Quasar RAT を配布するプライベート取引ツールプログラム

ASEC 分析チームは最近、プライベート取引ツールを通して、Quasar RAT マルウェアが配布されていることを確認した。攻撃に使用された HPlus という名前の取引ツールは、検索しただけでは情報を見つけることができない。またインストールプロセスで確認される規約にも業者の名前が確認できず、既定の金融会社から提供される取引ツールではなく、他の金融投資業者に偽装したところを通して Hplus 取引ツールをインストールしたものと推定される。プライベート取引ツールがインストールされる Quasar は RAT マルウェアであり、攻撃者が感染システムの制御権を獲得した後、情報を窃取したり不正な振る舞いを実行することができる。

 

1. プライベート取引ツール

取引ツールは、投資者が株を売買するために証券会社の取引所に出たり電話をかけたりする代わりに、家や職場に設置された PC を通して取引できるシステムを指す。[1] 一般的に以前とは異なり、最近は大半の個人が株や投資信託、贈与のような金融商品を取引する際にスマートフォンや PC に取引ツールをインストールし、オンラインで取引を行う。

多くの場合、ユーザーは取引する際に既定の金融会社が提供する取引ツールをインストールし、その業者を通して金融取引を行う。しかし最近は、不法金融投資業者が合法的に金融会社を詐称し、プライベート取引ツールをインストールするように誘導して投資金を横領する事件が多発している。

多くの不認可金融投資業者は、インターネット広告や SMS 広告を通してユーザーを欺き、kakaoTalk のような SNS のグループチャットへの参加を誘導する。一般的に少額の証拠金のみで海外贈与取引が可能である点や、手数料の免除、融資のような広告を使用することで知られている。[2] グループチャット運営者はこのようにして集めたユーザーに自主制作したプライベート取引ツールをインストールして投資金を入金するよう誘導する。

プライベート取引ツールを利用する詐欺集団は、様々な方式でユーザーの投資金を奪い取っている。例えば、収益が発生しているかのように見せかけて投資者が出金を要求すると姿を消す場合がある。[3] また、投資者に預り金を入金するように誘導した後、預り金の全額を取引手数料の名目で奪い取るケースも存在する。[4] このような詐欺行為に使用されるプライベート取引ツールは、ユーザーに正常な取引が発生しているように見せかけるために、証券会社の提供する取引ツールと区別できないほど類似して作られているのが特徴である。[5]

 

 

2. Quasar RAT の配布事例

2.1. プライベート取引ツールの偽装マルウェア

ASEC 分析チームは最近、Quasar RAT がプライベート取引ツールを通して配布されていることを確認した。閉鎖的なグループチャットを通してインストールを誘導するプライベート取引ツールの特性上、どのようなパスでインストールされたのか確認するのが困難であるが、ASD(AhnLab Smart Defense)ログを通して初めて、インストーラーを確保することができた。

このマルウェアがインストールされたパスを確認したところ、「Private」および「VIP」キーワードが含まれたパスが存在し、これは上記で言及した不法金融投資業者から配布されたように見える。そして「贈与」というキーワードを通して、少額の証拠金のみで海外贈与取引ができるといった広告でユーザーを集めたものと推定される。

\privatevip_setup [hts]\hplus\
\HPlus(贈与)\hplus\
\贈与および株\hts マネージャー\hplus\

初回インストールプログラムは「HPlusSetup.exe」という名前の NSIS インストーラーである。参考に HPlus という名前のプライベート取引ツールは、少なくとも2016年から存在していたものと推定される。これはインストール後に生成されるファイルのうち、ASD インフラ上ではすでに2016年から収集されていたファイルが存在したためである。インストールが完了すると、インストールパスに以下のようなファイルを確認できる。ここで不正なファイルは、アップデートサーバーアドレスのある「config.ini」ファイルである。

Figure 1. インストール先

インストール後の初回に実行されるプログラムは「Asset.exe」であり、デスクトップ画面に生成されるショートカットファイルも「Asset.exe」ファイルを実行する役割を担う。ランチャーでありアップデートプログラムである「Asset.exe」は、実行時に同じパスに存在する「config.ini」ファイルを読み込み、アップデートサーバーアドレスを獲得して最新バージョンであるかを検査する。もし最新バージョンではない場合は、アップデートファイルをダウンロードしてインストールする。

攻撃者は「config.ini」ファイルの内容を、マルウェアがアップロードされている FTP サーバーアドレスに設定した後、インストールファイルを配布したものと推定される。これを通してマルウェアが含まれたアップデート圧縮ファイルをダウンロードし、ユーザー環境に Quasar RAT をインストールするのである。

Figure 2. マルウェアインストールのフロー

プライベート取引ツールである HPlus が以前からマルウェアをインストールしていたのかの確認はできていない。確認できる事実は、HPlus が2016年頃から2017年頃に使用されており、その後最近になって Quasar RAT をインストールするマルウェアとして配布され始めたということである。

 

2.2. アップデートプロセス

ユーザーが最初に実行する「Asset.exe」はプライベート取引ツールを実行するランチャーであり、最新バージョンの確認を行って、最新ではない場合はアップデートを実行するアップデートプログラムである。そのため、実行時にまずアップデートサーバーアドレスを獲得するが、このアドレスは同じパスに位置する「config.ini」ファイルに存在する。「config.ini」ファイルを確認すると、以下のように数字が存在するが、特定位置の数字が C&C サーバーの IP アドレスである。すなわち、ハードコーディングされている特定位置の数字が C&C アドレスであり、例えば446、409、408番目の数字は「1」、「0」、「3」である。

Figure 3. C&C アドレスが含まれた config.ini ファイル
Figure 4. 各位置に存在する数字で C&C アドレスを生成

C&C サーバーのポート番号は「Asset.exe」ファイルにハードコーディングされているが、「Asset.exe」ファイルが2016年頃に収集されたことを推定した場合、攻撃者はこれをこのまま使用するためにポート番号を従来の「Asset.exe」ファイルのものとして設定したとうかがえる。それ以外にも、上記で言及した設定ファイルに存在する C&C サーバーアドレスの各位置、そして FTP サーバーのアカウント情報も「Asset.exe」ファイルにハードコーディングされている。これは攻撃者がマルウェア配布のため、過去と同じポート番号およびアカウント情報を使用したことを意味する。

Figure 5. ハードコーディングされている FTP アカウント情報

「Asset.exe」はアップデートサーバーから「NewVer.ver」ファイルをダウンロードし、同じパスに存在する「LocalVer.ver」ファイルと比較して最新バージョンの検査を行う。最新バージョンではない場合は「NewVer.ver」ファイルに設定されている最新バージョンの圧縮ファイルをダウンロードし、同じパスにインストールする。

Figure 6. FTP サーバーからアップデートファイルをダウンロード

ダウンロードされた圧縮ファイル内部の「StockProForHplus2.exe」は従来の取引ツールプログラムである「StockProForHplus.exe」にランチャー機能が追加されたマルウェアである。現在公開されたソースコードは確認できないが、最近拡散している「StockProForHplus2.exe」に攻撃者が指定した機能が含まれていることを見ると、攻撃者がこのソースコードを確保していると推定できる。また、収集された「StockProForHplus.exe」ファイルが様々な PDB 情報を持っているとみられ、HPlus のソースコードが現在も販売中もしくは共有されていると見られる。

Figure 7. ダウンロードされた圧縮ファイル

「HPlus_client_2.0.6.zip」ファイルに存在する「StockProForHplus2.exe」ファイルには取引ツール機能以外にも Quasar RAT、すなわち「HPlusSocketManager20221208.exe」ファイルを実行する機能が追加されている。Windows Defender の例外パスに追加するコマンドとともに存在するファイルも存在する。

Figure 8. 取引ツールプログラムである StockProForHplus.exe に挿入されたコマンド

「StockProForHplus2.exe」は Quasar RAT を実行するランチャーであるが、基本的には HPlus 取引ツールである。解析プロセスで会員登録およびログインは行われていなかったが、以前から存在していたプログラムであるため、ユーザーを欺くことができるようにログイン以降も一般的な取引ツールと同じように動作すると推定できる。

Figure 9. 実行された Hplus 取引ツール

会員登録ボタンをクリックすると表示される上記の利用規約によると、以下のようなサービスを提供していると表示される。

– 韓国国内の派生商品関連の情報提供サービス
– 韓国国内の派生商品関連の専門家の発掘および分析戦略
– 掲示板、同好会、チャットサービス
– メーリングサービス
– 金融市場関連情報提供サービス
– その他

 

2.3. Quasar RAT

「HPlusSocketManager20221208.exe」は「vbc.exe」を実行して Quasar RAT をインジェクションする。そのため Quasar RAT は、正常なプロセスである「vbc.exe」のメモリ上で動作する。

Figure 10. 難読化された Quasar RAT マルウェア
Figure 11. Quasar RAT

Quasar RAT は .NET で開発されたオープンソース RAT マルウェアである。一般的に RAT マルウェアのようなプロセスおよびファイル、レジストリのようなシステムタスク、遠隔コマンド実行、ファイルアップロードおよびダウンロードのような機能を提供している。Quasar RAT はそれ以外にもキーロガー、アカウント情報の収集機能を提供しており、ユーザー環境の情報を窃取することができ、遠隔デスクトップを通してリアルタイムで感染システムを制御することができる。そのため HPlus 取引ツールをインストールしたユーザーは、攻撃者によっていつでもアカウント情報を含む様々な個人情報を窃取される可能性がある。

Figure 12. Quasar RAT が提供する機能
  • C&C : 103.136.199[.]131:4449
  • Version : v1.4.0
  • TAG : “hplus”

 

3. 結論

詐欺集団は以前まで、被害者の投資金を奪う手段としてプライベート取引ツールを使用していたが、最近では被害者の PC にマルウェアをインストールする用途で使用している。そのため、過去の被害者は単純に投資金を返してもらえなかっただけであったが、今では一緒にインストールされる Quasar RAT を通して攻撃者が PC を制御できるようになり、個人情報の窃取を含む追加被害を受けることがある。

金融監督院によると、「既定の金融会社ならばメッセンジャーでプライベート取引ツールを配布しない」としている。[6] ユーザーは公式 HP を通して既定の金融会社が提供している取引ツールをインストールしなければならない。収益を目的に不法金融投資業者を通してプライベート取引ツールをインストールする場合、投資金の損失だけでなく、マルウェアに感染してシステムに保存されているユーザーの個人情報が窃取される可能性がある。

ユーザーはインストールされたソフトウェアの最新バージョンをパッチし、脆弱性攻撃を事前に防止しなければならない。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– Dropper/Win.Agent.C5369588 (2023.01.30.01)
– Trojan/Win.Agent.C5367163 (2023.01.27.00)
– Trojan/Win.Launcher.C5369589 (2023.01.30.01)
– Trojan/Win.CrypterX-gen.C5334365 (2022.12.15.03)
– Trojan/Win.Generic.C5334977 (2022.12.16.01)
– Trojan/Win.GZ.C5336652 (2022.12.19.01)
– Trojan/Win.HacktoolX-gen.C5361479 (2023.01.19.02)
– Trojan/Win.Injection.C5360107 (2023.01.17.02)
– Trojan/Win.Injection.C5366537 (2023.01.26.01)
– Backdoor/Win.QuasarRAT.C5369591 (2023.01.30.01)
– Backdoor/Win.QuasarRAT.C5369592 (2023.01.30.01)
– Backdoor/Win.QuasarRAT.C5369593 (2023.01.30.01)

ビヘイビア検知
– Injection/MDP.Hollowing.M4180

IOC
MD5

– 56961c573c78681b98c8336679202ead : Installer (HPlusSetup.exe)
– a041b5708e8a0bf36b83312cbf3c94c9 : Launcher (StockProForHplus.exe)
– b50c4b4958caba46760fccb02946966b : Launcher (StockProForHplus.exe)
– c2a10f5d57bb88611708312cca599e12 : Launcher (StockProForHplus.exe)
– ca50da047871d8986c4bb4044a251755 : Launcher (StockProForHplus.exe)
– d3f295841d4b8df890554978a4a90346 : Launcher (StockProForHplus.exe)
– f7e86dce64f7248aed7ef70d127f5eaf : Launcher (StockProForHplus.exe)
– fb08fa91bf71e923027e9fe88e2bbec6 : Launcher (StockProForHplus.exe)
– 2e0ec9bd44f169e86a957e0fec7d950d : Launcher (StockProForHplus.exe)
– 4db2078c0a7b72046fa6e68a62862508 : Launcher (StockProForHplus.exe)
– 6f5237ef99b4864a16f32c972fb86cdf : Launcher (StockProForHplus.exe)
– 60eafec4ec4ec23ba602068e5a6364b8 : Launcher (StockProForHplus.exe)
– 2258e46dc24f2c4be97aa051a05ebffd : Launcher (StockProForHplus.exe)
– 5267184953c662d0fa6a4db83fe4b775 : Launcher (StockProForHplus.exe)
– 4028da04ce0c9593c19bcc8b9c1cd14b : Launcher (StockProForHplus2.exe)
– a7c6f450bc567d2a0abffe2704a698d2 : Launcher (StockProForHplus2.exe)
– 2143f826dab2f82ec88d2de75f3ef96f : Quasar RAT (hplussocketmanager.exe)
– 58401b5cd964ab334ee883853520bf79 : Quasar RAT (HPlusSocketManager20221208.exe)
– 9174679e2f655034aa0b41774c7f54e0 : Quasar RAT (HPlusSocketManager20221208.exe)
– c5fcd3857921ac1b95afe73e7ec8ca66 : Quasar RAT (HPlusSocketManager20221208.exe)
– eb921e3d6e81a020fffd84da91bf29cf : Quasar RAT (HPlusSocketManager20221208.exe)
– f9c47fb25a5dc5a3857fbb109b122d69 : Quasar RAT (HPlusSocketManager20221208.exe)
– f3335c9c4c485cf98fee7f9c03033c15 : Quasar RAT (HPlusSocketManager20221208.exe)
– 0cb69119c327ef66b1595cda3b2ce99a : Quasar RAT (HPlusSocketManager20221208.exe)
– 0d6028c16b0bef0eaded10540a108fff : Quasar RAT (HPlusSocketManager20221208.exe)
– 4e1e6bd1655b941d78e7a6785017a260 : Quasar RAT (HPlusSocketManager20221208.exe)
– 37b8b575c93a5e8dd2643a5d9913df02 : Quasar RAT (HPlusSocketManager20221208.exe)
– 82e7624ba7b3213ccaa837d83b93307a : Quasar RAT (HPlusSocketManager20221208.exe)
– 508ec48d546b6c88092e8e9b05a672d2 : Quasar RAT (HPlusSocketManager20221208.exe)
– 33307a589a405cd782d738aa592f87fc : Quasar RAT (HPlusSocketManager20221208.exe)
– a9ab7e58e79a1c586677df06dde3708f : Quasar RAT (HPlusSocketManager20221208.exe)
– 3c84e468fbab273bc1d7d9bc439ddab0 : Quasar RAT (HPlusSocketManager20221208.exe)
– 1b7da03bee74107fee53b27cacc52f96 : Quasar RAT (HPlusSocketManager20221208.exe)
– 8cf9cc6a5b1b8594c9b87793754ef026 : Quasar RAT (HPlusSocketManager20221208.exe)
– a5750ff65c58a3fe7031cbd36ddab0ba : Quasar RAT (HPlusSocketManager20221208.exe)
– 128b5f28a737838e162cfc972a8797ee : Quasar RAT (HPlusSocketManager20221208.exe)

ダウンロードアドレス
– 103.136.199[.]131:24879 – FTP

C&C
– 103.136.199[.]131:4782 – Quasar RAT

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments