ASECチームでは最近、BitRAT マルウェアがウェブハードを通じて拡散していることを確認した。攻撃者は Windows 10 の認証ツールを装ってマルウェアを製作しているため、ユーザーが Windows のライセンス認証のためにウェブハードから違法な認証クラックツールをダウンロードしてインストールすると、BitRAT マルウェアがインストールされることがある。
以下はウェブハードにアップロードされたマルウェアが含まれるスレッドであり、「翻訳:[最新][超簡単]Windows ライセンス認証[ワンクリック]」というタイトルである。
ダウンロードされるファイルは「Program.zip」という圧縮ファイルであり、スレッドの説明通りパスワード「1234」で暗号化されている。圧縮ファイル内部には以下のように「W10DigitalActivation.exe」という Windows 10 ライセンス認証ツールが含まれている。
「W10DigitalActivation.exe」は 7z SFX ファイルであり、内部に実際の認証ツールである「W10DigitalActivation.msi」と、マルウェア「W10DigitalActivation_Temp.msi」を含んでおり、ユーザーがこれをダブルクリックすると2つのファイルを同時にインストールする。すなわち、マルウェアと認証ツールが両方実行されるため、ユーザーは以下のようにライセンス認証ツールが正常に実行されたものと考えてしまう。
「W10DigitalActivation_Temp.msi」はファイル名の拡張子とは異なり exe フォーマットであり、さらなるマルウェアをダウンロードするダウンローダーマルウェアである。実行すると以下のように内部に含まれている C&C サーバーに接続するが、この時は暗号化された文字列を受け取っている。その後、この文字列を復号化して最終的に追加のペイロードに対するダウンロード URL を取得する。
ダウンローダーマルウェアは Windows スタートアッププログラムフォルダーにマルウェアをインストールして、自己削除する。一般的に最初にインストールされるものは同じタイプのダウンローダーマルウェアであり、このようにして実行されたダウンローダーは最終的に BitRAT マルウェアを %TEMP% パスに「Software_Reporter_Tool.exe」という名前でインストールする。
参考に、このダウンローダーマルウェアは単純な形式ではなく、いくつかの追加機能が存在する。例えば、以下のように PowerShell コマンドを利用してダウンローダーマルウェアをインストールする Windows スタートアッププログラムフォルダーのパスを Windows Defender の例外パスとして登録し、BitRAT のプロセス名「Software_Reporter_Tool.exe」を Windows Defender の例外プロセスに登録することがある。
韓国国内ユーザーをターゲットとするのに頻繁に利用されるプラットフォームであるウェブハードを使っているという点や、以下のようにコードに韓国語文字列が含まれていることからして、攻撃者は韓国語ユーザーと推定される。
最終的にインストールされるマルウェアは BitRAT という RAT(Remote Access Trojan)マルウェアである。BitRAT は2020年頃からハッキングフォーラムを通じて販売され始め、現在まで複数の攻撃者によって使用され続けている。
RAT マルウェアであることにより、攻撃者は BitRAT に感染したシステムの制御を取得する可能性がある。BitRAT はプロセスタスク/サービスタスク/ファイルタスク/リモートコマンドの実行等、感染システムの基本的な制御機能以外にも、様々な情報窃取機能や HVNC、リモートデスクトップ、コインマイニング、プロキシを提供している。
以下は BitRAT が提供している機能を整理したものである。
1. ネットワーク通信方式
– TLS 1.2 を利用した暗号化された通信
– Tor を利用した通信
2. 基本制御
– プロセスマネージャー
– サービスマネージャー
– ファイルマネージャー
– Windows マネージャー
– ソフトウェアマネージャー
3. 情報窃取
– キーロガー
– クリップボードロガー
– Web カメラロガー
– オーディオロガー
– Web ブラウザのようなアプリケーションのアカウント情報窃取
4. 遠隔操作
– リモートデスクトップ
– hVNC (Hidden Desktop)
5. プロキシ
– SOCKS5 Proxy : UPnP を利用したポートフォワーディング機能の提供
– Reverse Proxy : SOCKS4 Proxy
6. コインマイニング
– XMRig CoinMiner
7. その他
– DDoS 攻撃
– UAC Bypass
– Windows Defender の無効化
参考に、BitRAT は AveMaria マルウェアのように公開された TinyNuke のコードを借用していることが特徴である。以下は、TinyNuke の hVNC、すなわち Hidden Desktop 関連のルーティンと BitRAT のコードを比較した画像である。
TinyNuke は Reverse SOCKS4 Proxy 機能および Hidden Desktop 機能において、どちらにも「AVE_MARIA」というシグネチャ文字列を認証に利用しているという特徴がある。AveMaria の場合、TinyNuke から Reverse SOCKS4 Proxy 機能を借用しており、当該文字列によって名前が付けられた。BitRAT は Hidden Desktop 機能を借用しており、シグネチャ文字列は同じである。
参考に、TinyNuke は過去に Kimsuky グループにおいても使用された経歴があり、様々な機能の中から Hidden Desktop 機能だけを借用して使用している。
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
AhnLab 製品では、これらのマルウェアを以下の通り検知している。
[ファイル検知]
– Trojan/Win.MalPacked.C5007707 (2022.03.12.04)
– Dropper/Win.BitRAT.C5012624 (2022.03.16.02)
– Downloader/Win.Generic.C5012582 (2022.03.16.01)
– Downloader/Win.Generic.C5012594 (2022.03.16.01)
– Backdoor/Win.BitRAT.C5012593 (2022.03.16.01)
– Backdoor/Win.BitRAT.C5012748 (2022.03.16.02)
[ビヘイビア検知]
– Malware/MDP.AutoRun.M1288
[IOC]
Dropper マルウェア MD5
6befd2bd3005a0390153f643ba248e25
ダウンローダーマルウェア MD5
60ee7740c4b7542701180928ef6f0d53
c4740d6a8fb6e17e8d2b21822c45863b
BitRAT MD5
b8c39c252aeb7c264607a053f368f6eb
e03a79366acb221fd5206ab4987406f2
ea1b987a7fdfc2996d5f314a20fd4d99
54ef1804c22f6b24a930552cd51a4ae2
ダウンローダーマルウェアの C&C サーバー
– hxxp://cothdesigns[.]com:443/1480313
– hxxp://cothdesigns[.]com:443/4411259
– hxxp://jmuquwk.duckdns[.]org:443/1480313
– hxxp://nnmmdlc.duckdns[.]org:443/1480313
追加ペイロードのダウンロードアドレス – ダウンローダー
– hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe
– hxxp://108.61.207[.]100:443/v/V_5248849.exe
追加ペイロードのダウンロードアドレス – BitRAT
– hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe
– hxxp://108.61.207[.]100:443/result/A_1146246.exe
BitRAT C&C
– z59okz.duckdns[.]org:5223
– cothdesigns[.]com:80
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報