Kimsuky グループの xRAT(Quasar RAT)拡散状況

2022年1月26日、ASEC 分析チームは Kimsuky 攻撃グループが xRAT (Quasar RAT ベースのオープンソース RAT)マルウェアを使用している状況を捕捉した。

当社 ASD(AhnLab Smart Defense)インフラによって確保されたログによると、攻撃者は Gold Dragon の変種を1月24日に初めて感染 PC にインストールした。確保されたファイルが Gold Dragon の変種であると推定する根拠は、以下の通りである。

  • 従来の Gold Dragon が使用しているインジェクション手法が同一 (iexplore.exe、svchost.exe 等にプロセスハロウイングを行う振る舞い)
  • 当社製品のリアルタイム検知ウィンドウクラス終了機能 (49B46336-BA4D-4905-9824-D282F05F6576)
  • ダウムクリーナー(daumcleaner.exe)プロセスの終了

攻撃者は Gold Dragon をインストールする際に専用のインストーラー(installer_sk5621.com.co.exe)によってインストールした。インストーラーは攻撃者のサーバーから GZip 形式で圧縮された Gold Dragon をダウンロードし、%temp% パスに「in[ランダムの4文字].tmp」で圧縮を解凍し、rundll32.exe によって実行する機能を持つ。

インストールされた Gold Dragon は計4つのエクスポート(Export)関数を持っている。

  • Perform
  • Process
  • Start
  • Work

インストーラーが Gold Dragon を最初に実行するとき、「Start」引数を渡して実行する。「Start」エクスポート関数が実行されると Gold Dragon は自分自身を特定パスにコピーしたあと、自動実行レジストリキーにコピーされた DLL を登録する。このとき、DLL 実行引数は「Perform」エクスポート関数が渡される。

[図1] レジストリ登録および自己複製先パス

今回確認された変種は、情報流出機能がモジュール化されたものと推定される。以下のように、Gold Dragon が主に使用するシステム情報を取得するコマンドの実行機能が、変種の Gold Dragon には存在しなかった。すなわちこれは、システム情報取得のために追加のペイロードが新たに攻撃者のサーバーからダウンロードされる可能性があることを意味する。

  • cmd.exe /c ipconfig/all >>”%s” & arp -a >>”%s”
  • cmd.exe /c systeminfo >>”%s”
  • cmd.exe /c tasklist >>”%s”

このように、攻撃者はシステムプロセスを通じて情報を取得するのではなく、システムの遠隔操作が可能な xRAT(ファイル名:cp1093.exe)を感染 PC に追加でインストールし、情報窃取機能を実行していた。cp1093.exe が実行されると「C:\ProgramData\」パスに正常な PowerShell プロセス(powershell_ise.exe)をコピーしたあと、プロセスハロウイング手法によって xRAT を実行する。

[図2] xRAT マルウェア

このほかにも、攻撃者は xRAT の配布と同時に、ターゲット PC に存在する過去に攻撃を実行した痕跡を削除するための追加ファイル(UnInstall_kr5829.co.in.exe)を配布する緻密さが確認されている。

[図3] 感染の痕跡を削除する関連コード

AhnLab では、このような APT 形式の攻撃を継続的にモニタリングおよび対処にあたっているが、ユーザーは出どころが不明なメールの添付ファイルを閲覧しないようにし、セキュリティ製品のアップデートを行い、常に最新の状態を維持することで情報流出被害を予防しなければならない。

[IOC]

[インストーラー]
Installer_sk5621.com.co.exe (40b428899db353bb0ea244d95b5b82d9)
検知名(エンジンバージョン) : Downloader/Win.Akdoor.C4936791 (2022.01.28.02)

[Gold Dragon]
glu32.dll (4ea6cee3ecd9bbd2faf3af73059736df)
検知名(エンジンバージョン) : Backdoor/Win.Akdoor.C4936792 (2022.01.28.02)
C&C : https[:]//sk5621.com[.]co

[xRAT]
cp1093.exe (070f0390aad17883cc8fad2dc8bc81ba)
検知名(エンジンバージョン) : Backdoor/Win.XRat.C4936798 (2022.01.28.02)
C&C : 45.77.71[.]50:8082

[アンインストーラー]
UnInstall_kr5829.co.in.exe (b841d27fb7fee74142be38cee917eda5)
検知名(エンジンバージョン) : Trojan/Win.Akdoor.C4936809 (2022.01.28.02)

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments