ASEC 分析チームでは、過去に BitRAT マルウェアが Windows OS ライセンス認証ツールに偽装して配布されている状況を以下のブログに掲載した。最近、この BitRAT マルウェアは配布ファイルを変更して Office インストールプログラムを通じて被害者をおびき寄せている。
https://asec.ahnlab.com/jp/32753/
以下はウェブハードにアップロードされたマルウェアが含まれたスレッドであり「[最新][お得]Office 2021 インストール + 永久ライセンス認証」というタイトルである。
ダウンロードしたファイルは[図3]、[図4]のように、過去のブログで取り上げたものと同様、「Program.zip」という圧縮ファイルであり、スレッドの説明通りパスワードは「1234」で暗号圧縮されている。圧縮ファイルの中には「OInstall.exe」という Office インストールプログラムが含まれている。
被害者のもとに表示される画面は[図5]のように Office ダウンロードプログラムであるが、実際のダウンローダーマルウェアは[図6]のように Windows スタートアッププログラムフォルダーにマルウェアをインストールする。一般的に最初にインストールされるものは同じタイプのダウンローダーマルウェアであり、このようにして実行されたダウンローダーは最終的に BitRAT マルウェアを %TEMP% パスに「Software_Reporter_Tool.exe」という名前でインストールする。
以下は BitRAT マルウェアの機能である。
1. ネットワーク通信方式
– TLS 1.2 を利用した暗号化された通信
– Tor を利用した通信
2. 基本制御
– プロセスマネージャー
– サービスマネージャー
– ファイルマネージャー
– Windows マネージャー
– ソフトウェアマネージャー
3. 情報窃取
– キーロガー
– クリップボードロガー
– Web カメラロガー
– オーディオロガー
– Web ブラウザのようなアプリケーションのアカウント情報窃取
4. 遠隔操作
– リモートデスクトップ
– hVNC (Hidden Desktop)
5. プロキシ
– SOCKS5 Proxy : UPnP を利用したポートフォワーディング機能の提供
– Reverse Proxy : SOCKS4 Proxy
6. コインマイニング
– XMRig CoinMiner
7. その他
– DDoS 攻撃
– UAC Bypass
– Windows Defender の無効化
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
AhnLab 製品では、これらのマルウェアを以下の通り検知している。
[ファイル検知]
– Downloader/Win.BitRAT.C5018635 (2022.03.22.03)
– Downloader/Win.BitRAT.R479001 (2022.03.22.03)
– Backdoor/Win.BitRAT.C5023733 (2022.03.22.03)
[ビヘイビア検知]
– Malware/MDP.Download.M1197
[IOC]
ダウンローダーマルウェア MD5
8efb366f0adeeb32e66ea03eff4f50f8
56fbf1d1f2737a2d3c05b2dbc7bb0ca6
72869b470b5fe354db412283b4172a47
08634ba1bdf3d4594887a9a7a44c7ab1
BitRAT MD5
d632849a9033f24257439988533d31f2
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報