AhnLab SEcurity intelligence Center(ASEC)では、過去に「アレアハングルワードプロセッサー Crack に偽装して拡散中の Orcus RAT」[1] の記事を通じて、韓国国内ユーザーを対象に RAT およびコインマイナーを配布する攻撃事例を公開したことがある。攻撃者は、最近でもダウンローダー、コインマイナー、RAT、Proxy、AntiAV などの様々なマルウェアを新たに制作して配布している。
一般的に Windows、Office ライセンス認証ツールやアレアハングルワードプロセッサーのような正常プログラムの Crack に偽装してマルウェアを配布する場合、韓国国内の多数のシステムが感染する傾向がある。攻撃者は、これに加えて感染システムにタスクスケジューラーを登録し、マルウェアをアップデートしている。登録されたタスクスケジューラーは、PowerShell コマンドを実行してマルウェアをインストールする機能を担う。もし、タスクスケジューラーの処置を行わなかった場合、そのシステムには持続的に新たなマルウェアがインストールされてしまう。
現在、V3 製品ではマルウェアがインストールしたタスクスケジューラーに対し処置を行うため、ユーザーが Crack に偽装したマルウェアをインストールしたとしても、持続的なマルウェアのインストールの問題は発生しない。しかし、V3 を使用していない環境では駆除ができず、インストールされたマルウェアを削除してもシステムに新たなマルウェアが持続的にインストールされる場合がある。インストールされるマルウェアの中にはアップデート機能を担うタイプも存在するため、タスクスケジューラーに登録される PowerShell コマンドが持続的に変更され、既存のアドレスを遮断したとしても感染は止まらない。これにより現在、韓国国内では駆除できなかったまま感染した多数のシステムが残っている。攻撃者はこれを活用して Proxy に使用、または暗号通貨を採掘しており、操作権限が奪われているため、ユーザーの情報も窃取される場合がある。
1. 攻撃フロー
攻撃フローは既存の事例と類似している。最近確認された拡散事例では MS Office Crack に偽装しており、ウェブハードや Torrent を通じて配布されている。過去の事例との違いとしては、ダウンロードアドレスを取得するプロセスとマルウェアをアップロードしたプラットフォームが追加され、このほかにも様々なマルウェアが新たに確認された。
2. 偽装マルウェア
Crack に偽装したマルウェアは、実際のマルウェアインストール以外にも Crack を同時に生成して表示するため、ユーザーは一般的な Crack プログラムだと考える可能性がある。
Crack に偽装して配布されるマルウェアは .NET で開発されており、最近のものは難読化されていることが特徴である。過去、難読化される以前のものは以下のような形式で、最初の実行後に Telegram に接続してダウンロードアドレスを入手していた。
最近配布されているマルウェアは2つの Telegram アドレスと1つのマストドンアドレスが含まれている。各プロフィールには Google Drive のアドレスに使用される文字列や GitHub アドレスが含まれている。攻撃者は、自身のチャンネルに「I prefer dangerous freedom over peaceful slavery.」というメッセージと連絡方法を記載している。
GitHub および Google Drive からダウンロードされるデータは、以下のように Base64 で暗号化された文字列である。この文字列を復号化すると PowerShell コマンドが確認できるが、最終的にこれが様々なマルウェアをインストールする機能を担う。
3. マルウェア解析
3.1. Updater
マルウェアの特徴の一つとして、インストール過程で「C:\ProgramData\KB5026372.exe」パスに PowerShell プログラムをコピーして使用し、GitHub および Google Drive にアップロードされた圧縮ファイルをダウンロードして「C:\ProgramData\Google\7z.exe」パスにインストールした 7zip プログラムで解凍するという点がある。このような方式は過去のブログで取り上げた事例と同様であり、暗号が設定された圧縮ファイルのパスワードも過去から現在まで「x」である。
マルウェアをダウンロードし、持続性を維持する機能は、「software_reporter_tool.exe」という名前でインストールされる Updater マルウェアが担当する。このマルウェアはこのほかにもタスクスケジューラーを登録し、再起動後にも持続的に動作できるようにする。登録された PowerShell は Updater マルウェアを再度アップデートし、さらなるマルウェアをインストールする機能を担う。
3.2. インストールされるマルウェア
攻撃に使用された XMRig も過去の事例と類似したオプションに対応している。「stealth-targets」オプションは指定したプロセスが実行中の場合、マイニングを中止する機能であるが、攻撃者はゲームやハードウェアモニタリングユーティリティ、グラフィック関連の業務用プログラムのように、システムのリソースを多く消費するプログラムが実行中の場合、マイニングを中止するように設定していた。「kill-targets」オプションは、指定した名前で実行中のプロセスを終了するオプションであり、各種セキュリティプログラムのインストーラーやシステムリソースを消費するグリッドプログラムが対象となった。
| { “algo”: “rx/0”, “pool”: “minecraftrpgserver[.]com”, “port”: 27037, “wallet”: “ZEPHs9eCMMza6HRoytdTWnUBP28xnRMhUK7z6smekMurCVVS57GPfqK5uewE7cgiqn4jBoJbi9teC9e6fraJaQoL2UhTMXNB1vs”, “password”: “”, “nicehash”: false, “ssltls”: true, “max-cpu”: 20, “idle-wait”: 5, “idle-cpu”: 80, “stealth-targets”: “MSIAfterburner.exe,HWiNFO32.exe,HWiNFO64.exe,HWMonitor_x32.exe,HWMonitor_x64.exe,HWMonitorPro_x32.exe,HWMonitorPro_x64.exe,NZXT CAM.exe,speedfan.exe,Core Temp.exe,OpenHardwareMonitor.exe,OCCT.exe,FurMark.exe,TslGame.exe,TslGame_SE.exe,GTA5.exe,GTA6.exe,fifazf.exe,fifa4zf.exe,fifa5zf.exe,FIFA21.exe,FIFA22.exe,FIFA23.exe,FIFA24.exe,FIFA25.exe,League of Legends.exe,LOSTARK.exe,VALORANT.exe,Overwatch.exe,suddenattack.exe,javaw.exe,SC2.exe,SC2_x64.exe,DNF.exe,BlackDesert64.exe,BNSR.exe,ProjectLH.exe,Wow.exe,AfterFX.exe,AFCStudio2.exe,cod.exe,RobloxPlayerBeta.exe,RobloxPlayer.exe,KartDrift-Win64-Shipping.exe,Adobe Premiere Pro.exe,EternalReturn.exe,destiny2.exe,blender.exe,Photoshop.exe,acad.exe,Diablo IV.exe,Cyphers.exe,r5apex.exe,dota2.exe,GameOverlayUI.exe,EOSOverlayRenderer-Win64-Shipping.exe,EpicOnlineServicesUserHelper.exe,obs64.exe,Lineage2M.exe,Q7-Win64-Shipping.exe,rojectN-Win64-Shipping.exe,ProjectER-Win64-Shipping.exe,DW9.exe,XSplit.Core.exe,XSplitVCam.exe,fczf.exe”, “kill-targets”: “V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe,openssl.exe,natsvc.exe,smmgr.exe,v_service.exe,v_member.exe,akdanhall-installer-build-433.msi,akdanhall-installer-build-433 (1).msi,akdanhall-installer-build-433 (2).msi”, “stealth-fullscreen”: false } |
3Proxy はプロキシサーバー機能が実装されたオープンソースツールであり、マルウェアは3306ポートをファイアウォールルールに追加して正常なプロセスに 3Proxy をインジェクションする。インジェクションして実行される 3Proxy は3306ポートを開放するが、これにより攻撃者は感染システムをプロキシで使用することができる。
このほかにも、外部から追加のペイロードをダウンロードして実行できる PureCrypter や、セキュリティ製品を妨害する AntiAV マルウェアが存在する。マルウェアは特定のセキュリティプログラムが実行される際、インストールフォルダー内の構成ファイルを持続的に変更する方式で正常な実行を妨げる。
4. 結論
現在、韓国国内のユーザーを対象に Crack に偽装したマルウェアの配布事例が続いている。攻撃者は、Windows、MS Office、アレアハングルワードプロセッサーの Crack に偽装してマルウェアを配布し、これにより韓国国内の多くのユーザーが攻撃対象となった。また、持続性維持のためにタスクスケジューラーにマルウェアのインストールコマンドを登録することにより、タスクスケジューラーを削除できなかったシステムではマルウェアがインストールされ続けている。
攻撃者は、ファイルの検知を回避するために一週間に数回以上は新たなマルウェアを配布しており、これは最近でも続いている。これにより、過去時点のマルウェアを削除したとしても登録されたタスクスケジューラーが新たなマルウェアを定期的にインストールすることにより、感染したシステムは増え続けている。
データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。また、V3 製品を最新バージョンにアップデートし、これらのマルウェアへの感染を事前に遮断する必要がある。すでに感染したシステムの場合、V3 製品をインストールしてタスクスケジューラーに対して処置を行うことで、持続的なマルウェア感染を防ぐことができる。
ファイル検知
– Downloader/JOB.Generic.S2560 (2024.02.02.02)
– Downloader/Win.Agent.C5590498 (2024.02.19.03)
– Downloader/Win.Agent.C5602420 (2024.03.20.00)
– Downloader/Win.Agent.C5609953 (2024.04.08.02)
– Downloader/Win.Agent.C5613148 (2024.04.16.00)
– Downloader/Win.Agent.C5619970 (2024.05.09.02)
– Backdoor/Win.Orcusrat.C5619968 (2024.05.09.02)
– Trojan/Win.AntiAV.C5619969 (2024.05.09.02)
– Dropper/Win.3Proxy.C5619967 (2024.05.09.02)
– Trojan/Win.3Proxy.C5619966 (2024.05.09.02)
– Downloader/Win.PureCrypter.C5619963 (2024.05.09.02)
– CoinMiner/Win.XMRig.C5616159 (2024.04.25.02)
– CoinMiner/Win.XMRig.C5613170 (2024.04.16.00
– Data/BIN.EncPe (2024.04.16.00)
振る舞い検知
– Infostealer/MDP.Behavior.M1965
– DevenseEvasion/MDP.AntiVM.M3090
– Malware/MDP.Behavior.M3108
– Behavior/MDP.Create.M4591
– Execution/MDP.Event.M4832
IoC
MD5
– 77a5bd4e03fc9a653b4e8c33996d19a0 : Crack 偽装マルウェア (oinstall.exe)
– 3a4d761de4fac0c2e47a5c84fca78c0f : Downloader (software_reporter_tool.exe)
– 5dd8cdd4e80185b60d43511987b254cd : Downloader (software_reporter_tool.exe)
– 6a648b7d0e4ae16f6beb170decd5b0b6 : Downloader (software_reporter_tool.exe)
– 08299a45472f501644b4daa458336428 : Downloader (software_reporter_tool.exe)
– 27623130a8e8b792fc99cbdcecee3177 : 3Proxy – Dropper (dwm.exe)
– abdbfe7b8f4976935b87a0a0e67d1da0 : 3Proxy (dwm.exe)
– 93899d3008af9df6b7d261445b3e8f59 : Orcus RAT (dwm.exe)
– 151cd4702bc15421c24fd5930f119a48 : PureCrypter (dwm.exe)
– d00feba624fa6fdcbad1b1219f3f2da7 : AntiAV (dwm.exe)
– 1b5393ac3eceda9b16836039f7d04c5e : XMRig (InstallUtil.exe)
– c9cdc0c746fa9095bd87b455f8f9c3c8 : XMRig – encoded
– f836a133490929ea0185d50e10bd11c0 : XMRig – decoded
C&C
– minecraftrpgserver[.]com:80 : PureCrypter
– minecraftrpgserver[.]com:27036 : Orcus RAT
– minecraftrpgserver[.]com:27037 : XMRig
Download アドレス
– hxxps://t[.]me/dRidulEDhRQYNREkN : Crack 偽装マルウェア
– hxxps://t[.]me/IXvMGsiyPuHoPSSiD : Crack 偽装マルウェア
– hxxps://mastodon[.]social/@dRidulEDhRQYNREkN : Crack 偽装マルウェア
– hxxps://drive.usercontent.google[.]com/download?id=1kFPqJkzWKIIQzC3b0b6nunctXKHPeJNi&export=download : Base64 で暗号化された PowerShell コマンド
– hxxps://drive.usercontent.google[.]com/download?id=1SFoSCa4PhCsR7ACj8HUIfrU7L1i8YwiR&export=download : Base64 で暗号化された PowerShell コマンド
– hxxps://gist.github[.]com/thamanarya/6510d9e6b96adfea6b9422a3fd22ef82/raw/Power : Base64 で暗号化された PowerShell コマンド
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] […]
[…] AhnLab SEcurity intelligence Center(ASEC)では、以前「MS Office Crack に偽装して拡散中のマルウェア(XMRig、OrcusRAT 等)」ブログにてクラックプログラムに偽装したマルウェアの危険性について紹介したことがある。[1] […]