2022年4月、AhnLab は ASEC ブログ(INITECH プロセスを悪用する Lazarus 攻撃グループの新種マルウェア、https://asec.ahnlab.com/jp/33733/)で Lazarus 攻撃グループがマルウェアの感染のために INITECH のプロセスを悪用するという内容を紹介した。
このブログでは、Lazarus 攻撃グループが水飲み場型攻撃(Watering Hole)の手法によってシステムのハッキングに成功したあと、内部ネットワーク内のシステムをさらにハッキングするために Dream Security 社の製品の MagicLine4NX の脆弱性を利用し、脆弱なドライバを利用してアンチウイルスプログラムを無力化しているという内容を共有する。
初期侵入
攻撃者は対象となるシステムに侵入するために「水飲み場型攻撃(Watering Hole)」手法を使用している。韓国国内の Web サイトをハッキングしたあと、そのサイトから提供されるコンテンツを改ざんする。特定の IP からアクセスする場合にのみ動作することからして、特定の企業や組織を狙っているものと推定される。
脆弱な INISAFECrossWebEX を使用しているユーザーの PC が当該サイトに Web ブラウザでアクセスすると、INISAFECrossWebEXSvc.exe の脆弱性によりマルウェア配布サイトから Lazarus マルウェア(SCSKAppLink.dll)がダウンロードされ、実行される。
マルウェアの感染に脆弱なバージョンの INISAFECrossWebEXSvc.exe プロセスが悪用されているため、当該ソフトウェアを使用している PC は必ず最新のセキュリティパッチを適用しなければならず、使用していない場合は削除するべきである。
内部システムへのアクセス
MagicLine4NX 脆弱性の利用
攻撃者は、内部システムにアクセスするために MagicLine4NX(証明書認証、電子署名およびデータの暗号化/復号化機能を遂行するソリューション)の脆弱性を利用する。
MagicLine4NX 1.0.0.17 以下のバージョンでは CVE-2021-26606 脆弱性(https://krcert.or.kr/data/secInfoView.do?bulletin_writing_sequence=36173) (韓国語外部サイト)が存在する。この脆弱性はバッファオーバーフローの脆弱性によりリモートで任意のコマンドを転送し、マルウェア感染等の被害を誘発することがある。
攻撃者は MagicLine4NX プロセスを利用して ftp.exe に悪意のあるスレッドをインジェクションさせ、不正な振る舞いを実行する。ftp.exe が使われた理由としては、MagicLine4NX にはプロトコル(http、ftp)に応じて入力を受けるアプリケーションをコールする機能があるが、脆弱性攻撃の時にこの機能が使用され、ftp.exe に悪意のあるスレッドがインジェクションされるものと推定される。
Symantec のブログ(Lazarus、化学分野を標的に 2022.05.10, https://symantec-enterprise-blogs.security.com/blogs/japanese/lazarushuaxuefenyewobiaodeni)によれば、Lazarus グループは WMI を使用してリモートシステムの MagicLine4NX を呼び出し、悪意のあるスレッドをインジェクションすることが確認された。
攻撃者は、脆弱な MagicLine4NX を悪用してイントラネットのシステムを掌握していくため、MagicLine4NX 1.0.0.17 以下のバージョンを使用している場合、必ず最新バージョンにアップデートするべきである。
RDP アクセス
攻撃者は、内部システムにアクセスするために RDP を使用することもある。アクセスしたあとは、以下のような不正な振る舞いを実行する。
まず、操作権限の維持のためにバックドアを生成し、バックドアが通信を行う TCP 60012 ポートをホストファイアウォールで許可する。その後、バックドアファイルを生成してサービスに登録し、操作権限を維持する。 さらに、ルートキットマルウェアと脆弱な DLL およびドライバを生成して、セキュリティ製品を無力化する。
SSH アクセス
攻撃者は、内部ネットワークに存在するシステムの SSH サーバーに root アカウントでログインを試みる。
マルウェアによる V3 の無力化
BYOVD 手法の使用
攻撃者はシステムのセキュリティ製品を無力化させるため、BYOVD(Bring Your Own Vulnerable Driver、脆弱なドライバモジュールによる攻撃)手法を使用する。BYOVD はハードウェアベンダーの脆弱なドライバモジュールを悪用する方式の攻撃であり、ドライバの権限を利用するためカーネルメモリ領域に読み書きすることが可能であり、セキュリティ製品を含むシステム内のすべての監視プログラムを無力化できる。
アンチウイルス無力化プロセス
- MagicLine4NX が ftp.exe に悪意のあるスレッドをインジェクションする。
- ftp.exe がルートキットファイルを生成する。
- ルートキットが脆弱な DLL およびドライバファイルを生成し、サービスに登録する。
- ルートキットが脆弱な DLL をロードしてドライバの呼び出し元検証を通過し、神モード(God Mode)を取得する。
- 神モードでカーネル領域のメモリを変更し、アンチウイルスプログラムを無力化する。
ルートキット動作方式の変化
攻撃者は、複数の方法を利用してルートキットを動作させることが確認された。
- 実行中のプロセスにルートキットマルウェアのモジュールがロードされた形で不正な振る舞いを実行
- ルートキットマルウェアが独立したプロセスの形で不正な振る舞いを直接実行
攻撃者は、継続的に攻撃手法を改善しているものと思われる。
アンチウイルス無力化のビヘイビア検知および遮断
上記のアンチウイルス無力化プロセスを V3 では以下のように遮断しているため、V3 を使用するシステムでは V3 の「振る舞いベースの検知」を有効化しておくべきである。
- InitialAccess/MDP.Event.M4419 (2022.09.21.01)
- InitialAccess/MDP.Event.M4422 (2022.08.08.02)
[脆弱性情報]
- INITECH INISAFE CrossWEB EX V3 脆弱性 (韓国語外部サイト) (2022.07.29): https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66834
- Dream Security 社 MagicLine バッファオーバーフロー脆弱性 CVE-2021-26606 (韓国語外部サイト) (2021.08.06): https://www.krcert.or.kr/data/secInfoView.do?bulletin_writing_sequence=36173
[ファイル検知]
- Downloader/Win.LazarAgent (2022.05.04.02)
- Backdoor/Win.Lazardoor (2022.07.06.00)
- Downloader/Win.LazarShell (2022.05.04.02)
- Trojan/Win.Lazardoor (2022.05.04.02)
- Trojan/Win.LazarLoader (2022.06.22.03)
- Trojan/Win.LazarLoader (2022.07.11.03)
- Data/BIN.EncPe (2022.09.07.00)
- Trojan/Win.LazarLoader (2022.09.07.00)
- Backdoor/Win.Lazardoor (2022.09.07.00)
- Data/BIN.EncodedPE (2022.09.07.00)
- Trojan/Win.LazarLoader (2022.09.07.00)
- Trojan/Win.Lazardoor (2022.08.02.03)
- Rootkit/Win.Agent (2022.08.02.03)
- Trojan/Win.Agent (2022.09.16.02)
- Data/BIN.Encoded (2022.10.05.00)
- Data/BIN.Encoded (2022.10.05.00)
[ファイル MD5]
- 8F39A7AFA14541B709FE950D06186944
- CA6C08B58A35D7FA581DFB419CE5B881
- 1EDBD7AA68B1818A1EA98C0362CE84C7
- 4D91CD34A9AAE8F2D88E0F77E812CEF7
- FA868A38CEEB46EE9CF8BD441A67AE27
- 43F218D3A4B2199468B00A0B43F51C79
- 1F1A3FE0A31BD0B17BC63967DE0CCC29
- B457E8E9D92A1B31A4E2197037711783
- 202A7EEC39951E1C0B1C9D0A2E24A4C4
- 97BC894205D696023395CBD844FA4E37
- CA9B6B3BCE52D7F14BABDBA82345F5B1
- 013B4C4E9387D8FE1EAB738C42C451DA
- 98E58A39EDE26AF7980ED4DE2873CAAB
- 8DA35C64FFBFE33A3435A3E8DC1A5A42
- C16A6178A4910C6F3263A01929F306B9
- 8543667917A318001D0E331AEAE3FB9B
[IP/URL]
strivemktsupporters[.]com(3.39.208.187)を除き、以下の IP は攻撃者により C2 として使用されたが、現在もサービス中の正常なサイトである。
- hxxps://strivemktsupporters[.]com
- 3.39.208.187
- 222.118.225.33
- 211.110.1.17
- 20.194.29.89
- 119.207.79.175
- 61.100.5.186
- 110.10.189.167
- 14.63.165.32
- 211.110.1.93
- 182.252.138.31
- 114.207.112.19
- 203.233.72.35
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報