ウェブハードによって拡散している XWorm v5.6 マルウェア

AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内で収集されているマルウェアの配布元を監視していたところ、XWorm v5.6 マルウェアが成人向けゲームに偽装し、ウェブハードを通じて配布されている事実を確認した。ウェブハードと Torrent は、韓国国内においてマルウェア配布の際に主に使用されている代表的なプラットフォームである。

1. 概要

一般的に攻撃者は、njRAT や UDP Rat のように容易に入手できるマルウェアを使用し、ゲームのような正常なプログラムや成人向けコンテンツに偽装してマルウェアを配布する。このような事例に関する情報は、すでに以下の ASEC ブログで多数公開している。

• ウェブハードによって拡散している Remcos Rat マルウェア
• ウェブハードによって拡散している UDP Rat マルウェア
• ウェブハードと Torrent を通して拡散している njRAT
• 韓国国内有名ウェブハードを通して拡散する njRAT マルウェア
• ファイル共有サイト(成人向けコンテンツ)を通じて配布されている Korat バックドア(韓国語で提供)

また、XWorm v5.6 も Github のようなプラットフォームで容易に入手できる。

[図1] XWorm v5.6 のダウンロードサイト

2. マルウェア解析

[図2] 図式

[図3] ウェブハードで成人向けゲームに偽装して配布されているマルウェア

ゲームをダウンロードして圧縮を解凍すると、Start.exe が存在する。正常なゲームランチャーのように見えるが、実際にはゲームを起動させる exe は別に生成して実行され、SoundP2.muc という音楽設定ファイルに偽装した Loader の役割を担うマルウェアを実行する。

[図4] 正常なゲーム起動ファイルに偽装したマルウェア

Start.exe を実行するとすぐにマルウェアが実行されるか、ゲームが起動せずに「Game Play!」というボタンをクリックすることでマルウェアとゲームが実行される形式である。これは、サンドボックスを回避するためのものと推測される。また、SoundP2.muc を Windows フォルダーにコピーしたあと、自動実行のためにレジストリに登録する。

SoundP2.muc コピー先
– フォルダー名：C:\Windows
– コピーされるファイル名： NisSrv.exe

レジストリ登録
– パス：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– 値の名前：Google
– 値のデータ： C:\Windows\NisSrv.exe

SoundP2.muc は以下のような C2 から暗号化された XWorm v5.6 と Loader をダウンロードし、ダウンロードした Loader は MSBuild.exe に XWorm v5.6 を Injection して実行される。XWorm v5.6 はモニタリング、キーロガー、カメラの乗っ取り、さらなるマルウェアのダウンロードのような振る舞いを実行する。

SoundP2.muc C2

• hxxps://groundbreakingsstyle.com/wp-content/nanofolder/img-files/nacati[.]res (Loader)
• hxxps://groundbreakingsstyle.com/wp-content/nanofolder/img-files/a95c346e-bd42-406b-a6a4-ed808e98bf67[.]res (XWorm v5.6)

XWorm v5.6 C2

• hxxps://diditaxi.kro[.]kr:1050

[図8] SoundP2.muc Main

[図9] XWorm v5.6 の Settings

このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。

[ファイル検知]
Trojan/Win.Generic.C5621458 ( 2024.05.13.03)
Trojan/Win.Loader.C5622810 (2024.05.18.00)

[振る舞い検知]
Fileless/MDP.Inject.M4852 (2024.05.21.03)

[IOC]
– Start.exe: b8b6d0053cc3c7d9d58a19874b7807b1
– SoundP2.muc: 2b7ba71d66acfabbc67099ea3b45560a

C&C サーバー
– hxxps://groundbreakingsstyle.com/wp-content/nanofolder/img-files/nacati[.]res
– hxxps://groundbreakingsstyle.com/wp-content/nanofolder/img-files/a95c346e-bd42-406b-a6a4-ed808e98bf67[.]res
– hxxps://diditaxi.kro[.]kr:1050

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。