新種の情報窃取マルウェア、LummaC2 違法クラックに偽装して拡散中

新種の情報窃取マルウェアである「LummaC2」がクラック、シリアルなどの違法プログラムに偽装して拡散している。

同じ方式で CryptBot、RedLine、Vidar、RecordBreaker(Raccoon V2)などのマルウェアが拡散しており、本ブログでも何度か紹介してきた。

LummaC2 Stealer は今年の初めからダークウェブで販売されているものと見られ、今年の3月からはクラックに偽装する攻撃グループによって配布されている。この形式のマルウェア配布の大半は RecordBreaker(Raccoon V2)マルウェアが使用されるが、LummaC2 Stealer が徐々にその姿を見せてきている。3月3日に初めて発見され、3月12日、3月20日にも配布された履歴が確認されており、約一週間の間隔で姿を見せている。

#拡散方式

有名ソフトウェアの Crack、Serial 等を検索して不正なサイトに接続する。このサイトのダウンロードボタンをクリックすると、多数のリダイレクトを経てマルウェアの配布ページに到達する。このページに明示された URL に接続するか、ダウンロードボタンをクリックすると、圧縮されたマルウェアをダウンロードする。攻撃者の個人サーバーを使用したり、MediaFire、MEGA などのサービスを活用したりもする。

この方法で初めて配布されたサンプルは「NewSetupV4-Pass-55551.rar」名の圧縮ファイルがダウンロードされる。内部に「setup.rar」名の他のファイルが存在し、これを解凍すると「setupfile.exe」ファイル名の LummaC2 マルウェアが生成される。

配布ファイル名から見て、以下の図のページからダウンロードされたものと推定される。現在はこのページから Vidar マルウェアが配布されている。

図1.マルウェア配布ページの例

クラックに偽装して配布された LummaC2 は今までに3種類のタイプで配布されていた。各タイプ別の代表サンプル情報は以下の通りである。

  1. CryptBot と同じアウトラインで、ClipBanker もインストールするタイプ
    File Name Compressed NewFileV1-Pass_10101.rar
    Executable setup.exe
    MD5 3f4533e8364f96b90d7fcb413fc8b57c
    File Size 328,476,672 Bytes
    Timestamp 2023‎/0‎3/0‎4‎ 05:22:08 UTC
  2. C2 から不正な DLL をダウンロードするタイプ
    File Name Compressed FullFile1-2022-PasS.rar
    Executable Setup.exe
    MD5 9355477f043a6c5c01fcb4cc6a2ea851
    File Size 779,218,610 Bytes
    Timestamp Manipulated, Collected on 2023‎/0‎3/12‎ 11:02:59 KST
  3. 配布ファイル自体が LummaC2 マルウェアのタイプ
    File Name Compressed NewSetupV4-Pass-55551.rar
    Executable setupfile.exe
    MD5 4589fa36cb0a7210fe79c9a02966a320
    File Size 7623,45,984 Bytes
    Timestamp 2023‎/0‎3/02‎ 10:32:26 UTC

LummaC2 サンプルは以下のような特徴がある。

#解析妨害

  • 文字列の難読化

不正な振る舞いに使用される文字列の間に「edx765」文字列を多く組み込んで難読化していた。

図2.文字列の難読化
  • コードの難読化

大半のコードにおいて、特殊変数に値を変更していき、多くの条件文やジャンプ文を使用する方式で実行のフローを制御する。これは解析を困難にさせるためであると見られる。

図3.コードの難読化の例
  • 動的 API 呼び出し

不正な振る舞いと関連した API 使用時、Import Table、もしくは GetProcAddress などの関数を使用せず、ロードされた対象 DLL に直接接続して API アドレスを得る。マルウェアは関数名を演算した値のみを持っており、対象 DLL の Export Table で定義された関数名のうち、同じ値が出る関数を探す方式をとっている。振る舞いに使用される API を隠すため、マルウェアでよく使用される方式と言える。

図4.動的 API 呼び出し
  • Anti-Sandbox

実行初期、サンドボックス回避の振る舞いを見せる3つの関数が存在する。各関数で特定条件を合わせると、無限再帰関数を実行し、Crash とともにプロセスが終了する。

  1. DLL ロードの確認

「ters-alreq-std-v19.dll」名前の DLL ロードが成功すると、Crash が発生する。この DLL は一般的なシステムにはないため、特定の解析環境(サンドボックスなど)を回避する目的であるか、Kill-Switch などとして使用されるものと推定される。

図5.DLL ロードの確認
  1. Sleep 関数回避の確認

Sleep() 関数と GetSystemTimeAsFileTime() 関数を使用し、Sleep 関数間の経過時間値を確認する。もし Sleep 関数が無視される場合、Crash が発生する。

図6.Sleep 回避の確認
  1. アカウント名、コンピューター名を確認

アカウント名とコンピューター名を演算した後、特定値と比較して一致する場合は Crash を発生させる。比較対象値は 0x56CF7626、0xB09406C7 であり、これはそれぞれ「JohnDoe」、「HAL9TH」であると確認された。このアカウント名とコンピューター名は Windows Defender エミュレータ環境値として知られており、同じ攻撃によって配布される Vidar マルウェアにも存在する機能である。

しかし、この機能は正常に動作しない。ユーザー名の確認は具現されているが、コンピューター名文字列の長さ比較は6ではなく7で比較する。(GetComputerNameW 関数は GetUserNameW とは異なり、文字列の長さを返すとき、Null 文字を含まない)これはマルウェア製作者のミスであると思われる。

図7.コンピューター名の確認コード

もし攻撃者の意図した通りの構成の場合、そのコンピューター名、アカウント名の環境で Crash が発生する。

#C2 通信

C2 からコマンドや設定値などを受信する行為は確認されていない。窃取対象はマルウェア自体で指定しており、拡散サンプルごとに少しずつ異なる。

それぞれの情報を収集するたびに ZIP 圧縮を行い、以下のような形式で転送していた。C2 転送時には HTTP POST 方式を使用し、Path は「/c2sock」、User-Agent は「TeslaBrowser/5.5」である。

図8.C2 転送データの例

「hwid」は感染 PC の固有識別子であり、「pid」は窃取情報の種類によって1~3の数字で指定される。「lid」は Lumma ID として設定され、配布マルウェアのキャンペーン識別子として使用されるものと推定される。現在までに配布に使用された lid は以下の通りである。

  • iOqpIq
  • RIIoQe–p5
  • RIIoQe–p10

C2 転送データには以下の情報が含まれている。マルウェアの名前とビルドバージョンと推定される文字列である。3月20日に配布されたサンプルも同じビルドバージョンである。

“LummaC2, Build 20233101”

図9.C2 転送データの生成コード

#窃取対象

実行フローと文字列をベースに窃取対象情報を解析した結果は以下の通りである。窃取対象リストはサンプル別に異なる場合がある。

  1. Browser データ
    Chrome, Chromium, Edge, Kometa, Opera Stable, Opera GX Stable, Opera Neon, Brave-Browser, Comodo Dragon, CocCoc, Firefox
  2. Browser 拡張プログラム
    MetaMask, TronLink, RoninWallet, BinanceChainWallet, Yoroi, Nifty, Math, Coinbase, Guarda, EQUAL, JaxxLiberty, BitApp, iWlt, EnKrypt, Wombat, MEWCX, Guild, Saturn, NeoLine, Clover, Liquality, TerraStation, Keplr, Sollet, Auro, Polymesh, ICONex, Nabox, KHC, Temple, TezBox, DAppPlay, BitClip, SteemKeychain, NashExtension, HyconLiteClient, ZilPay, Coin98, Authenticator, Cyano, Byone, OneKey, Leaf, Authy, EOSAuthenticator, GAuthAuthenticator, TrezorPasswordManager, Phantom
  3. 暗号通貨ウォレットのプログラム
    Binance, Electrum, Ethereum, Exodus, Ledger Live, Atomic, Coinomi
  4. スクリーンショット
  5. %UserProfile% 下位2段階までのすべての txt ファイル
  6. システム情報
  7. インストールされたプログラム情報
  8. メールクライアント
    Windows Mail, The Bat, Thunderbird, Pegasus, Mailbird, eM Client
  9. その他アプリケーションプログラム
    AnyDesk, FileZilla, KeePass, Steam, Telegram,

[IOC 情報]

  • MD5

4589fa36cb0a7210fe79c9a02966a320 (Infostealer/Win.LummaC2.C5394249, 2023.03.13.02)
3f4533e8364f96b90d7fcb413fc8b57c (Infostealer/Win.CryptBot.C5360421, 2023.01.18.00)
9355477f043a6c5c01fcb4cc6a2ea851 (Infostealer/Win.LummaC2.C5394246, 2023.03.13.02)
d2203e004c5b22e2d6a84fcbef36c454 (Infostealer/Win.LummaC2.R562894, 2023.03.15.04)
a4c1335750fa105529f1ddea90b54117 (Infostealer/Win.LummaC2.R562894, 2023.03.21.03)
bf0b20fd593a5e886afef2cad348b079 (Trojan/Win.Generic.C5397321, 2023.03.20.00)

86c8d08a436374893e2280e05aec2f26 (Trojan/Scrip.Clipbanker, 2023.03.21.03)

  • C2

hxxp://82.118.23.50/c2sock

5 1 vote
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] AhnLab, “新種の情報窃取マルウェア、LummaC2 違法クラックに偽装して拡散中”, 2023/03/29 https://asec.ahnlab.com/jp/50477/ […]