AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業および機関を対象とした Andariel グループの APT 攻撃事例を確認した。攻撃対象として確認された組織は、韓国国内の製造業、建設業、および教育機関であり、バックドアだけでなくキーロガー、インフォスティーラー、そしてプロキシツールが攻撃に使用された。攻撃者はこれらのマルウェアを利用して感染システムを操作し、システムに存在するデータを窃取することができたものと推定される。
この攻撃では、Andariel グループの過去の攻撃事例において確認された複数のマルウェアがともに確認された。代表的なものとして、以下で取り上げるバックドアマルウェアである Nestdoor が存在し、そのほかにも Web シェルが同時に確認された事例も存在する。また、同じファイルではないが過去に Lazarus グループの攻撃事例において確認された Proxy ツールが同時に使用されることもあった。
1. 攻撃の状況
攻撃プロセスで発見された複数の状況のうち、直接的に確認された攻撃事例として Apache Tomcat サーバーを運用している Web サーバーを攻撃し、マルウェアを配布した事例がある。当該システムは、2013年に製作された Apache Tomcat が動作していたため、様々な脆弱性を利用した攻撃が使われ得る条件である。攻撃者は Web サーバーを攻撃し、バックドア、プロキシツールなどをインストールした。
図1. Apache Tomcat を通じてインストールされたマルウェア
2. マルウェア解析
2.1. Nestdoor
Nestdoor は、少なくとも2022年5月から確認されている RAT マルウェアである。攻撃者のコマンドを受け取って感染システムを操作することができ、Andariel グループの攻撃事例で継続的に確認されている。ここでは、分類のために収集された名前に基づき Nestdoor として分類する。
2022年6月、 アメリカ CISA では VMware Horizon 製品の Log4Shell 脆弱性(CVE-2021-44228)を悪用し、マルウェアをインストールする攻撃事例を解析して公開した。これらの攻撃事例の中には「Unidentified RAT」に分類されたマルウェアと、これをメモリ上で実行する Loader マルウェアが存在する。[1] [2](外部サイト、英語にて提供)
「Unidentified RAT」として分類されたマルウェアは C++ で開発されており、攻撃者のコマンドを受け取ってファイルのアップロード/ダウンロード、リバースシェル、コマンド実行のような不正な振る舞いを実行できる。このほかにも、キーロガーやクリップボードロガー、プロキシなどの様々な機能を提供し、解析を妨害するためにバイナリを難読化していることが特徴である。
参考に、ASEC では2022年5月に Lazarus グループの下位グループとして知られている Andariel グループが、VMware Horizon 製品の Log4Shell 脆弱性を悪用して TigerRAT を配布した攻撃事例を公開したことがある。[3] また、2023年の初めには Nestdoor が TigerRAT とともに攻撃に使用された事例が確認されたこともあり、TigerRAT と同じ C&C サーバーを共有していた。すなわち、Nestdoor は TigerRAT とともに韓国国内の企業を対象とする攻撃と、Log4Shell 脆弱性を悪用した攻撃など、複数の攻撃に同時に使用されてきた。
具体的な配布経路は確認されていないが、2024年の初めには OpenVPN に偽装して配布した事例も確認されている。圧縮ファイルの中には以下のようにインストーラーに偽装したマルウェアが存在するが、「OpenVPN Installer.exe」ファイルを実行すると、同じパス上に位置するランチャーマルウェアである「FirewallAPI.dll」がロードされ、最終的に「Resource」フォルダーに存在する Nestdoor マルウェア「openvpnsvc.exe」を実行してしまう。Nestdoor は自身をタスクスケジューラーに登録し、持続性を維持して C&C サーバーと通信する。
図2. OpenVPN に偽装したマルウェア
今回の攻撃で確認された Nestdoor は OpenVPN 事例とは類似しているが、過去のタイプと比較すると違いが存在する。例えば、C&C 通信の過程で使用するコマンド番号が変更されており、より少数の機能に対応している。しかし、難読化の方式や初期ルーチンを含む全体的な構造は類似している。もちろん、ファイル操作やリバースシェルのような基本的な機能は同様に提供し、攻撃者が感染システムを操作できるという点に変わりはない。
図3. 最近確認された Nestdoor の難読化ルーチンとリバースシェルコマンド
2.2. Dora RAT
最近、Andariel グループは攻撃キャンペーンごとに新たなバックドアマルウェアを製作して使用しており、大半の場合は Go 言語を利用することが多い。今回確認された新たなマルウェアも Go 言語で開発されており、攻撃者が Dora RAT と名付けている。
図4. Dora RAT という名前で開発されたマルウェア
Dora RAT はリバースシェル、ファイルのダウンロード/アップロード機能に対応している、相対的にシンプルな形式のマルウェアである。Dora RAT は2つの形式が確認されており、単独実行ファイルとして動作するタイプと、エクスプローラー、すなわち explorer.exe プロセスにインジェクションして動作するタイプがある。
「spsvc.exe」は、WinRAR SFX フォーマットの実行ファイルであり、内部に正常なプログラムの「OneDriverStandaloneUpdate.exe」と、インジェクターマルウェアの「version.dll」が存在する。実行すると「%APPDATA%」パスにこれらをインストールし、「OneDriverStandaloneUpdate.exe」を実行すると同一パスに位置する「version.dll」がロードされ、不正な振る舞いを実行する。「version.dll」は内部リソースに含まれるデータ、すなわち Dora RAT を復号化してエクスプローラープロセスにインジェクションする。
図5. リソースに暗号化して保存された Dora RAT
参考に、攻撃者は有効な証明書でマルウェアに署名し、配布したりもした。攻撃に使用された Dora RAT の中には、イギリスのソフトウェア開発業者の有効な証明書で署名されているタイプが確認された。
図6. 有効な証明書で署名された Dora RAT
2.3. その他のマルウェア
2.3.1. KEYLOGGER / CLIPLOGGER
Dora RAT は基本的な操作機能のみを提供し、今回の攻撃で確認された Nestdoor も過去のバージョンとは異なり相対的にシンプルな機能だけを提供する。すなわち、キーロガーやクリップボードロガーのような機能はサポートしていない。そのため、攻撃者は Nestdoor を利用してキーロガーやクリップボードロガーを担うマルウェアを追加でインストールした。
攻撃に使用されたマルウェアは、「%TEMP%」パスに引数で渡された文字列に該当するファイルを生成し、記録したキー入力およびクリップボード情報を保存する。
図7. Temp パスに保存されたキー入力およびクリップボード情報
2.3.2. STEALER
攻撃者がインストールしたツールの中には、システムに存在するファイルを窃取するマルウェアも存在する。数量やサイズが小さい場合は、すでにインストールしたバックドアマルウェアを利用する場合もあるが、これを追加でインストールしたことから、大量のファイルを窃取することが目的であった可能性がある。
| 引数 | 説明 |
|---|---|
| –protocol | 通信で使用するプロトコル (tcp / udp) |
| –server | 窃取に使用されたアドレス (ip:port 形式) |
| –dir, –file | 窃取するファイルのパス |
| –thread, –limit | 性能制限 |
表1. Stealer の引数
2.3.3. PROXY
攻撃者が追加でインストールしたマルウェアのほとんどは、プロキシツールであった。確認されたプロキシツールの中には、攻撃者自ら製作したものと見られるタイプも存在するが、オープンソースの Socks5 プロキシツールも確認されている。[4] [5](外部サイト、英語にて提供)
特徴は、2021年の初めにカスペルスキー社によって公開された ThreadNeedle を利用した、Lazarus グループの攻撃キャンペーンで確認されたプロキシツールが使用されたという点である。同じファイルではないものの、サイズやルーチン、および認証プロセスで使用される文字列まで、すべてが同じマルウェアである。参考に、認証文字列まで同じであるこのプロキシのタイプは、少なくとも2014年から攻撃に使用され続けている。
図8. 攻撃に使用されたプロキシツール
3. 結論
Andariel グループは、Kimsuky、Lazarus グループとともに韓国国内を対象として活発に活動を続けている脅威グループの一つである。初期には主に安全保障に関する情報を取得するために攻撃を展開していたが、以降は金銭的利得を目的とした攻撃も行っている。[6](韓国語にて提供) 初期侵入時は主に、スピアフィッシング攻撃や水飲み場型攻撃、そしてソフトウェアの脆弱性を利用し、攻撃プロセスでさらなる脆弱性を利用してマルウェアを内部ネットワークに配布する状況も確認されている。
ユーザーは、出どころが不明なメールの添付ファイルや Web ページからダウンロードした実行ファイルには特に注意が必要であり、企業のセキュリティ担当者は資産管理ソリューションやアクセス権の制限ソリューションなど、企業内で使用するソフトウェアに脆弱性がある場合はパッチを実行して最新バージョンにアップデートしなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Trojan/Win.Injector.C5610655 (2024.04.09.03)
– Trojan/Win.Agent.C5610733 (2024.04.10.00)
– Backdoor/Win.Nestdoor.C5610641 (2024.04.13.00)
– Backdoor/Win.DoraRAT.C5610712 (2024.04.09.03)
– Dropper/Win.Agent.C5610793 (2024.04.10.00)
– Trojan/Win.Injector.C5610655 (2024.04.09.03)
– Dropper/Win.Agent.C5610654 (2024.04.09.03)
– Trojan/Win.KeyLogger.C5610642 (2024.04.09.03)
– Backdoor/Win.Nestdoor.C5622508 (2024.05.16.03)
– Trojan/Win.Launcher.C5622509 (2024.05.16.03)
– Trojan/Win.PWS.C5068848 (2022.04.12.01)
振る舞い検知
– Malware/MDP.Fraud.M800
IoC
MD5
– 7416ea48102e2715c87edd49ddbd1526 : Nestdoor – 最近の攻撃事例 (nest.exe)
– a2aefb7ab6c644aa8eeb482e27b2dbc4 : Nestdoor – TigerRAT 攻撃事例 (psfile.exe)
– e7fd7f48fbf5635a04e302af50dfb651 : Nestdoor – OpenVPN 攻撃事例 (openvpnsvc.exe)
– 33b2b5b7c830c34c688cf6ced287e5be : Nestdoor Launcher (FirewallAPI.dll)
– 4bc571925a80d4ae4aab1e8900bf753c : Dora RAT ドロッパー (spsvc.exe)
– 951e9fcd048b919516693b25c13a9ef2 : Dora RAT ドロッパー (emaupdate.exe)
– fee610058c417b6c4b3054935b7e2730 : Dora RAT ドロッパー (version.dll)
– afc5a07d6e438880cea63920277ed270 : Dora RAT ドロッパー (version.dll)
– d92a317ef4d60dc491082a2fe6eb7a70 : Dora RAT (emaupdate.exe)
– 5df3c3e1f423f1cce5bf75f067d1d05c : Dora RAT (msload.exe)
– 094f9a757c6dbd6030bc6dae3f8feab3 : Dora RAT (emagent.exe)
– 468c369893d6fc6614d24ea89e149e80 : KeyLogger / ClipLogger (conhosts.exe)
– 5e00df548f2dcf7a808f1337f443f3d9 : Stealer (msload.exe)
C&C
– 45.58.159[.]237:443 : Nestdoor – 最近の攻撃事例
– 4.246.149[.]227:1443: Nestdoor – TigerRAT 攻撃事例
– 209.127.19[.]223:443 : Nestdoor – OpenVPN 攻撃事例
– kmobile.bestunif[.]com:443 – Dora RAT
– 206.72.205[.]117:443 – Dora RAT
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報