GitHub でソリューションファイル(*.sln)を装って配布される RAT ツール

ASEC 分析チームでは最近、GitHub でソリューションファイル(*.sln)を装って RAT ツールが配布されていることを確認した。[図1]はマルウェアの配布者が GitHub に「Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022」というタイトルでソースコードを共有した内容である。プログラムの構成ファイルが正常に表示されているが、このうちソリューションファイル(*.sln)は RAT ツールである。このような方法でマルウェアの配布者は RAT ツールをソリューションファイル(*.sln)に見せかけて実行を誘導する。一般的にプログラマーはソリューションファイルが含まれたコードを受け取り、プロジェクトを開くためにソリューションファイルをオープンする。このような心理を利用したソーシャル・エンジニアリングの手法に対する注意が必要である。

[図1] GitHub に公開された偽装ファイル

上記のファイルを受け取ると、以下の[図2]のような復数のファイルが存在する。[図2]のフォルダーオプションは「登録されている拡張子は表示しない」が解除された状態である。このうち、ソリューションファイル(*.sln)のアイコンを持つファイルは表記されている名前もソリューションファイルのように見えるため、実行に注意が必要である。これは、ユーザーの実行を誘導するための目的で製作されたマルウェアであり、種類をよく見るとスクリーンセーバーであることがわかる。Windows 環境における .scr ファイルは実行が可能な拡張子であるため、実行するとマルウェアに感染する。

[図2] ダウンロードしたファイルのリスト
[図3] AsyncRAT C2 の復号化

ソリューションファイルに偽装したマルウェアはファイル検知を回避するためにファイルのアウトラインを変更させるクリプターツールを使用しており、実行すると Windows の正常なプログラムである AppLaunch.exe、RegAsm.exe、InstallUtil.exe にインジェクションして実行され、最終的に実行されるマルウェアは RAT ツールである。

[図4] マルウェアを ZIP ファイルで圧縮したデータ

GitHub と Windows エクスプローラーの拡張子がソリューションファイル(*.sln)のように見える原理は、ファイルを圧縮することで確認が可能である。過去、ASEC ブログに掲載した内容のように[図4]の「RIGHT-TO-LEFT OVERRIDE」を意味する Unicode 文字を使用するためである。

このように、最近多くのユーザーがアクセスする GitHub において、マルウェアの配布者が悪意を持ってソースコードに関連するファイルではなく、マルウェアをソリューションファイル(*.sln)に見せかけて配布する事例が増加している。ユーザーは、信頼できない作成者が公開した内容を閲覧する際は、注意を払わなければならない。また、使用しているアンチウイルスソフトのバージョンを常に最新にアップデートして管理する注意が必要とされる。

AhnLab V3 では、これらのマルウェアに対して以下の通り検知している。

[ファイル検知]

  • Trojan/Win.Leonem.C5218555 (2022.08.04.00)
  • Trojan/Win.Agent.C4526491 (2021.06.30.03)
  • HackTool/Win32.Vbinder.R12127 (2015.02.14.01)
  • Trojan/Win.SmokeLoader.R510280 (2022.08.12.04)
  • Trojan/Win.MSILZilla.C5129545 (2022.05.15.02)
  • Trojan/Win.Generic.C5198415 (2022.07.08.03)

[ビヘイビア検知]

  • Malware/MDP.Inject.M3037
  • Execution/MDP.Powershell.M3991
  • Malware/MDP.AutoRun.M1037
  • Execution/MDP.SystemManipulation.M1788
  • Malware/MDP.Inject.M1252

[IOC 情報]

  • hxxps://github.com/emanuelandrei/Jpg-Png-Exploit-Downloader-Fud-Cryter-Malware-Builder-Cve-2022
  • 0cfa5f7c008e3dc2df275a99aef9cbbb // Jpg Photo Exploit Proj‮nls..scr
  • b1f02c7efc154019e9f1974939e204b9
  • hxxps://github.com/VortexRadiation/VenomControl-Rat-Crack-Source
  • 98d7999986d63fbd914bddc3d7b7ecf9 // Venom Control Client‮nls.
  • 8b662719e44ab11419fe3e1d7e96cc03
  • hxxps://github.com/VortexRadiation/Jpg-Png-Exploit-Downloader-Fud-Cryter-Malware-Builder-Cve-2022
  • 9a01d2f0aad78bcc4a4ca07552154ee1 // Jpg Photo Exploit Proj‮nls.
  • hxxps://github.com/Lessermask/Discord-Image-Token-Password-Grabber-Exploit-Cve-2022
  • 9fd996ce42d667ba01c902124bf95f6d // Discord Image Token Grabber‮nls.

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments