HawkEye キーロガーは、主にスパムメールを通して配布される情報奪取型マルウェアである。最近では AgentTesla、Formbook、Lokibot がこのタイプのマルウェアの大半を占めているが、少し前までは HawkEye がこれらのマルウェアと同等に大量に拡散していた。
最近になって HawkEye の拡散が大きく減少したものの、それにも関わらず今年も一定の割合の HawkEye マルウェアが確認され続けている。配布方式は、以前からと同様にスパムメールの添付ファイルを通した形式がほとんどであるものと推定される。
以下は、2月と3月頃に韓国国内のユーザーをターゲットに配布されたスパムメールである。


このように直接 EML ファイルが収集されなくとも、収集されたファイル名から確認した場合にも、スパムメールの添付ファイル名であると推定できるファイル名がほとんどである。
– Payment_Advice_GLV225445686.exe
– POinv00393.exe
– 0M5389847667355_030420210000.PDF.exe
– K409476485-03032021B.pdf.exe
– x3984776490246720210313.PDF.exe
– s779800_02102021.PDF.exe
HawkEye の情報奪取対象を確認すると、基本的なシステム情報以外にも Web ブラウザ、電子メールクライアント等のアカウント情報がある。また、仮想通貨ウォレットやマインクラフトのアカウント情報ファイルもその対象としている。参考に、大半は過去バージョンのアプリケーションを対象としており、最新バージョンのプログラムでは正常に動作しない場合がある。このほかにも、キーロガー、クリップボードロガーおよびスクリーンショットキャプチャを奪取する機能が存在する。
HawkEye は内部に NirSoft 社の WebBrowserPassView と Mail PassView プログラムを含んでいる。このプログラムはそれぞれ、Web ブラウザに保存されているアカウント情報と電子メールクライアントに保存されているアカウント情報を抽出して表示するツールである。以下のバージョン情報を見ると2013年ごろに製作されたバージョンであり、これは HawkEye 自体が過去に開発されたために、その時点のバージョンが含まれているものと推定される。

NirSoft のアカウント情報抽出ツールはかつて、「/stext」の場合にコマンドラインオプションを提供していた。ダブルクリックで WebBrowserPassView を実行すると GUI 画面を表示するが、「/stext」オプションと共に修復されたパスワードを保存するテキストファイルのパスを渡すと、ユーザーが認知することなく、すなわち GUI 画面を経由せずに使用することができる。HawkEye はこれを悪用して直接的なアカウント情報の奪取ルーティンを実装せず、従来から存在するユーティリティを活用している。参考に、このような不正な事例が存在するためなのか、最新バージョンではこれらのオプションをサポートしていない。
HawkEye は WebBrowserPassView と Mail PassView を直接実行せず、正常なプログラムである vbc.exe を実行したあと、ここに当該ツールをインジェクションする方法で実行させる。以下に示すプロセスツリーを見ると、vbc.exe の実行時(内部ではアカウント情報抽出ツールが動作) Web ブラウザのアカウント情報は「holderwb.txt」ファイルとして、メールクライアントのアカウント情報は「holdermail.txt」ファイルとして保存することがわかる。以後、このようにして生成されたテキストファイルを読み込んで C&C サーバーに送信する。

HawkEye はずいぶん前から存在していたマルウェアであるため、Web ブラウザや他のアプリケーションに対するアカウント情報奪取機能が、最新バージョンを使用している環境では動作しない場合がある。上記の WebBrowserPassView と Mail PassView の事例だけを見ても、2013年のバージョンであるため最新バージョンの Web ブラウザや電子メールクライアントプログラムでは正常に動作しない可能性がある。しかし、古いマルウェアであってもキーロガーやクリップボード、スクリーンショットロガー等の機能は、バージョンに関係なく正常に動作するため、ユーザーの情報を奪取することには変わりない。
奪取された情報を攻撃者に伝達する方法としては、以下の3つが存在する。一つ目は AgentTesla、SnakeKeylogger で頻繁に使用される SMTP、すなわちメールによる方法であり、二つ目は FTP を利用してファイルをアップロードする方法、最後に HTTP を利用する方法がある。

Snake Keylogger マルウェアはスパムメールを通じて拡散しているため、ユーザーは疑わしいメールを受信した場合、添付ファイルを開かないようにしなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
[ファイル検知]
– Trojan/Win.Kryptik.R371540 ( 2021.03.12.02)
[ビヘイビア検知]
– Malware/MDP.Behavior.M3034
– Malware/MDP.Behavior.M3108
[IOC]
ファイル
– 2c0ac98447900d73b389c073e6ed1067
C&C
– SMTP
Smtp サーバー : smtp.yandex[.]ru
User : festus.vinco@yandex[.]ru
Pass : kingdomm***A12
– FTP
Ftp サーバー : ftp.triplelink.co[.]th
User : Loggsszzzxxx@triplelink.co[.]th
Pass : xpe***0
Categories:マルウェアの情報