Amadey Bot をインストールする Nitol DDoS マルウェア

ASEC 分析チームは最近、攻撃者が Nitol DDoS Bot マルウェアを利用して Amadey をインストールすることを確認した。Amadey は2018年頃から配布されているマルウェアであり、ユーザー情報を窃取する機能以外にも追加マルウェアをインストールする目的で使用されるダウンローダーマルウェアである。

Amadey は今年に入って再び活発に配布されているが、今年の初めから最近まででも正常なソフトウェア Crack およびシリアル生成プログラムに偽装した配布サイトを通して拡散され、様々なマルウェアをインストールしている。^[1]これ以外にも、今年の下半期には韓国国内の企業ユーザーをターゲットとした LockBit 3.0 ランサムウェア攻撃でも使用されたが、ここではスパムメールの添付ファイルを通して配布されて LockBit ランサムウェアをインストールする機能を担っている。^[2]

ASEC 分析チームは、最近になって活発に配布されている Amadey Bot をモニタリングしていたところ、Nitol DDoS Bot マルウェアが Amadey をインストールすることを確認した。Nitol は分散型サービス拒否(DDoS : Denial of Service)攻撃機能を担う DDoS Bot であり、最近数は減っているものの、以前から攻撃に使用され続けているマルウェアである。例えば2021年には韓国国内のフォーラムのライブラリーにアップロードされ、多数の韓国国内のユーザーを感染させた事例がある。^[3]

Amadey をインストールした Nitol マルウェアは、上記のブログで取り扱っている別のマルウェアと同じファイルである。すなわち、1年以上が経過しているが、最近も攻撃に使用されていると推定される。このファイルはアレアハングルおよび MS Office などの Crack プログラムに偽装して Torrent で共有されており、現在も多数のユーザーを感染させている。以下は、最近 Nitol マルウェアが検知されたパス名である。

\アレアハングル 2020\crack.exe
\[正規韓国語版] Office 2007\setup.exe
\microsoft office 2016\setup.exe
\SketchUP Pro 2018\crack.exe

Nitol マルウェアの解析

攻撃に使用された Nitol は、解析を妨害するために Themida でパックされている。Nitol は様々な DDoS 攻撃をサポートする DDoS Bot マルウェアであり、以下のような設定データを持っている。攻撃に使用された Nitol の場合、設定データが0x50であり、C&C サーバーとの通信時に5秒間待機して、システムで隠しファイルおよびフォルダーを非表示に設定する。

仮想環境検査では、IN コマンドを利用して VMware 仮想マシンで実行中であるかを検査する。サンドボックス環境の場合は「api_log.dll」、「SbieDll.dll」 DLLなどがロードされているかを検査するが、仮想環境およびサンドボックス環境であることが確認された場合は終了する。

ダミーパケット生成オプションの場合、ランダムな IP アドレスを生成し、実際の C&C アドレスのポート番号をマッチさせて接続を試みる。成功した場合はダミーデータを転送する。このような振る舞いが10回繰り返されるが、これはネットワーク振る舞い解析を妨害するためであると推定される。

このマルウェアはインストールプロセスを除くオプションが無効になっているため、実行するとインストールプロセスが開始される。インストールプロセスは、自身を %APPDATA% パスにランダムな6文字の名前でコピーする自己複製プロセスと、reg コマンドを利用して Run キーを登録する持続性維持プロセスが含まれている。インストールが終了すると、コピーしたパスのマルウェアを実行させ、C&C サーバーに接続する。

> “C:\Windows\System32\reg.exe” ADD “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /V “My App” /t REG_SZ /F /D “C:\Users\vmuser\AppData\Roaming\gkqske.exe”

現在は C&C サーバーへの接続が不可能だが、成功すると以下のような感染システムに対する基本的な情報を伝達する。

 

Nitol が感染システムの情報を C&C サーバーに送ると、C&C サーバーはコマンドを返す。その際のコマンドは以下のように DDoS 攻撃およびファイルダウンロード、アップデートなどの様々な機能がある。参考に DDoS 攻撃のコマンドの場合、3つに分かれているが、実際には内部でさらに多くのタイプの DDoS 攻撃をサポートしている。

 

コマンドの中には C&C サーバーから URL を受け取って、Internet Explorer を利用して Web ページに接続するものがある。コマンドによって、ユーザーに認知されることなく Web ページに接続することもでき、Internet Explorer をポップアップで表示させてユーザーに認知させることもできる。

 

それ以外にも MBR を変更して再起動し、その後システムを動作させないようにするコマンドも存在する。MBR で以下のようなデータを書き込んだ後、システムを再起動すると以下のような「Game Over」の文字列を表示し、再起動できなくする。

 

 

Nitol は追加のペイロードをダウンロードできるコマンドにも対応しているが、このコマンドを通して Amadey Bot をインストールしていた。以下は Nitol が外部アドレスから Amadey をダウンロードした振る舞いを示す当社 ASD(AhnLab Smart Defense)のインフラのログである。

 

Amadey を利用した追加のペイロードのインストール(Amadey Bot、njRAT)

Nitol によってインストールされた Amadey Bot は C&C サーバーへの接続を試み、成功すると情報窃取機能を担っているプラグインをダウンロードして感染システムの情報を収集し、C&C サーバーに転送する。Amadey はアカウント情報以外にも周期的にスクリーンショットをキャプチャして C&C サーバーに転送している。Amadey についての詳しい解析は以下のブログを参考にしてほしい。

https://asec.ahnlab.com/jp/36654/

 

現在の解析対象の Amadey を見ると、C&C サーバーから追加のペイロードのインストールするコマンドを受け、4つすべてのファイルをダウンロードしてインストールしている。それぞれのファイルはAmadey、Nitol、およびダウンローダーマルウェアである。参考に、Nitol の場合は上記で扱っている Type A であり、Type A 以外に Type B 形態の Nitol も追加でインストールする。

• TeamViewerSetupx64.exe : Amadey
• TeamViewer_Desktop.exe : Nitol Type A
• explorer.exe : Nitol Type B
• ServiceManager.exe : Downloader (Dotnet Packer)

マルウェアがダウンロードされるアドレスの場合、現在の最上位カテゴリを見ることができないが、他にも様々なマルウェアが存在していると推定される。

 

攻撃者によってインストールされるマルウェアの名前は TeamViewer やエクスプローラ、AnyDesk のような正常なプログラムに偽装している。攻撃者は名前だけではなく、以下のようにマルウェアのアイコンも正常なプログラムを偽装して配布している。

 

Torrent はウェブハードと同じく、マルウェアの配布に使用される代表的なプラットフォームである。Torrent を利用して商用ソフトウェアの Crack、シリアルファイルなどをインストールする場合、すでに述べたようなマルウェアに感染する恐れがある。Nitol がインストールされると、ユーザー PC は DDoS Bot で動作しながら DDoS 攻撃に使用される場合があり、それ以外にも Amadey のような追加マルウェアのインストールを目的に利用されたりもする。Amadey は感染システムに常駐し、ユーザー情報を窃取するだけでなく、他のマルウェアのインストールに使用されたりもする。

ユーザーは OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。

ファイル検知
– Backdoor/Win.Nitol.C4533062 (2021.06.24.01)
– Trojan/Win.Generic.R539958 (2022.12.09.01)
– Downloader/Win.Amadey.C5329944 (2022.12.12.01)
– Downloader/Win.MSIL.C5329945 (2022.12.12.01)
– Downloader/Win.Amadey.C5329946 (2022.12.12.01)

ビヘイビア検知
– Malware/MDP.Behavior.M3108

MD5
– 3038c7bb0f593df3f52f0644c894c7ba : Nitol Type A
– d332cf184ac8335d2c3581a48ee0ad87 : Amadey (AnyDesk.exe)
– 852011cf885e76c0441dd52fdd280db7 : Amadey (TeamViewerSetupx64.exe)
– 0c9df67f152a727b0832aa4e7f079a71 : Nitol Type A (TeamViewer_Desktop.exe)
– e79b48eefa43aa34f360f68618992236 : Nitol Type B (explorer.exe)
– f01b49498b82320973c6006ee117f91e : Dotnet Downloader (ServiceManager.exe)

C&C アドレス
– rlarnjsdud0502.kro.kr:2222 : Nitol Type A
– hxxp://AQWe9sfiWSwPyVMJ[.]xyz/jg94cVd30f/index.php : Amadey
– hxxp://PMVqdJfUf3WlX9kI[.]xyz/jg94cVd30f/index.php : Amadey
– hxxp://SmgqNt3EIxXkSAsU[.]xyz/jg94cVd30f/index.php : Amadey
– 45.89.255[.]250:50505 : Nitol Type A
– gy9.gyddos[.]com:8889 : Nitol Type B
– 45.89.255[.]250:40404 : Nitol Type B
– 45.89.255[.]250:30303 : Downloader (Dotnet Packer)

ダウンロードアドレス
– hxxp://45.89.255[.]250:8080/AnyDesk.exe : Amadey
– hxxp://45.89.255[.]250:8080/TeamViewer_Desktop.exe : Nitol Type A
– hxxp://45.89.255[.]250:8080/explorer.exe : Nitol Type B
– hxxp://45.89.255[.]250:8080/TeamViewerSetupx64.exe : Amadey
– hxxp://45.89.255[.]250:8080/ServiceManager.exe : Downloader (Dotnet Packer)
– hxxp://45.89.255[.]250:8080/Kwvwz.png : Dotnet Downloader

参考
[1] [ASEC Blog] SmokeLoader によって拡散している Amadey Bot
[2] [ASEC Blog] Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中
[3] [ASEC Blog] 韓国国内フォーラムのライブラリーで Nitol マルウェアが拡散中

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。