ASEC 分析チームでは韓国国内のマルウェアの配布元をモニタリングしており、最近では UDP Rat マルウェアとこれを配布するのに使用されるウェブハードのスレッドを紹介した。攻撃者と推定されるアップローダーは以下のブログが公開された後も、別のウェブハードを利用して類似したマルウェアを成人向けゲームに偽装して配布しており、現在でもダウンロードが可能な状況である。
– ウェブハードを通じて拡散している UDP Rat マルウェア
上記のスレッドを見ると、zip 圧縮ファイルを利用していた以前のブログの事例とは異なり egg 形式の圧縮ファイルをアップロードしたものと見られるが、実際の圧縮ファイルは zip ファイル形式である。そしてスレッドの下部を見ると、解凍した後に Game.exe を実行させるようにするガイドも同時に記載している。
このアップローダーは、このように同じ方法でマルウェアを含んだ多数のスレッドをアップロードしている。アップロードしたスレッドの添付ファイルはすべて egg 拡張子に偽装した zip 圧縮ファイルであり、スレッドの下部には Game.exe を実行するように誘導するガイドが記載されている。
圧縮を解凍すると Game.exe は存在せず、代わりにマルウェアである「Game..exe」が存在する。以下の圧縮ファイルにおいて、マルウェアはランチャーマルウェアである Game..exe、ダウンローダーを正常なプロセスにインジェクションする wode.dat、これを実行させる別のランチャーをドロップして実行する std.dat の3つである。
ユーザーが Game..exe を実行することで動作するマルウェアの感染フローは以下の通りである。すなわち、以下のプロセスを通して最終的に正常なプロセスである comsvcconfig.exe 内にインジェクションされたマルウェアがダウンローダーとして動作するのである。参考に、以前のブログとの違いは、ここでは圧縮ファイルに含まれているインジェクター、すなわち Chrome.exe マルウェアを Discord を通じてダウンロードしているという点である。
マルウェアは同時に圧縮ファイルの内部に index.dat の名前で保存されていた元のゲーム実行ファイルを Game.exe という名前に変更した後で実行させることにより、ユーザーは正常にゲームが動作していると認知することになる。実質的に不正な振る舞いを実行するマルウェアは Program Files パス内の Chrome というフォルダーに生成されたインジェクターマルウェアの Chrome.exe である。
comsvcconfig.exe にインジェクションされて実行されるマルウェアは以前のブログと同じくダウンローダーマルウェアであり、C&C アドレスも以前と類似している。そして、追加のマルウェアをダウンロードしてインストールするパスも同じであることが確認できる。
– C&C アドレス : hxxp://ondisk.kibot[.]pw:8080/links/UserTree
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
[ファイル検知]
Trojan/Win.Launcher.C4677140 (2021.10.05.03)
Dropper/Win.Korat.C4677223 (2021.10.05.03)
Downloader/Win.Korat.R443432 (2021.10.01.00)
Trojan/Win.Launcher.C4683332 (2021.10.09.00)
[IOC]
ファイル
– Game..exe : 46c88574f4eb9ec382a2eb2f4ea9ea98
– std.dat : ab54586691e787b3f51ddb464feeac07
– wode.dat : 733ec7e0aad7dab5a377b836ccba02f6
– Proxy.exe : c57ce2e7d2e46a697da7ce030406a601
C&C サーバー
– ダウンローダーマルウェア C&C : hxxp://ondisk.kibot[.]pw:8080/links/UserTwo
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報