Log4Shell の脆弱性を悪用する Lazarus グループ (NukeSped)

昨年12月、Java ベースのロギングユーティリティである Log4j の脆弱性(CVE-2021-44228)が世界的に問題となった。この脆弱性は、リモート先の Java オブジェクトのアドレスをログメッセージに含ませ Log4j を使用するサーバーに転送すると、サーバーから Java オブジェクトを実行できるリモートコード実行の脆弱性である。

https://asec.ahnlab.com/jp/29622/

ASEC 分析チームは、Lazarus グループの韓国国内をターゲットとする攻撃をモニタリングしており、4月に Lazarus グループと推定される攻撃グループがこの脆弱性を悪用して NukeSped マルウェアを配布した状況を補足した。攻撃者は、セキュリティパッチが適用されていない VMware Horizon 製品に log4j 脆弱性を使用した。VMware Horizon 製品は仮想化デスクトップソリューションとして、企業がリモート勤務ソリューションとクラウドインフラの運用のために使用する製品である。特に最近は新型コロナウイルスの影響により在宅勤務に切り替えた企業が増加したことで、この製品を使用する企業も増加したものと推定される。


NukeSped

以下は VMware Horizon の ws_tomcatservice.exe プロセスにより PowerShell コマンドが実行され、NukeSped をインストールする振る舞いに対する当社 ASD(AhnLab Smart Defense)のログである。

[図1] NukeSped インストールの ASD ログ


NukeSped の解析

NukeSped は C&C サーバーから攻撃者のコマンドを受け取り実行できる、バックドア型マルウェアである。ここで扱うマルウェアは NukeSped の変種の一つで、2020年頃から Lazarus グループが使用している。この変種に関しては以下の ASEC ブログで詳細に取り上げたことがあり、この項目では攻撃に使用された NukeSped のタイプに関する簡単な紹介、そして過去バージョンとの比較を整理していく。

https://asec.ahnlab.com/jp/28588/

この変種の特徴は C++ で開発されており、仮想関数を使用することにより [図2] のようなクラス名がバイナリに含まれているという点である。

[図2] NukeSped のクラス名

そして一般的に DES アルゴリズムを使用して API 名を含む内部文字列、C&C サーバーリストを復号化し、C&C サーバーとの通信には RC4 アルゴリズムを使用するといった特徴を持っている。一方で若干の変形も存在するが、過去ブログでは C&C サーバーとの通信に RC4 アルゴリズムの代わりに Xor 暗号化(CryptorXor クラス)を利用するタイプがあったのに対し、今回の攻撃では内部文字列、C&C サーバーリストだけでなく、C&C サーバーとの通信にもすべて RC4 アルゴリズムを使用するタイプが確認された。このとき、RC4 キーは異なる値を使用する。

  • RC4 Key 1 (文字列の復号化) : 7B CA D5 7E 1B AE 26 D8 60 1B 61 DA 83 80 11 72 01 6C 54 D8 8A E8 DE 7B 1A 0A
  • RC4 Key 2 (C&C 通信) : CD 80 5D D6 6C 1C 63 78 AF 13 7F 67 5B E9 B1 F4 87 27 EE 91 F3 5F 17 EE 9B 6A 28 61 8C F4
[図3] 文字列の復号化に使用される RC4 キー

文字列の復号化および API Resolving プロセスが完了すると、その後は C&C サーバーと通信を開始する。NukeSped は C&C サーバーとの接続が行われた後、さらなる検証プロセスを実行するが、C&C サーバーに SSL 通信を装った文字列を転送した後、特定の文字列を渡されると、正常な C&C サーバーと認識して以降のルーティンを実行する。ここに使用される文字列は、過去の解析レポートと同じく2種類が存在する。

C&C リクエストC&C レスポンス
Type 1HTTP 1.1 /index.php?member=sbi2009 SSL3.3.7HTTP 1.1 200 OK SSL2.1
Type 2HTTP 1.1 /member.php SSL3.4HTTP 1.1 200 OK SSL2.1
[表1] タイプ別 C&C リクエストおよびレスポンスの値

その後、ユーザー環境の MAC アドレスを取得し、RC4 アルゴリズムにより暗号化して C&C サーバーに伝達し、その後も同様にパケットを RC4 アルゴリズムにより暗号化して通信を行う。

[図4] C&C サーバーとの通信プロセス

NukeSped は渡されたコマンドによりキーロガー、スクリーンキャプチャ、ファイルおよび Shell タスクを実行することができるが、これらの機能は以下のクラスに存在する。参考に、ModuleUsbDump、ModuleWebCamera の2種類のモジュールは今回の攻撃で新たに確認された機能である。

  • ModuleUpdate
  • ModuleShell
  • ModuleFileManager
  • ModuleKeyLogger
  • ModuleSocksTunnel
  • ModuleScreenCapture
  • ModuleInformation
  • ModulePortForwarder
  • ModuleUsbDump
  • ModuleWebCamera


NukeSped を利用した攻撃

INFOSTEALER インストール

攻撃者は NukeSped を利用して情報窃取型マルウェアをさらにインストールしていた。確認された2つのマルウェアはどちらもコンソール形式のプログラムであり、流出結果を別途のファイルとして保存しない。したがって、攻撃者はユーザー PC の GUI 画面を遠隔操作したか、パイプライン形式でデータを流出させたものと推定される。参考に、確認された情報窃取型マルウェア2つのうち一方は、以前の攻撃で使用されたものと同じファイルであることが特徴である。

[図5] 収集する情報リスト

情報流出対象のソフトウェアのリストおよびデータは以下の通りである。

  • 収集データ:ブラウザに保存されたアカウント/パスワード、閲覧履歴
    対象ソフトウェア:Google Chrome、Mozilla Firefox、Internet Explorer、Opera、Naver Whale

  • 収集データ:メールのアカウント情報
    対象ソフトウェア:Outlook Express、MS Office Outlook、Windows Live Mail

  • 収集データ:最近使用したファイル名
    対象ソフトウェア:MS Office(PowerPoint、Excel、Word)、アレアハングル2010
NUKESPED が使用するコマンド

攻撃者は、バックドア型マルウェアである NukeSped を利用してコマンドラインのコマンドを伝達し、さらなる情報を収集していた。以下のコマンドは、感染システムが存在する環境の基本的なネットワーク情報とドメイン情報を示している。このようにして収集した情報は、その後ラテラルムーブメント攻撃に使用される場合があり、成功すると攻撃者はドメイン内のシステムを掌握することができる。

  • cmd.exe /c “ping 11.11.11.1”
  • cmd.exe /c “ipconfig /all”
  • cmd.exe /c “query user”
  • cmd.exe “net group “domain admins” /domain”
  • net user _smuser white1234!@#$
  • cmd.exe “net localgroup administrators /add smi140199”


Jin Miner

参考に、感染システムの ASD ログを解析した結果、Lazarus グループが NukeSped をインストールする前に、すでに他の攻撃者がその脆弱性を悪用して Jin Miner をインストールしたログが同時に存在していた。Jin Miner は過去の Sophos のレポートですでに Log4Shell の脆弱性によって配布されるマルウェアとして知られている。

[図6] Jin Miner インストール ASD ログ

PowerShell コマンドによって上記のアドレスからインストールされる Jin Miner は、最終的にモネロコインを採掘する CoinMiner マルウェアである。

[図7] Jin Miner をインストールするスクリプト add.bat ファイル
[図8] Jin Miner の設定ルーティン

[IOC]
NukeSped (MD5、検知名、エンジンバージョン)
– 87a6bda486554ab16c82bdfb12452e8b (Backdoor/Win.NukeSped.R487407) (2022.04.23.02)
– 830bc975a04ab0f62bfedf27f7aca673 (Trojan/Win.Andardoor.C5094639) (2022.04.21.01)
– 131fc4375971af391b459de33f81c253 (Backdoor/Win.NukeSped.R486619) (2022.04.21.00)
– 827103a6b6185191fd5618b7e82da292 (Backdoor/Win.NukeSped.R486595) (2022.04.20.03)
– 1875f6a68f70bee316c8a6eda9ebf8de (Backdoor/Win.NukeSped.R486595) (2022.04.20.03)

InfoStealer (MD5、検知名、エンジンバージョン)
– 85995257ac07ae5a6b4a86758a2283d7 (Infostealer/Win.Pwstealer.C4510631) (2021.06.04.03)
– 47791bf9e017e3001ddc68a7351ca2d6 (Backdoor/Win.NukeSped.C4631988) (2021.09.15.01)

NukeSped ダウンロードアドレス
– hxxp://185.29.8[.]18/htroy.exe

NukeSped C&C アドレス
– 185.29.8[.]18:8888
– 84.38.133[.]145:443
– 84.38.133[.]16:8443
– mail.usengineergroup[.]com:8443

NukeSped ファイル名
– svc.exe
– srvCredit.exe
– runhostw.exe
– javarw.exe


Jin Miner (MD5、検知名、エンジンバージョン)
– 7a19c59c4373cadb4556f7e30ddd91ac (CoinMiner/BAT.Generic) (2022.05.11.03)
– c2412d00eb3b4bccae0d98e9be4d92bb (CoinMiner/BAT.Generic) (2022.05.11.03)
– 8c8a38f5af62986a45f2ab4f44a0b983 (Win-Trojan/Miner3.Exp) (2020.01.29.00)
– 7ef97450e84211f9f35d45e1e6ae1481 (Win-Trojan/Miner3.Exp) (2020.01.29.00)
– dd4b8a2dc73a29bc7a598148eb8606bb (Unwanted/Win32.NSSM.R353938) (2020.10.27.00)

Jin Miner ダウンロードアドレス
– hxxp://iosk[.]org/pms/add.bat
– hxxp://iosk[.]org/pms/mad.bat
– hxxp://iosk[.]org/pms/jin.zip
– hxxp://iosk[.]org/pms/jin-6.zip

5 1 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments