Posted By ,

韓国国内有名ウェブハードを通して拡散するnjRATマルウェア

njRAT マルウェアはユーザーの個人情報を奪取し、攻撃者の命令を受けると実行する RAT マルウェアであり、韓国国内で個人をターゲットに拡散が続いている。

診断ログを解析した結果、njRAT は主にウェブハードやトレント等の資料共有サイトを通じてゲーム、認証ツール、ユーティリティ等の正常なファイルに偽装して拡散し、ほとんどの場合は元のプログラムが実行されると同時にマルウェアに感染するため、ユーザーの立場では感染の事実を把握することが困難である。

AhnLab ASEC 分析チームは、njRAT マルウェアが韓国国内のウェブハードサイトを通じて拡散している事例を紹介する。最近拡散した njRAT のファイル名に基づいて逆追跡した結果、韓国国内の有名ウェブハードサイトで出回っているスレッドを確認した。 

また、同じサイトでは過去にアップロードされたマルウェアが含まれていない元の資料を見つけることができ、この二つの資料を比較した結果、以下のような違いがあった。

[図1] 正常なファイルと不正なファイルの比較

不正な圧縮ファイルの内部には、正常なものとは異なり savework.dll と d4work.dll ファイルが追加されている。savework.dll は名前が変更された正常な Game.exe ファイルであり、d4work.dll は njRAT マルウェアである。二つのファイルの拡張子は .dll だが、実際には実行ファイル(.exe)である。

[図2] d4work.dll の PE 情報

攻撃者は、原本の資料でゲーム実行ファイルの名前を変更し、マルウェアを追加したあと、マルウェアとゲームを同時に実行する実行ファイルを作成して拡散させた。

攻撃者が製作して追加した Game.exe は Vbs2Exe で作成されたファイルであり、正常な Game.exe アイコンに偽装している。Vbs2Exe はスクリプト言語である VBS を PE 形式の実行ファイルにするプログラムであり、これでビルドされたファイルはリソース領域のコマンドをロードして実行する構造を持っている。

[図3] 不正な Game.exe のリソース領域

このファイルが実行されると、次のコマンドによって d4work.dll(njRATマルウェア) と savework.dll(元のGame.exe) が実行され、マルウェアに感染してゲームが実行される。

  • %windir%\system32\cmd.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c @start d4work.dll
  • %windir%\system32\cmd.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c @start savework.dll

d4work.dll ファイルを実行すると %appdata% 下位に特定のファイル名で自己複製したあと、ショートカットを生成してレジストリを通して自動実行登録を行う。以降、C2 に接続して攻撃者の命令を待機し、攻撃者の命令によって様々な不正な行為を実行できる。

直近一週間出回っていた njRAT マルウェアのうち、ウェブハードを通じて拡散したものと推定される事例のファイル名、および相対パス名の一部は以下の通りである。その大多数がゲームおよびユーティリティを偽装して出回っており、特定のウェブハードではなく多数の韓国国内ウェブハードサイトが配布元となっていることが確認できる。

  • \Xディスク\[rj289299]asylum\セラ&ノエル-捕らわれた姫の行方-\game.exe
  • \プリンセスクエスト 羞恥と屈辱 ver101\新しいフォルダ\game.exe
  • \motherslessons\game.exe
  • \HOTな女性と遊ぶゲーム!\the lady is in heat\d3dcompiler_46.dll)
  • \fileXX\(190329)有料プラン限定rpg bewitching sword2 ver.1.0\steam.com
  • \Windows 10正規品認証機器\Windows 10正規品認証機器.exe
  • \福音のapostle\d4work.dll
  • \Xディスク\sinnenn_ver1\game\d4work.dll
  • \ハード番号を変更する\set up.exe
  • \Hancom2020\set up.exe
  • \サドンチートsa (1)\sa.exe
  • \Xディスク\レンタルワイフ\ps\aa\reget.exe
  • \無人島生活\d3dcompiler_46.dll
  • \ナルト\reget.exe
  • \ファイルX ダウンロード\[rj291663] 女騎士フレイ 1.0\reget.exe

このように、韓国国内のウェブハード等の資料共有サイトを通じてマルウェアが活発に出回っているため、注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。

[V3診断]

  • Trojan/Win32.Loader.C4183142
  • Backdoor/Win32.Korat.C4182520

[関連IOC情報]

  • md5:1c359f9edf43f2986f782b631f418ebb(不正なGame.exe)
  • md5:88e4da56049f4aa60a1ebeb47ad4dafa (d4work.dll)
  • C2: so69.kro.kr

Categories:マルウェアの情報

Tagged as:,,,

0 0 votes
評価する
Subscribe
Notify of
guest

2 コメント
Inline Feedbacks
View all comments
trackback
ウェブハードを通じて拡散している njRAT - ASECブログ
1 year ago

[…] 韓国国内有名ウェブハードを通して拡散する njRAT マルウェア […]

0
Reply
trackback
ウェブハードによって拡散している HackHound IRC Bot - ASECブログ
1 year ago

[…] 韓国国内有名ウェブハードを通して拡散する njRAT マルウェア […]

0
Reply