ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、UDP Rat マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。
一般的に攻撃者は njRAT や UDP Rat のように容易に入手できるマルウェアを使用し、ゲームのような正常なプログラムや成人向けコンテンツに偽装してマルウェアを配布する。このような事例に関する情報は、すでに以下の ASEC ブログで多数公開している。
– ウェブハードと Torrent を通して拡散している njRAT
– 韓国国内有名ウェブハードを通して拡散するnjRATマルウェア
– ファイル共有サイト(成人向けコンテンツ)によって拡散している Korat バックドア(韓国語のみ)
ここで取り上げるタイプは最近まで確認されており、njRAT の代わりに Simple UDP Rat のような DDoS マルウェアを主に使用することが特徴である。マルウェアの圧縮ファイルを配布するウェブハードのダウンロードページを確認すると、以下のように、成人向けゲームに偽装している。
攻撃者はこのスレッド以外にもいくつかの圧縮ファイルを利用し、マルウェアを配布している。参考に、ゲームはすべて異なるが、圧縮ファイル内に含まれているマルウェアは以下で取り上げる内容とすべて同じである。
ダウンロードした zip 圧縮ファイルを開くと以下のようなファイルを確認でき、これをダウンロードしたユーザーはゲームの実行のために「Game..exe」ファイルを実行することとなる。
しかし、「Game..exe」はゲームプログラムではなく別のマルウェアを実行させるランチャーマルウェアであり、以下のルーティンのように Dat フォルダーに存在するマルウェア stick.dat ファイルを実行し、Ob.dat ファイルを Game.exe の名前でコピーして実行する。
Game.exe にコピーして実行されるファイルは実際のゲームプログラムであり、これによってユーザーはゲームが正常に実行されたと認知できる。
ここまでのプロセスが完了すると「Game..exe」ファイルを隠し属性に変更するため、ユーザーは以降コピーされたゲームプログラムである Game.exe を使用することになる。これとは別個にランチャーマルウェアによって実行された stick.dat ファイルは、ALZIP SFX プログラムであり、内部に存在する2つのマルウェア「Uninstall.exe」と「op.gg.setup.apk」を C:\Program Files\4.0389 フォルダーに生成する。
Stick.dat はファイル生成後 Uninstall.exe を実行し、別のランチャーマルウェアである Uninstall.exe は op.gg.setup.apk を実行する。Op.gg.setup.apk はダウンローダーマルウェアであり、以下のアドレスから同一パスに Op.gg.exe ファイルをダウンロードし、実行する。
– ダウンロードアドレス : hxxps://cdn.discordapp[.]com/attachments/872548745902948365/889723452569845830/Op.gg.exe
Op.gg.exe は自身を Run キーに登録し、正常なプログラムである「C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe」を実行した後、元のマルウェアをインジェクションする。SMSvcHost.exe にインジェクションされた元のマルウェアは、ダウンローダーマルウェアとして周期的に C&C サーバーにアクセスし、追加でダウンロードするマルウェアのアドレスを取得する。
– C&C アドレス : hxxp://ondisk.kibot[.]pw:8080/links/UserTwo
C&C サーバーから追加のマルウェアのアドレスを取得した場合は、以下のように C:\Steam_Kr\ フォルダーの sys_[ランダム] フォルダーに追加のマルウェアをダウンロードして実行させる。
現在 C&C サーバーからダウンロード先のアドレスを受け取ることができず、以降の振る舞いについては確認されていないが、AhnLab の ASD インフラ上ではこれらのマルウェアがダウンロードする多数のマルウェアを確認することができる。ダウンロードされるマルウェアは UDP Flood DDoS 攻撃を実行できるオープンソースマルウェア、UDP Rat が多数を占めている。
インストールされる UDP Rat マルウェアは大半の検知を回避するために Themida のようなパッカーでパッキングされているが、パッキングされていないサンプルも一定数存在する。
– Simple UDP Rat の C&C アドレス : 37.0.11[.]171:49367
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
[ファイル検知]
– Game..exe : Trojan/Win.Launcher.C4665771 (2021.10.01.01)
– stick.dat : Dropper/Win.Korat.C4662749 (2021.10.01.00)
– op.gg.setup.apk : Dropper/Win.Korat.R443431 (2021.10.01.00)
– Uninstall.exe : Trojan/Win.Launcher.C4665770 (2021.10.01.01)
– op.gg.exe : Downloader/Win.Korat.R443432 (2021.10.01.00)
– UDP RAT : Backdoor/Win.UDPRat.R443002 (2021.09.28.01)
[IOC]
ファイル
– Game..exe : 00357575f2789c91e7afc7d8e1c25d40
– stick.dat : 73052c60e447d60497c4567a5bc1885e
– op.gg.setup.apk : 1b1c9751f5aaf2a1c5afc15d6b82e90b
– Uninstall.exe : 17930cd5cbcf7d12856c81333d4b4713
– op.gg.exe : ee228a1b9d71fc6381e15e9364bf8fb9
– UDP RAT : d858cdf1d85128cc337305b644fe565f
ダウンロードアドレス
– hxxps://cdn.discordapp[.]com/attachments/872548745902948365/889723452569845830/Op.gg.exe
C&C サーバー
– ダウンローダーマルウェア C&C : hxxp://ondisk.kibot[.]pw:8080/links/UserTwo
– UDP Rat C&C : 37.0.11[.]171:49367
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報