Kimsuky グループが使用する VNC マルウェア(TinyNuke、TightVNC)

ASEC 分析チームでは最近、Kimsuky 関連のマルウェアのモニタリング中に AppleSeed 遠隔操作マルウェアにより VNC マルウェアがインストールされる状況を捕捉した。

VNC は仮想ネットワークコンピューティング(Virtual Network Computing)と呼ばれる技術で、遠隔で他のコンピュータを操作する画面制御システムである。一般的によく使用される RDP と同じく、遠隔で他のシステムに接続して操作するための目的で使用されている。

Kimsuky グループは初期の侵入プロセスを経て、攻撃対象のシステムに AppleSeed バックドアをインストールするが、これにとどまらず AppleSeed によって更に VNC マルウェアをインストールし、攻撃対象のシステムをグラフィック環境で制御できるようにしている。インストールされる VNC マルウェアの中には、まず TinyNuke マルウェアがある。

1. TinyNuke (HVNC)

Nuclear Bot とも呼ばれている TinyNuke は2016年から確認されているバンキングマルウェアであり、HVNC(HiddenDesktop/VNC)、Reverse SOCKS4 プロキシ、Web ブラウザのフォームグラビング(入力フォームの情報を窃取)のような機能を含んでいる。TinyNuke は2017年頃にソースコードが公開されたことにより、様々な攻撃者によって使用されており、その中で HVNC 機能は AveMaria、BitRAT のような他のマルウェアによって部分的に借用する方式で使用されている。

拡散している TinyNuke は従来の様々な機能の中で HVNC 機能のみが有効になっている。参考に、一般的な VNC と TinyNuke が使用する HVNC の違いは、感染したユーザーが自分の画面が制御されているという事実を認知できないという点である。以下の図は、HVNC 機能が有効になる場合のプロセスツリーである。

プロセスツリーを見ると、explorer.exe (PID：2216)の子プロセスに explorer.exe (PID：3140)が存在する。攻撃者は新しい explorer.exe (PID：3140)を通して画面操作が可能となり、攻撃者が対象 PC を制御している間に生成するプロセスの GUI(Graphical user interface)は、対象 PC の画面には表示されない。このような VNC のリモートアクセスを HVNC (Hidden Virtual Network Computing)という。

もう一つの特徴を挙げるとすれば、Reverse VNC 方式という点である。VNC はサーバーとクライアントで構成されており、制御対象のシステムに VNC サーバーをインストールし、そのシステムを遠隔で操作しようとするユーザーは VNC クライアントを利用する。VNC クライアントでは、遠隔操作対象のシステムにインストールされた VNC サーバーを経由して制御が可能となる。

一般的な VNC 環境では VNC クライアントによって遠隔操作対象、すなわち VNC サーバーに接続を試みるが、TinyNuke の HVNC は Reverse VNC 機能に対応しているため、サーバーからクライアントへ接続を試みる。すなわち、感染システムの HVNC が実行されると、指定された C&C サーバーに接続し、C&C サーバーから VNC クライアント(HVNC 基準ではサーバー)を利用して待機していた攻撃者は、以下のように遠隔操作が可能となる。これは Reverse Shell のように外部から内部へのアクセスをブロックするファイアウォールを回避し、プライベート IP 環境においても通信をサポートするためのものと推定される。

参考に、TinyNuke はサーバーとクライアント間の HVNC 通信を確立する際、「AVE_MARIA」という文字列を利用して検証する。すなわち、HVNC クライアントからサーバーへ「AVE_MARIA」文字列を送信すると、サーバー側でこの名前を検証し「AVE_MARIA」が一致した場合に HVNC 通信が可能となるのである。

これは Kimsuky グループが使用する HVNC においても同様だが、最近では以下のように「LIGHT’S BOMB」という文字列を使用する HVNC が確認されている。

2. TightVNC (VNC)

Kimsuky グループが AppleSeed バックドアによって拡散させるもう一つの VNC マルウェアに、TightVNC がある。TightVNC はオープンソースの VNC ユーティリティであり、攻撃者はこれをカスタマイズして使用している。TightVNC は一般的な VNC ユーティリティだと言えるが、先に取り扱った Reverse VNC 機能をサポートしている点が特徴だと言える。

TightVNC はサーバーモジュールである tvnserver.exe とクライアントモジュールである tvnviewer.exe で構成されている。一般的な環境では遠隔操作対象に tvnserver をインストールし、ユーザー環境で tvnviewer を利用して操作対象に接続するのである。  Reverse VNC 機能を使用するためには、クライアント側で tvnviewer をリスニングモードで実行し、その後、接続対象のシステムにサービスとしてインストールされた tvnserver を利用して controlservice および connect コマンドでクライアントのアドレスを設定することで接続させることができる。

Kimsuky グループが拡散しているのは tvnserver であり、感染環境でサービスをインストールすることなく単独で Reverse VNC 機能を使用できるようにカスタマイズされた形式である。これにより、単に tvnserver を実行するだけでも C&C サーバーで動作する tvnviewer に接続し、攻撃者は感染システムの画面制御が可能となる。

3. 結論

Kimsuky グループは、過去のブログでも紹介したように、AppleSeed を利用して別のバックドア型マルウェアである Meterpreter をインストールすることもあり、画面制御のために TinyNuke、TightVNC、RDP Wrapper を利用している。他にも、アカウント情報奪取を目的とする Mimikatz のような状況も同時に確認されている。

現在 Kimsuky グループのマルウェア動向を継続的にモニタリングしており、ユーザーは疑わしいメールの添付ファイルの閲覧や信頼できないサイトはできる限りアクセスしないように、特に注意が必要である。

• 検知名情報

Trojan/Win.VNC (2021.09.16.00)
Trojan/Win.TinyNuke (2021.09.16.03)
Trojan/Win.HVNC (2021.09.18.01)

• IOC

[TinyNuke]

[MD5]
00ced88950283d32300eb32a5018dada
535827d41b144614e582167813fbbc4c
67aa7ddecc758dddfa8afc9d4c208af1
93efab6654a67af99bbc7f0e8fcf970f
f7839eeb778ff17cf3c3518089f9bbec
dd90cb5dcd7bd748baa54da870df606c
5bd6cb6747f782c0a712b8e1b1f0c735
16c0e70e63fcb6e60d6595eacbd8eeba

[C&C]
27.102.102.70:33890
27.102.112.58:33890
31.172.80.104:3030
27.255.81.109:33890
27.255.81.71:33890
79.133.41.237:3030

[TightVNC]

[MD5]
26eaff22da15256f210762a817e6dec9
088cb0d0628a82e896857de9013075f3
9a71e7e57213290a372dd5277106b65a
db4ff347151c7aa1400a6b239f336375
4301a75d1fcd9752bd3006e6520f7e73
a07ddce072d7df55abdc3d05ad05fde1
5b6da21f7feb7e44d1f06fbd957fd4e7
be14ced87e2203ad5896754273511a14
4fdba5a94e52191ce9152a0fe1a16099
bb761c2ac19a15db657005e7bc01b822

[C&C]
27.102.114.79:5500
27.102.127.240:5500
31.172.80.104:5500
27.102.114.89:5500
27.102.128.169:5500
27.255.81.109:5500
31.172.80.104:5500
61.14.211.175:5500
27.255.81.71:5500

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。