ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。一般的に攻撃者たちは、成人向けゲームや私用ゲームのクラックバージョンのような違法プログラムと共にマルウェアを配布する。このようにウェブハードを配布経路に使用する攻撃者たちは、主に njRAT や UdpRAT、DDoS IRC Bot のような RAT タイプのマルウェアをインストールする。
- 韓国国内有名ウェブハードを通して拡散する njRAT マルウェア
- ウェブハードによって拡散している UDP Rat マルウェア
- ウェブハードによって拡散している DDoS IRC Bot マルウェア (Go 言語)
攻撃者たちは、上記で取り上げた事例のように定期的に様々なタイプのマルウェアを使用している。ASEC 分析チームでは最近、「HH IRC Bot」という DDoS ボット型マルウェアが拡散していることを確認した。マルウェアで使われる文字列および機能を通じて調べたところ、過去2012年頃に、以下のようなハッキングフォーラムで共有されたマルウェアと推定できる。HH は HackHound を意味し、Hackhound フォーラムの公式 IRC Bot として紹介されている。
IRC(Internet Relay Chat)は1988年に開発されたリアルタイムのインターネットチャットプロトコルである。ユーザーは、特定の IRC サーバーの特定チャンネルに接続し、同じチャンネルに接続した他のユーザーとリアルタイムでチャットを行うことができる。IRC Bot は、このような IRC を悪用して C&C サーバーとの通信に使用するボット型マルウェアである。感染先のシステムにインストールされた IRC ボットは、IRC プロトコルによって攻撃者が指定した IRC サーバーのチャンネルに接続し、その後窃取した情報を当該チャンネルに流したり、攻撃者が特定の文字列を入力するとそれをコマンドとして受け取り、それに応じた不正な振る舞いを実行することができる。
追加の C&C サーバーおよびプロトコルを開発する必要なく、すでに存在する IRC プロトコルを利用し、既存の IRC サーバーを活用できるという点から、IRC を悪用する IRC Bot マルウェアは以前から利用され続けている。一例として、上記で取り上げた Go 言語で開発された Simple-IRC-Botnet がある。
現在ウェブハードにおいて攻撃者がアップロードしたファイルは確認されていないが、以下のようなパス名を通じて過去の事例と同様に成人向けゲームを装って配布されたものと推定される。
- \時間停止わからせ (2)\d4work.dll
- \ヤンデレ_妹に_愛され_すぎて_子_作り_生活_04_10 (2)\d3dcompiler_46.dll
- \サンドウィッチはだめ (2)\d3dcompiler_46.dll
- \シルヴィ育成\save.dll
このようにウェブハードにアップロードされたゲームの圧縮ファイルに含まれたファイルは、すべて njRAT マルウェアである。参考に、「d4work.dll」や「d3dcompiler_46.dll」のような配布ファイル名は以前から njRAT の配布に頻繁に使用されている名前である。
ウェブハードを主な配布元として使用している点や、配布に使用されたファイル名が過去の攻撃において使用されたものと同じであるという点、過去に Go 言語 DDoS IRC Bot マルウェアを使用したケースのように IRC マルウェアを使用している点、そして攻撃に njRAT、HackHound IRC Bot 以外にも UDP Rat が使用された点などから考えると、過去と同じ攻撃者による仕業と推定できる。
配布される njRAT は複数の方式でパックおよび難読化されており、デリミタに「|’|’|」を使用するバージョンを利用しているところが特徴である。
njRAT は感染先システムに常駐し、攻撃者のコマンドを受け取って様々な不正な振る舞いを実行できる。攻撃者は njRAT を利用してさらなるマルウェアを生成している。その代表的なものとしては UDP Rat、インストールされている様々な Web ブラウザに保存されたアカウント情報を収集して表示させる WebBrowserPassView、Chrome Web ブラウザのアカウント情報窃取型マルウェア等がある。UDP Rat は UDP Flooding 攻撃をサポートする DDoS ボットであり、過去のブログで紹介したものと同様である。
攻撃に使用された UDP Rat マルウェアは、以下のように PDB 情報によって二つの種類に分けられる。
- PDB 情報 1 : D:\wkfy\Machos Sharing2\Machos Sharing2[データ] 特殊\レアソース[USER] UDP botnet src\layer4botnet ourse\Client\x64\Debug\Client.pdb
- PDB 情報 2 : C:\Users\jk\Desktop[USER] UDP botnet src\layer4botnet sourse\Client\x64\Debug\Client.pdb
WebBrowserPassView は最新バージョンの代わりに「/stext」引数をサポートする過去バージョンが使用された。抽出したアカウント情報を表示させるときに GUI バージョンのみをサポートする最新バージョンとは異なり、「/stext」引数をサポートする過去バージョンの WebBrowserPassView は、ユーザーが認知できないようにコマンドラインで実行され、収集したアカウント情報をファイル形式で生成できる。このようにして生成されたアカウント情報が含まれたファイルは、攻撃者が RAT マルウェアを利用して窃取することが可能になる。これにより、過去バージョンの WebBrowserPassView は HawkEye を含む様々なマルウェアにより使われている。
WebBrowserPassView を使用する一方で、攻撃者はこれ以外にもさらなるアカウント窃取型マルウェアを配布している。そのマルウェアは、Chrome Web ブラウザだけを対象としてアカウント情報を収集し、その後 Discord を利用して収集した情報を窃取する。
現在 Chrome Web ブラウザが実行中の場合、強制的に終了して設定ファイルに保存されたアカウント情報を取得して復号化する。その後、Discord WebHook を利用してその情報を窃取する。WebHook API を利用すれば特定の Discord サーバーにデータとともに通知を伝達することができる。すなわち、マルウェアは以下のような WebHook URL を通じて窃取した情報が含まれた圧縮ファイルを添付して POST をリクエストし、攻撃者は Discord サーバーから通知とともに窃取した情報を受け取ることができる。
njRAT が生成するマルウェアとしては、最後に HackHound IRC Bot がある。HackHound IRC Bot は IRC プロトコルを C&C サーバーとして利用し、攻撃者から渡されたコマンドを実行することができ、サポートしている機能には以下のようにさらなるマルウェアのダウンロードや、アップデートのような基本的な機能のほかは、ほとんどが DDoS 攻撃である。
- ファイルのダウンロード
- アップデート
- DDoS 攻撃
…. 3.1. UDP Flood
…. 3.2. HTTP Get Flood
…. 3.3. HTTP POST Flood
…. 3.4. ConDis Flood
…. 3.5. HTTP Torhammer Flood
…. 3.6. HTTP Hulk Flood
HH IRC Bot が最初に実行されると、リソースに保存されている設定データを読み込み、初期化を行う。1つ目の項目は C&C サーバーである IRC サーバーのアドレスであり、以下の項目は C&C サーバーのポート番号、チャンネル名である。そして設定に含まれている「test」文字列は、再起動後に実行されるように設定する Run キーの名前、「test.exe」文字列は初回実行時に自身を %APPDATA% にコピーする際に変更する名前を意味している。
現在では接続が不可能だが、C&C サーバーとの接続が成立すると以下のようにダウンロード、アップデート、DDoS 攻撃等の攻撃者から渡されたコマンドを実行することがある。実装された DDoS 攻撃のルーティンも、ハッキングフォーラムで紹介されている内容と同様である。参考に、Tor’s Hammer、Hulk 等を含めて使用されるほとんどの DDoS 攻撃の大半は名が知られたものであり、ConDis 攻撃とは Connection / Disconnection を意味するものと推定される。すなわち、攻撃対象に接続と切断を繰り返し実行する DDoS 攻撃である。
このように、韓国国内のウェブハード等のデータ共有サイトを通じてマルウェアが活発に出回っているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。
[ファイル検知]
– Trojan/Win.Korat.C5290614 (2022.11.04.00)
– Backdoor/Win.NjRat.C5290641 (2022.11.04.01)
– Backdoor/Win.NJRat.C5290642 (2022.11.04.01)
– Backdoor/Win.NJRat.C5290643 (2022.11.04.01)
– Trojan/Win.Wacatac.C5290069 (2022.11.02.03)
– Infostealer/Win.Agent.C5290619 (2022.11.04.00)
– HackTool/Win.WebBrowserPassView.R347116 (2021.06.06.01)
– Backdoor/Win.UDPRat.R532714 (2022.11.04.00)
– Backdoor/Win.UDPRat.R532715 (2022.11.04.00)
– Trojan/Win.Bladabindi.C5290462 (2022.11.03.02)
– Backdoor/Win.IRCBot.C5290616 (2022.11.04.00)
– Trojan/Win.Bladabindi.C5290466 (2022.11.03.02)
– Trojan/Win.Agent.C5290070 (2022.11.02.03)
– Trojan/Win.Generic.R452668 (2021.11.24.01)
[ビヘイビア検知]
– Malware/MDP.Behavior.M1693
[IOC]
MD5
– 1287b9c05c8f73fcdbe5620e5717fe75 : njRAT (ウェブハードにアップロードされて配布)
– a1c8e2bebae1afbe0726060defe38601 : njRAT (ウェブハードにアップロードされて配布)
– 10d33eb390e6d81e805f4b38daa4db40 : njRAT (ウェブハードにアップロードされて配布)
– ffb201e6d38beabb33adddba8dccfc5a : njRAT
– 2d05a3c8a38fc57494bf765a4715cede : njRAT
– ffb201e6d38beabb33adddba8dccfc5a : njRAT
– 21f40d9efa89374a8cabbe85076d0b17 : Stealer
– 053778713819beab3df309df472787cd : WebBrowserPassView
– 8fb255cf2bbc51c90478b81f2e3ce058 : UDP Rat
– 37694d53979faf4b74328736d559f831 : UDP Rat
– 1098c0adc0749c09edef3ed2d3b287cb : UDP Rat
– 00c4c68847196cd4c48c67fd1f8156cd : UDP Rat
– c6018d13e5f72dde859ffc77f175502a : UDP Rat
– 17f1e7ea6fb9bed97c16cbd2746ca3ff : UDP Rat
– d092702766c11b2d021ec1d448772dd2 : UDP Rat
– 33134892bc0db2246b3ae2e23f3d0102 : HackHound IRC Bot
– ed60830ce5bd7ba29d6f50a927a7d80b : HackHound IRC Bot
– 12ed54ef87ef751cecb27534edf66682 : HackHound IRC Bot
– 674360905cbf8a1817c6a5767e468526 : HackHound IRC Bot
– 035f90ca20ece063578e4df9c6f23ff4 : HackHound IRC Bot
C&C およびダウンロードアドレス
– minho128.kro[.]kr:1 – njRAT
– minho128.kro[.]kr:80 – UDP Rat
– minho128.kro[.]kr:443 – njRAT, UDP Rat
– minho128.kro[.]kr:4433 – UDP Rat
– minho128.kro[.]kr:7860 – UDP Rat
– minho128.kro[.]kr:6667 – HackHound IRC Bot
– hxxps://discord[.]com/api/webhooks/984735992755933194/zG_rKOa35RSplPSCDeMstvwHH55yLuVLJpSjVIpNIUEwElCHcEuR_jym9Z6oevDhtuG- – Stealer
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報