ASEC 分析チームでは、韓国国内で収集されているマルウェアの配布元をモニタリング中、Go 言語で開発された DDoS IRC Bot マルウェアが成人向けゲームに偽装し、ウェブハードを通じてインストールされている事実を確認した。ウェブハードは韓国国内の環境でマルウェアの配布に利用される代表的なプラットフォームとして、過去に njRAT や UDP Rat を拡散した事例がある。
最近確認されている配布事例は、基本的に上記リンクの記事で取り扱った事例と類似しており、同じ攻撃者が現在でもマルウェアを配布しているものと見られる。成人向けゲームに偽装してマルウェアを配布する点以外にも、ダウンローダーマルウェアを経て DDoS マルウェアをインストールする点、そして UDP Rat マルウェアが使用されていたという点が類似点としてあげられる。
相違点について言及すると、従来は C# 言語を利用してダウンローダーマルウェアを開発していたのに対し、現在は Go 言語(GoLang)を利用してダウンローダーマルウェアを製作しているという点がある。このほかにも、公開されたオープンソースである Simple-IRC-Botnet、すなわち Go 言語で開発された DDoS IRC Bot マルウェアが UDP Rat 以外にも追加で使用されている。
Go 言語は開発のレベルが低く、クロスプラットフォームをサポートする等の様々な長所から、多くの攻撃者によって使われており、最近はその頻度が増加している。このような趨勢に合わせ、最近では韓国国内ユーザーをターゲットにする Korat マルウェアにおいても Go 言語を利用する事例が増加している。
まず、ウェブハードにおいて以下のように成人向けゲームに偽装したマルウェアがアップロードされていることが確認できる。
上記をアップロードした人物が直接的な攻撃者であるかどうかは不明だが、当該スレッド以外にも類似したスレッドにおいて、圧縮ファイルを利用して同じマルウェアを配布している。参考に、ゲームはすべて異なるが、圧縮ファイル内に含まれているマルウェアは以下で取り上げる内容とすべて同じである。
これらの攻撃に使用された成人向けゲームは、以下のようなパス名を含んでいる。すなわち、以下の名前に該当する圧縮ファイルによって拡散したという点が推測できる。
– [19韓国語版] hで始まる悪童ウィザード)
– [19韓国語版] 彼女が奴隷になった理由)
– [19韓国語版] 楽園歩きのリフレイン)
– [19韓国語版] 能Yok交換日記)
– [19韓国語版] 茶道部少女)
– [19韓国語版] リリア角の呪い)
– [19韓国語版] 魔法少女がいる学園)
– [19韓国語版] モンスターファイト)
– [19韓国語版] 夢幻のリリウム)
– [19韓国語版] 怒りのオールカット部長)
– [19韓国語版] さゆりの華麗なる日々)
– [19韓国語版] スレープコーポレーション)
– [19韓国語版] 田舎No出女学x)
– [19韓国語版] シルビアと薬の代価)
– [19韓国語版] 暗殺者アサシンアスカ)
– [19韓国語版] 彼女更生ゲーム)
– [19韓国語版] 予速スキルで理想郷作り)
– [19韓国語版] ウリエル&ベリアル)
– [19韓国語版] 委員長カナの場合)
– [19韓国語版] プリンセスラウンド)
– [19韓国語版] フローラと世界樹の根)
– [19韓国語版] 真夜中の露出)
– [19韓国語版] 現代に飛んでいったエルフ)
– [19韓国語版] ホムンクルスの研究記録)
ダウンロードした zip 圧縮ファイルを開くと、以下のようなファイルを確認できる。一般的に、ユーザーはゲームを起動するために以下の「Game_Open.exe」ファイルを実行する。
しかし、「Game_Open.exe」はゲームプログラムではなく、別のマルウェアを実行させるためのランチャーマルウェアである。具体的に説明すると、同じパス上に位置する「PN」ファイルを「scall.dll」に変更および実行し、元のゲーム実行ファイルである「index」を「Game.exe」にコピーして実行する。これにより、ユーザーはゲームが正常に起動したと認知することになる。
ここまでのプロセスが完了すると、元の「Game_Open.exe」ファイルを隠し属性に変更するため、ユーザーは以降コピーされたゲームプログラムである「Game.exe」を使用することになる。これとは別に、「scall.exe」の名前に変更および実行された「PN」ファイルはマルウェアである。このマルウェアは、まず同じパス上に位置していた「srt」ファイルを C:\Program Files\EdmGen.exe に移動させる。
その後、以下のようなコマンドによってタスクスケジューラに「EdmGen.exe」マルウェアを登録して定期的に実行されるようにする。
“C:\Windows\System32\cmd.exe” /c SCHTASKS /CREATE /SC ONSTART /NP /TN “Windows Google” /TR “C:\Program Files\EdmGen.exe”
このプロセスを通して実行された「EdmGen.exe」、すなわち「srt」ファイルは正常なプログラムである vbc.exe を実行させ、ここにマルウェアをインジェクションする。Vbc.exe にインジェクションして実行されるマルウェアは過去のブログで整理した内容と同じく、ダウンローダーマルウェアである。違いがあるとすれば、C# で開発されたのではなく Go 言語で開発されたという点である。
このマルウェアは以下のように C&C サーバーに定期的に接続してダウンロードするマルウェアのアドレスを取得したあと、追加のマルウェアをインストールする。
- 追加のマルウェアをダウンロードするアドレス : hxxp://node.kibot[.]pw:8880/links/01-13
- ダウンロードされたマルウェアの生成先パス : C:\Down\discord_[ランダム]\[マルウェア名]
従来は追加でインストールされるマルウェアが、UDP Rat DDoS であった。しかし、今回確認されたタイプは UDP Rat DDoS マルウェア以外にも Go 言語で開発された Simple-IRC-Botnet マルウェアが確認された。
このマルウェアも DDoS Bot マルウェアであることは同じだが、C&C サーバーとの通信に IRC プロトコルが使用され、UDP Flooding 攻撃のみをサポートしていた従来の UDP Rat マルウェアとは異なり、TCP Flooding、UDP Flooding に加えて Slowris、Goldeneye、Hulk DDoS のような攻撃もサポートしているという点が特徴だといえる。
Golang DDoS IRC Bot は、実行すると特定の IRC サーバーに接続して攻撃者のチャンネルに入場する。その後、当該チャンネルで攻撃者がコマンドを渡した場合、そのコマンドにより攻撃対象に DDoS 攻撃を行うことができる。
– Golang DDoS IRC Bot マルウェアが使用する IRC サーバーのリスト
210.121.222[.]32:6667
157.230.106[.]25:6667
89.108.116[.]192:6667
176.56.239[.]136:6697
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
[ファイル検知]
Trojan/Win.Korat.C4914970 (2022.01.16.00)
Trojan/Win.Korat.R465157 (2022.01.16.00)
Trojan/Win.Korat.C4914985 (2022.01.16.00)
Downloader/Win.Korat.C4914968 (2022.01.16.00)
Downloader/Win.Korat.C4914972 (2022.01.16.00)
Downloader/Win.Korat.C4914976 (2022.01.16.00)
Downloader/Win.Korat.C4914977 (2022.01.16.00)
Downloader/Win.Korat.C4914979 (2022.01.16.00)
Downloader/Win.Korat.C4914980 (2022.01.16.00)
Downloader/Win.Korat.C4914997 (2022.01.16.00)
Trojan/Win.IRCGo.C4915003 (2022.01.16.00)
Trojan/Win.IRCGo.C4915004 (2022.01.16.00)
Trojan/Win.IRCGo.C4915005 (2022.01.16.00)
Backdoor/Win.UDPRat.R465188 (2022.01.16.00)
[IOC]
ファイル
– Game Launcher
affbad0bedccbf1812599fbce847d917
b21ad73be72280ae30d8c5556824409e
889289d9d97f7c31925a451700b4b7ac
2a7de90437c66b3f2304630c3324e2de
f14c51ca5d7afc1128cceca5d5a5694b
41320f572cdf14abc1401a72a24a621d
d38803b3f7c0faac71a3e572e9214891
5d97a32e47dfa54dd1bebde208252b88
12baeacfd0ac2d66c5959d6305a4fe50
– Launcher
b621005a147ef842fbc7198c8431724c
ba43e4c84da7600881ed5ccac070e001
b6ad8550dcd317a49c6e563a1188d9f0
db2db486b828182c827e4fdfc292e143
4c1777b5763bc7655d1ca89ae4774470
2357c1c6027f21094fa62a35300a96ae
28566a08334f37d7a8d244c393e9ad33
4b3eff9f394ebd2231c5c0b980c62e63
74834f29dd5d244742879c2d800e8a53
4b3eff9f394ebd2231c5c0b980c62e63
– Downloader
42a344fbad7a56e76c83013c677330ac
6b029fc7a0f480b7dd6158bba680e49b
5a74ea453f0b424770fdddaf470f5eae
12c97b2481efe448b93b72b80eb96563
1f993f08ed40f6b03db7f78ab8e087a5
005247fa9b312eb449150b52b38e0a4c
1f2147b2a0caeb43a9a3bcaf42808581
63ff6d1bb53cdd2d7b7fca856826c8b6
– UDP Rat
bff341b0c95eda801429a4b5c321f464
0fd264b12ea39e39da7807a117718429
af486a4e9fdc62ac31f8424a787a460c
2160629e9def4c9482b4fb642c0cd2d8
51cfd6c6390ce99979350a9a21471d30
194fb8590e1218f911870c54b5830f16
7b73a4e6e504800e256495861d0c9f78
57568755bac3f20fffb970a3c6386a43
55b6e07ff120b6c2e784c8900333aa76
bc18d787c4d886f24fa673bd2056e1ed
5be1ab1d5385d5aeadc3b498d5476761
1bc93ee0bd931d60d3cd636aa35176e3
a2fc31b9c6a23e0a5acc591e46c61618
977c52d51d44a0a9257017b72cfafab1
98e4f982363c70bd9e52e5a249fce662
– Golang DDoS IRC Bot
7f3bd23af53c52b3e84255d7a3232111
00b9bf730dd99f43289eac1c67578852
90bfa487e9c5e8fe58263e09214e565b
2fe8262d0034349a030200390b23b453
8053b24878c4243d8eda0ccae8905ccb
C&C サーバー
– ダウンローダーマルウェア
hxxp://organic.kibot[.]pw:2095/links/12-20
hxxp://node.kibot[.]pw:2095/links/12-20
hxxp://node.kibot[.]pw:2095/links/12-25
hxxp://node.kibot[.]pw:8880/links/12-28
hxxp://miix.kibot[.]pw:8880/links/12-28
hxxp://node.kibot[.]pw:8880/links/12-28
hxxp://node.kibot[.]pw:8880/links/01-13
– UDP Rat
195.133.18[.]27:1234
195.133.18[.]27:8080
195.133.18[.]27:9997
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報