ASEC 分析チームは、5月26日に AppleSeed マルウェアが無線 LAN ルーターのファームウェアインストーラーに偽装して拡散している状況を捕捉した。既知の AppleSeed は、主に正常なドキュメントファイルや画像ファイルに偽装して拡散していた。AppleSeed を生成する Dropper マルウェアは JS(Java Script)、VBS(Visual Basic Script)のようなスクリプトフォーマットを使用し、実行ファイルもドキュメントファイルに偽装した pif 拡張子を持っているが、今回の事例においては、以下のようなインストールプログラムに偽装したアイコンとファイル名を使用していた。

- ファイル名 : firmware upgrade installer.exe
https://asec.ahnlab.com/jp/33007/
EXE 実行ファイルの動作方式については、ユーザーが当該ファイルを実行すると、以下のような特定の無線 LAN ルーターのファームウェアアップデートのインストールに偽装したポップアップが表示される。(この無線 LAN ルーターのファームウェアと AppleSeed マルウェアは関係なし) 参考に、以前のドキュメントファイルに偽装していたタイプでは、実行するとドキュメントおよび画像ファイルを表示させ、ユーザーがドキュメントや画像を正常に実行したと思わせるようにしていた。
ポップアップウィンドウの[ OK]ボタンをクリックすると、EXE は中に入っている「ShellExecuteExW」 API に「iptime.com」を API パラメータで渡し、まるでファームウェアアップデートが正常に行われ、製造元のホームページにアクセスしたかのように見せている。

Web サイトへのアクセスと同時に、ユーザー PC のバックグラウンドでは AppleSeed マルウェアがインストールされる。AppleSeed はバッグドア型のマルウェアとして、C&C サーバーからの命令を受けて情報窃取および追加マルウェアの生成など、様々な不正な振る舞いを行う。現在までの類似した事例を解析した結果、攻撃者はターゲット PC に遠隔制御のための RDP Patcher、HVNC、TightVNC および Metasploit と Meterpreter を追加でインストールしていた。
AppleSeed は以下のような正常なプログラムに偽装したパスで動作し、当社 ASD ログを確認した結果、攻撃者はまた別の AppleSeed を追加でインストールすることが確認された。
- AppleSeed インストールパス(1) : %ALLUSERSPROFILE%\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll
- AppleSeed インストールパス(2) : %ALLUSERSPROFILE%\Software\ControlSet\Service\ServiceScheduler.dll
参考に最近確認されている AppleSeed は Anti Sandbox 機能が含まれているが、DllInstall() 関数に不正なルーティンが含まれているため、 /s オプション以外にも、以下のような /i オプションによって追加で引数を受け取ってマッチしなければ正常に動作できない。
- AppleSeed 動作方式およびコマンドラインオプション(1) : regsvr32.exe /s C:\ProgramData\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll
- AppleSeed 動作方式およびコマンドラインオプション(2) : regsvr32.exe /s /n /i:123qweASDTYU C:\ProgramData\Software\ControlSet\Service\ServiceScheduler.dll
AppleSeed マルウェアは Kimsuky 組織の APT 攻撃で主に使用されるバックドアマルウェアとして、ASEC ブログで詳しく紹介したことがある。
このマルウェアは単独ではなく、ユーザーがマルウェアに感染したことを認知できないよう、おとりとなるドキュメントとともに実行されるようにして拡散している。最初は主にスピアフィッシングメールによって配布されるため、出どころが確かではないユーザーからの添付ファイルはなるべく実行しないよう、注意する必要がある。
[IOC]
MD5
(1) firmware upgrade installer.exe (39b39ca9cbf9b271590d06dfc68a68b7)
– Dropper/Win.AppleSeed.C5150014 (2022.05.30.02)
(2) firmware upgrade installer.exe (851e33373114fef45d0fe28c6934fa73)
– Dropper/Win.AppleSeed.C5145023 (2022.05.27.02)
(3) wmi-ui-99bbc08f.db (9ac572bdca96a833a40edcaa91e04c2b)
– Backdoor/Win.AppleSeed.C5145022 (2022.05.30.02)
(4) asd.dat (6b10482c939fc33c3a45a17f021df32b), ServiceScheduler.dll (c99f6d1c7c0d55ce1453dd08c87ee2b4)
– Backdoor/Win.AppleSeed.C5145020 (2022.05.27.02)
C&C
– hxxp://fedra.p-e[.]kr//
– hxxp://printware2.000webhostapp[.]com//
– hxxp://leomin.dothome[.]co.kr/update/?mode=login
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報