ソフトウェアのクラックに偽装して拡散する Redline Stealer

AhnLab ASEC 分析チームは、過去のブログ記事で商用ソフトウェアの Crack、Serial 等のキーワードで検索するとヒットする不正なサイトから配布されるマルウェアについて取り上げ、ユーザーの注意を呼びかけてきた。

https://asec.ahnlab.com/jp/26235/

最近、某企業のイントラネット侵害事例の調査で商用ソフトウェアの Crack に偽装した Redline Stealer マルウェアに感染し、企業の VPN サイトとアカウント情報が流出した事実を確認した。

被害に遭った企業では在宅勤務中に社内ネットワークにアクセスできるよう VPN サービスを提供しており、この企業の社員は支給されたノート PC、または個人の PC で VPN 接続を行い、業務を遂行していた。被害に遭った職員は Web ブラウザが提供するパスワード管理機能を利用して VPN サイトのアカウント/パスワードを Web ブラウザに保存して使用していた。その最中にアカウント情報を狙うマルウェアに感染したことで、複数サイトのアカウントやパスワードが流出し、この中には企業の VPN アカウントも含まれていた。

アカウント情報が流出したシステムは社員の個人 PC であり、業務以外にも家族が同時に使用する PC である。不正なファイルへの感染は、家族が音程補正プログラムである Waves 社の SoundShifter ソフトウェアの free、crack キーワードを検索し、不正なファイルを含む waves_60e87ffe7200b.zip 圧縮ファイルをダウンロードし、圧縮ファイル内の不正なファイルを実行したことによるものである。

[図1] 不正なファイルへの感染プロセス

Web ブラウザの利用記録から、waves soundshifter free、waves soundshifter crack のキーワードで検索した履歴を確認した。

[図2] Web ブラウザで違法なソフトウェアを検索した痕跡

同じキーワードを Google で検索した場合、様々な経路のダウンロードサイトが検索結果に表示される。

[図3] Google の waves soundshifter crack 検索結果

ユーザーは、Google の検索結果に表示された複数のページにアクセスしたものと見られる。

[図4] Google 検索結果に表示されたサイトのアクセス履歴

その後、ファイルのダウンロードの痕跡が発見された。当該経路にアクセスしたプロセスは確認されておらず、検索結果に表示された不正なページに直接アクセスしたものと推定されるが、現在の検索結果では確認されていない。

[図5] 違法なソフトウェアをダウンロードした痕跡

ダウンロードされたファイルは圧縮ファイルであり、内部に暗号化された圧縮ファイルと暗号圧縮ファイルのパスワードが記載された TXT ファイルが含まれている。このような方式は、ファイルをダウンロードする時にセキュリティ製品によって検知されるのを回避するために、攻撃者が使用する方法だ。

[図6] ダウンロードした(waves_60e87ffe7200b.zip)圧縮ファイルの内部構造

ユーザーはプログラムをインストールする目的でファイルをダウンロードしたため、TXT ファイルの説明に沿って暗号化された圧縮ファイルを解凍し、インストールファイルに偽装した不正なファイルを実行したものと思われる。解凍されたインストールファイルは複数の不正なファイルが内蔵されている形式であり、インストール時に Danabot、Redline Stealer、Vidar 系列の不正なファイルがシステムに生成される。システムで発見された不正なファイルとファイルパス、ファイル名等、関連するアーティファクトを解析した結果、同様の時期に拡散した類似する事例を確認することができた。

同様の事例も、商用ソフトウェアの crack、keygen 等、違法なプログラムのインストールファイルに偽装して、ファイル共有サイトにアップロードされて拡散していた。確認された類似の不正なファイルのうち、2021年6月に Keygen 共有サイト(topkeygen.com)で拡散した不正なファイルの解析内容と、個人 PC に生成された不正なファイルのフォルダーパス、フォルダー名、不正なファイルの命名規則、ファイル生成順序等、多数の振る舞いが一致した。

このうち、ファイル生成位置における類似点は以下の図の通りである。

[図7] 侵害を受けた個人 PC と topkeygen サイトで配布される不正なファイルのファイル生成位置における類似点

不正なファイルが実行された後、侵害を受けた個人 PC から cio.exe.com、orrore.exe.com、certe.exe.com 等の疑わしいファイルの実行の痕跡が発見されたものの、それらのファイルは実行後に削除され、ファイルを確保することはできなかった。しかしながら、システムで確認された痕跡が RedLine Stealer 系列の不正なファイルへの感染システムにおいて見られる事柄と類似している点からして、それらのファイルは RedLine Stealer 系列の不正なファイルと判断できる。

システムで確認された Redline Stealer の不正なファイルへの感染が疑われる痕跡

  • findstr.exe 使用
  • 7Zip SFX 圧縮ファイル使用 (パス : %Temp%\7ZipSfx.000\)
  • 不正なファイル名 (cio.exe.com)
  • 二重ファイル拡張子の使用 (.exe.com)
  • Web ブラウザのクレデンシャル情報のスキャン、収集活動 (Chrome、Edge ブラウザの Login Data, Cookies, Web Data)

Web ブラウザのクレデンシャル情報のスキャン行為は、Microsoft Windows Defender のログファイルである MPLog において、7月10日 Orrore.exe.com が Web ブラウザのアカウント/パスワードが記録された Login Data ファイルをスキャンした痕跡が発見された。

[図8] Orrore.exe.com が Login Data にアクセスした痕跡(MPLog-20210710-015710.log)

Redline Stealer の不正なファイルにより Web サイトに保存されたアカウント情報が流出された。アカウントリストには企業の VPN サイトとアカウント/パスワード情報が含まれていた。

[図9] Login Data に保存された VPN サイトとアカウント/パスワード情報

流出したアカウントは数か月後、組織のイントラネット侵害に利用された。

[IOC 情報]

侵害を受けたシステムにおいて Redline Stealer マルウェアと判断できる痕跡は確認されているが、不正なファイルは削除されているため不正なファイルの Hash は確保することができなかった。

cio.exe.com
orrore.exe.com
certe.exe.com
18.188.253.6

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments