、セキュリティ侵害の兆候として以下の情報を示している。

SHA256ハッシュ

9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2

8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d

C2ドメイン

snoozetime[.]info

レジストリ キー
HKCU\software\microsoft\windows\currentversion\run\msnetbridge

ファイルのパス
%APPDATA%\MMC\MMC.exe

%TEMP%\MMC\MMC.exe

Aveoマルウェアファミリは、日本の製造業やハイテク産業をターゲットに、日本語で訃報を装ったFormerFirstRATマルウェア ファミリと密接な関係があると注意を喚起している。