ASEC 分析チームは最近、Orcus RAT がウェブハードからアレアハングルワードプロセッサーの crack バージョンを配布していることを確認した。これを配布した攻撃者は、以前ウェブハードで Windows のライセンス認証ツールを偽装し、BitRAT と XMRig コインマイナーを配布した攻撃者と同じである。[1]攻撃者が配布しているマルウェアは、以前と類似した形態だが、BitRAT の代わりに Orcus RAT を使用しているのが特徴である。それ以外にも、アンチウイルスの振る舞い検知を回避するために、複雑なプロセスを取り入れたり、タスクスケジューラに PowerShell コマンドを登録して周期的に最新マルウェアをインストールするなど、以前と比べてさらに精巧な形態に変化している。
ウェブハードとは、Torrent のような韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。登録されているユーザーが映画やドラマのようなメディアファイルおよびゲームやユーティリティのようなプログラム、そしてアダルトビデオなどをアップロードすると、他のユーザーは一定の金額を支払ってアップロードされたファイルをダウンロードすることができる。ASEC 分析チームでは、ウェブハードを通して配布されるマルウェアをモニタリングしており、多数のブログを通して情報を共有してきた。[2] [3] [4]
Web から手に入りやすいマルウェアを利用し、様々な攻撃者によってランダムに配布されているマルウェアとは異なり、BitRAT と XMRig コインマイナーを配布した攻撃者は、直接マルウェアを開発し、当社 V3 製品を回避する試みを見せるなど、持続的に韓国国内ユーザーを対象に攻撃を続けている。参考に BitRAT の場合、まだ crack バージョンが確認されていないが、これは攻撃者がマルウェアを直接開発しているということもあるが、最新マルウェアの場合は購入している場合もあるためだと思われる。
Orcus RAT は2016年頃から販売されている RAT(Remote Access Trojan) マルウェアである。[5]Orcus RAT を開発した Orcus Technologies 社は遠隔操作ツール(Remote Administration Tool)として紹介および販売していたが、遠隔操作機能以外にもキーロガー、Web カメラ、アカウント情報の収集およびコマンドの実行のような、様々な不正な機能が含まれている。そのため2019年にはカナダ当局が開発社を急襲した記事も確認できる。[6]
他の RAT マルウェアとともに Orcus RAT も crack バージョンが存在するため、様々な攻撃者がこれを攻撃に悪用している。ここでは攻撃者がマルウェアのインストールを誘導する最初の拡散方式から、最終的に Orcus RAT と XMRig コインマイナーがインストールされる過程を整理する。
1. 拡散方式
Orcus RAT と XMRig コインマイナーマルウェアをインストールするマルウェアは、アレアハングルワードプロセッサー2022バージョンの crack に偽装し、現在多数のウェブハードにアップロードされている。アレアハングルワードプロセッサーは Microsoft Office の Word のような韓国国内の代表的なドキュメント作成プログラムである。
ダウンロードした圧縮ファイルを解凍すると、「install」というフォルダーと「install.exe」というプログラムを確認できる。マルウェアは「install.exe」ファイルであり、これを実行すると難読化された PowerShell コマンドを実行し、「install」フォルダーに存在する実際のインストールプログラムが実行される。
2. インストーラー
一般的な圧縮プログラムのように 7z も SFX フォーマットをサポートしているが、これを使用して圧縮すると .zip や .z のような圧縮ファイルの代わりに .exe という実行ファイルが生成される。実行するだけでも製作者が希望するパスにプログラムをインストールできる等、便利に使用できるため、主にインストーラーで使用されている。参考に、7z SFX は単に内部に含まれているファイルをインストールする機能だけでなく、さらなる機能を提供している。これを利用するとインストールのプロセスで特定のコマンドを実行できる。
以下は「install.exe」すなわち 7z SFX のインストールスクリプトであり、実際のインストーラーを実行する機能以外にも、エンコードされた PowerShell コマンドが含まれている。マルウェアは原本の PowerShell プログラムを、「VC_redist.x86.exe」という正常なプログラム名で現在のインストールパスにコピーし、これを利用してエンコードされた PowerShell コマンドを実行する。直接 PowerShell を実行する代わりにこのような振る舞いを行うのは、アンチウィルスの振る舞い検知を回避するためであると推定される。
エンコードされた PowerShell コマンドを復号化すると以下のようになる。まず、Windows Defender アンチウイルスによる検知を回避するため、「Add-MpPreference」コマンドで特定のプロセス名およびパスについて例外パスを登録する。これは一般的によく使用される方式だが、攻撃者にはこれ以外にも Windows Defender で検知される脅威についても許可するプロセスが存在する。
そして Google ドキュメントでアップロードされたファイルをダウンロードするが、攻撃者は直接マルウェアをダウンロードしてインストールする代わりに 7z すなわち「7z.exe」、「7z.dll」をまずダウンロードする。その後圧縮ファイルをダウンロードしてからパスワード「x」を与えて解凍し、実行する方式でマルウェアをインストールする。これもアンチウイルスの振る舞い検知を回避するための目的であると見られる。
3. ダウンローダー
最初にインストールされるマルウェアはダウンローダーであるが、条件によって他のタイプのマルウェアをインストールする。以下は全体的なフロー図である。
初回にインストールされるダウンローダーマルウェアは「asdmon」プロセスの実行有無および仮想マシン環境を検査し、解析環境であると判断できる場合は終了する。その後アンチウイルスがインストールされているかを検査するが、検査対象として AhnLab V3(「v3l4sp」、「V3UI」、「v3csp」)と NAVER アンチウイルス(「Nsavsvc.npc」)があげられる。
その後インストールプロセスを実行する前に、感染システムのユーザー名、IP アドレスなどの基本的な情報を収集し、Telegram API を利用して転送する。
ここまでのプロセスが終了すると、今回は PowerShell 実行ファイルを「C:\ProgramData\KB5019959.exe」パスにコピーして使用する。V3 インストール有無に応じて実行される powerShell コマンドは大半が類似しているが、V3 がインストールされている場合は最終的に XMRig コインマイナーが、そうではない場合は2番目のダウンローダーマルウェアがインストールされるといった点が異なる。
インストールされるファイルのうち 7zは上記と同じであり、「GoogleUpdate.exe」ファイルは NirSoft 社の NirCmd というツールである。NirCmd は様々な機能を提供するコマンドラインツールであり、簡単なコマンドだけでもスクリーンキャプチャ、ごみ箱を空にする、デバイス制御などの振る舞いを行うことができる。
攻撃者は感染システムでアンチウイルスの振る舞い検知を回避するため、NirCmd をインストールするものと推定され、実際にタスクスケジューラに登録する PowerShell コマンドも NirCmd とコピーされた powerShell 実行ファイルで実行される。Google ドキュメントからダウンロードされて登録されるタスクスケジューラファイルを見ると、以下のように「GoogleUpdate.exe」すなわち NirCmd を利用して、「KB5019959.exe」すなわち PowerShell コマンドを実行する。登録されたタスクは上記で扱ったコマンドと類似しており、エンコードされた PowerShell コマンドでも XMRig または追加のダウンローダーをインストールする機能を担っている。
4. XMRig コインマイナー
「software_reporter_tool.exe」という名前でインストールされたマルウェア XMRig コインマイナーである。正常なプログラムである explorer.exe を実行させて XMRig コインマイナーをインジェクションするため、実際のマイニング行為はエクスプローラープロセスで動作する。インジェクション対象のエクスプローラーを以下のように暗号化された文字列を引数として与えて実行するのが特徴である。
攻撃者が製作したものと推定される XMRig は初期ルーティンで引数を受け取った文字列を復号化するが、XMRig 実行時に伝達する全体オプションは以下の通りである。
| –algo=rx/0 –url=xmr.2miners[.]com:12222 –user=”4AKATTrazYSEKTQhqwmH1Z9tu2jqF1pLzSEsRbTx9oMSPsBEGNSxPoV89vTajjEd3vbNfWLZPwvrkWURhZ194osPKJ3wDbC” –pass=”” –cpu-max-threads-hint=30 –cinit-stealth-targets=”Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe,MSIAfterburner.exe,TslGame.exe,TslGame_SE.exe,GTA5.exe,fifa4zf.exe,left4dead2.exe,FIFA21.exe,FIFA22.exe,FIFA23.exe,League of Legends.exe,LOSTARK.exe,VALORANT.exe,Overwatch.exe,suddenattack.exe,javaw.exe,SC2.exe,SC2_x64.exe,DNF.exe,TekkenGame-Win64-Shipping.exe” –cinit-stealth-fullscreen –cinit-kill-targets=”V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe,Monitor.exe,openssl.exe,natsvc.exe,smmgr.exe,v_service.exe,v_member.exe” –cinit-version=”2.5.0″ –tls –cinit-idle-wait=1 –cinit-idle-cpu=100 –cinit-id=”mijzwzakiitazgng” |
各オプションを見るとマイニングプールアドレスとユーザー ID およびパスワードを含む様々な設定が存在する。まず「–cinit-stealth-targets」オプションでタスクマネージャー、プロセスハッカー、プロセスエクスプローラーのような管理ツールを指定し、ユーザーがこれらを実行した場合にマイニングを中断し、CPU 占有率が上がったことを確認しにくくしている。これ以外にも様々なゲームプログラムが含まれているが、ゲームをプレイするときにはマイニングが動作しないように設定し、ユーザーに分かりにくく設定していることが特徴である。
「–cinit-kill-targets」オプションでは当社 V3 製品のインストーラーを指定し、ユーザーが V3 をインストールしようとすると強制終了させて、マルウェアの駆除を妨害している。それ以外にもグリッドタイプの PUP プログラムも強制終了対象になることが特徴である。
5. Orcus RAT
過去に攻撃者は V3 がインストールされた環境では XMRig、そうでない環境の場合は BitRAT をインストールしていた。しかし最近では BitRAT の代わりに Orcus RAT をインストールしていることが確認された。参考に、追加で以下の条件も満たす必要があるが、Telegram もしくは Visual Studio がインストールされた環境でのみ Orcus RAT をインストールする。
Orcus RAT は他の RAT マルウェアのように感染システムを制御できる様々な機能を提供している。以下はクラックされて公開された Orcus RAT の管理ツールである。
Orcus RAT は他の簡単な形態の RAT マルウェアと異なる点が存在する。一般的な RAT マルウェアは上記のようなビルドと管理プログラムが C&C サーバーで動作するが、Orcus RAT は上記のような管理ツールで直接接続する代わりに Orcus サーバーに接続する。すなわち攻撃者が感染システムを制御するのに使用される管理ツールと C&C サーバーで動作する Orcus サーバーが分かれている。
これは Cobalt Strike のチームサーバー(TeamServer)構造と類似しているが、Orcus RAT が以下のような Orcus サーバーと通信し、攻撃者が使用する Orcus 管理ツールも Orcus サーバーに接続し、これらを経て Orcus サーバーと接続された Orcus RAT を制御する方式である。
以下では Orcus RAT がサポートしている機能について整理する。感染したシステムを特定し「Log in」する場合、システム情報の収集、ファイル / レジストリ / プロセスタスク、コマンドの実行のような基本的な制御機能を使用できる。
Orcus RAT はそれ以外にもリモートデスクトップやキーロガー、Web カメラ制御、そして RDP 制御機能をサポートしている。RDP 制御機能は RDP Wrapper をインストールし、「OrcusRDP」という名前のアカウントを生成する方式で、攻撃者は以降このアカウントを利用して遠隔接続が可能になる。
Orcus RAT は基本的には C&C サーバーとの通信に TLS プロトコルを使用しているため、パケットは暗号化されている。以下は攻撃に使用された Orcus RAT が C&C サーバーと通信するパケットであり、認証書に使用される「Orcus Server」文字列はそのまま存在していることが分かる。
結論
韓国国内の資料共有サイトを通してマルウェアが活発に配布されているため、ユーザーは注意する必要がある。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。ユーザーは OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Dropper/Win.Androm.C5347183 (2023.01.01.01)
– Downloader/JOB.Generic (2023.01.02.02)
– Downloader/Win.Agent.R547968 (2023.01.02.02)
– CoinMiner/Win.XMRig.R547974 (2023.01.02.02)
– Trojan/Win.Injection.C5347028 (2023.01.01.00)
– Backdoor/Win.Orcusrat.C5347952 (2023.01.02.02)
– CoinMiner/Win.XMRig.C5347951 (2023.01.02.02)
– Downloader/JOB.Generic.S2050 (2023.01.04.02)
ビヘイビア検知
– Injection/MDP.Hollowing.M4180
IOC
MD5
– 516a2bde694b31735c52e013d65de48d : ダウンローダー #1 (software_reporter_tool.exe)
– 6a1fc56b4ce8a62f1ebe25bf7bbe2dbd : ダウンローダー #2 (software_reporter_tool.exe)
– 74bdc2a8d48a6a4833aac4832e38c3b9 : タスクスケジューラ (.xml)
– ccf2d6c69a4e016cd19fa4ee7bc341ec : タスクスケジューラ (.xml)
– 7303e2f671f86909527d8514e1f1f171 : XMRig (software_reporter_tool.exe)
– 9c11f58ed5e7b2806042bc9029a5cca8 : Orcus RAT (software_reporter_tool.exe)
– d3c271624e23c125b77dd774ffa4af5d : Trojan (dwm.exe)
– bd1301fb0bd0f7d2e75f090894423be0 : XMRig (InstallUtil.exe)
C&C
– hxxps://api.telegram[.]org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage : Downloader #1
– minecraftrpgserver[.]com:27036 : Orcus RAT
– xmr.2miners[.]com:12222 : XMRig Mining Pool
– minecraftrpgserver[.]com:80 : Trojan
ダウンロードアドレス
– hxxps://docs.google[.]com/uc?export=download&id=1GWm1TFpqTxungXVH0vlktkat5HilyBOJ
– hxxps://docs.google[.]com/uc?export=download&id=1FgV6vUZZX3XkERFlXDpKQHoo8qYL9r4z
– hxxps://docs.google[.]com/uc?export=download&id=1T3Kp_aH5-D8F5OS1qv40IPIUXoz3orh4
– hxxps://docs.google[.]com/uc?export=download&id=1N75CXe7da3gN7DW2eM4X0w1Rb9XJr7Mx
– hxxps://docs.google[.]com/uc?export=download&id=1qz1trnHId7cJZsjDnN0r7nSjaLbhw4sN
– hxxps://docs.google[.]com/uc?export=download&id=1TgGYGUuCp2MC31UKtaOrlEDOIqbvYArO
– hxxps://docs.google[.]com/uc?export=download&id=1kNCUUyEMYVhfp2rypg-3COmlrnAjBeyd
– hxxps://docs.google[.]com/uc?export=download&id=1VgEmuFjDFKXL-zVaaO903BHdoJN3Jr8M
– hxxps://docs.google[.]com/uc?export=download&id=1l4cygNMQxj-oyPPPFq65x1ALk9duhd7D
– hxxps://docs.google[.]com/uc?export=download&id=1bPnNN92VXIoGEWl-AAiYq_KAjqZA9Boe
– hxxps://docs.google[.]com/uc?export=download&id=1DkEj9fNfDssSj0qNhpQUn1U-bHogDRrv
– hxxps://docs.google[.]com/uc?export=download&id=1-B3960J-kcD_v9PaVP0gYyGpZVWDTHOw
– hxxps://docs.google[.]com/uc?export=download&id=11oXcLJflmBUXZAycZ3mbTiqNctbmox0b
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報