Log4Shell 脆弱性攻撃でコインマイナーをインストールする 8220 Gang 攻撃グループ

AhnLab Security Emergency response Center(ASEC)では、最近 8220 Gang 攻撃グループが VMware Horizon サーバーの Log4Shell 脆弱性を利用してコインマイナーマルウェアをインストールしていることを確認した。攻撃対象として確認されたシステムの中には、韓国国内のエネルギー関連企業も存在し、脆弱性に対するパッチが適用されていないシステムを運営しているため、多くの攻撃者のターゲットとなっている。

Log4Shell(CVE-2021-44228)は Java ベースのロギングユーティリティである Log4j の脆弱性であり、リモート先の Java オブジェクトのアドレスをログメッセージに含ませ Log4j を使用するサーバーに転送すると、サーバーから Java オブジェクトを実行できるリモートコード実行の脆弱性である。

1. 8220 Gang 攻撃グループ

8220 Gang 攻撃グループは主に脆弱な Windows や Linux システムを攻撃対象とする攻撃グループであり、2017年頃から活動していることが確認されている。[1] 脆弱なシステムが確認された場合、最終的にコインマイナーマルウェアをインストールするのが特徴である。

8220 Gang 攻撃グループは韓国国外だけでなく、国内のシステムも攻撃対象としている。以前 ASEC では、脆弱な国内のシステムをターゲットに Atlassian Confluence サーバーの脆弱性である CVE-2022-26134 を悪用し、コインマイナーをインストールした攻撃事例を公開したことがある。

脆弱な Atlassian Confluence サーバーをターゲットにした攻撃事例

CVE-2022-26134 の脆弱性攻撃が成功した場合、以下のような Powershell のコマンドで、追加の Powershell スクリプトをダウンロードして実行し、最終的に XMRig コインマイナーをインストールしていた。

Figure 1. 当社のログで確認された Powershell コマンド

最近、Fortinet では、8220 Gang 攻撃グループが Oracle Weblogic サーバーの脆弱性を利用して ScrubCrypt をインストールした攻撃事例を公開したことがある。[2] ScrubCrypt は .NET で開発された Crypter であり、追加のマルウェアをインストールできる機能を提供するマルウェアである。

Fortinet で紹介された攻撃事例は当社の AhnLab Smart Defense(ASD)ログでも確認されており、攻撃プロセスでインストールされた ScrubCrypt は最終的に 8220 Gang の攻撃目標である XMRig コインマイナーをインストールする。

Figure 2. Oracle WebLogic 脆弱性攻撃によって実行された PowerShell コマンドログ

ASECでは、最近 8220 Gang 攻撃グループが Oracle Weblogic サーバーの脆弱性以外に Log4Shell 脆弱性を利用して ScrubCrypt マルウェアをダウンロードした履歴を確認した。ScrubCrypt を通じて最終的にインストールされるマルウェアは、以前と同様に XMRig コインマイナーである。

2. Log4Shell 攻撃ログ

Log4Shell は2021年12月に公開されてから様々な攻撃者によって使用されており、最近も、脆弱性に対するパッチが適用されていないシステムをターゲットとした、韓国国内外で行われている攻撃に使用されている。

ASECでは2022年に、Lazarus グループがこの脆弱性を悪用して NukeSped マルウェアを配布した攻撃事例を公開したことがある。攻撃者は、セキュリティパッチが適用されていない VMware Horizon 製品に log4j 脆弱性を使用していた。[3] VMware Horizon 製品は仮想化デスクトップソリューションとして、企業がリモート勤務ソリューションとクラウドインフラの運用のために使用する製品である。

Log4Shell の脆弱性を悪用する Lazarus グループ (NukeSped)

ASECでは最近、脆弱な ws_tomcatservice.exe プロセスがコインマイナーマルウェアをインストールするログを確認した。この攻撃プロセスを通じて最終的にインストールされるマルウェアは XMRig コインマイナーであり、8220 Gang 攻撃グループが使用するマルウェアであることが確認された。具体的なパケットは確認されていないが、VMware Horizon の ws_tomcatservice.exe プロセスによって PowerShell コマンドが実行された攻撃のログと既知の脆弱性を利用し、パッチが適用されていないシステムを攻撃する 8220 Gang 攻撃グループの特性上、既存の Log4Shell 脆弱性が攻撃に使用されたものと推定される。

Figure 3. ws_tomcatservice.exe プロセスにより実行された PowerShell
Figure 4. 当社 ASD インフラで確認された Powershell コマンドログ

3. ScrubCypt、XMRig CoinMiner 解析

Figure 5. マルウェアのプロセスツリー

Log4Shell 脆弱性攻撃を通してダウンロードおよび実行される PowerShell スクリプトは、Fortinet ブログで紹介されたように「bypass.ps1」という名前を持つ。内部に含まれたマルウェアは異なるが、名前だけではなく、ルーティンもほぼ同じである。

Figure 6. bypass.ps1 PowerShell スクリプト

「bypass.ps1」は難読化された PowerShell スクリプトであり、復号化すると以下のようなコードが確認できる。最初のラインは AMSI を回避するルーティンであり、その後は内部に含まれた実際のマルウェアを復号化し、「%TEMP%PhotoShop-Setup-2545.exe」パスに生成して実行する。

Figure 7. 復号化された PowerShell ルーティン

「PhotoShop-Setup-2545.exe」は .NET ダウンローダーマルウェアであり、以下のアドレスからエンコードされたデータをダウンロードしたあと復号化し、RegAsm.exe にインジェクションする。

  • ダウンロードアドレス:hxxp://77.91.84[.]42/Whkpws.png
Figure 8. .NET ダウンローダーマルウェア

RegAsm プロセスにインジェクションされて実行されるマルウェアは難読化されているが、Fortinet が紹介した ScrubCrypt のルーティンと類似している点を見ると、ScrubCrypt マルウェアであると推定される。攻撃に使用された ScrubCrypt は以下のように3つの C&C アドレスと4つのポート番号(58001、58002、58003、58004)を持っている。

Figure 9. ScrubCrypt(RegAsm.exe)の C&C アドレス
179.43.155[.]202
su-95.letmaker[.]top
su95.bpdeliver[.]ru
ScrubCrypt(RegAsm.exe)の C&C アドレス

ScrubCypt は C&C サーバーに接続し、追加コマンドをダウンロードする。現在の解析環境では XMRig コインマイナーをインストールするコマンドが確認できる。

Figure 10. XMRig コインマイナーをインストールするPowershell コマンド

ダウンロードされて実行される「deliver1.exex」はインジェクターマルウェアで、内部リソースにエンコードされて保存されているもう一方の ScrubCrypt を MSBuild.exe にインジェクションする。この ScrubCrypt は以下のように2つの C&C アドレスと4つのポート番号(9090、9091、9092、8444)を持っている。

Figure 11. ScrubCrypt(MSBuild.exe)の C&C アドレス
179.43.155[.]202
su95.bpdeliver[.]ru
ScrubCrypt(MSBuild.exe)の C&C アドレス
Figure 12. Fiddler で確認されたマルウェアのダウンロードログ

ScrubCrypt はレジストリにマイニングプールアドレスとウォレットアドレス、コインマイナーペイロードのダウンロードアドレス、インジェクション対象プロセスが含まれた XMRig 実行時に使用する設定データを書き込み、ダウンロード済みのエンコードされたデータファイルである「plugin_3.dll」、「plugin_4.dll」を書き込む。

Figure 13. レジストリに保存された設定データとエンコードされたファイル

「Plugin_4.dll」はエンコードされた .NET マルウェアであり、復号化してメモリ上で動作する。「Plugin_4.dll」の機能は以下のようにエンコードされた XMRig である「plugin_3.dll」を復号化し、設定データに指定された正常なプロセス AddInProcess.exe にインジェクションしたあと、コマンドラインと共に実行させる。

Figure 14. XMRig マイナーインジェクション時の設定データ
  • Mining Pool アドレス:174.138.19[.]0:8080
  • ウォレットアドレス:“46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ”
  • パスワード:“x”

攻撃者のモネロコインウォレットアドレスは過去に公開した Atlassian Confluence サーバーの脆弱性攻撃で使用されたアドレスと同じであり、最近公開された Fortinet の Oracle Weblogic サーバーの脆弱性攻撃事例とも同じである。8220 Gang 攻撃グループは以前から同じウォレットアドレスを使用しているのが特徴である。

4. 結論

8220 Gang として知られている攻撃グループは脆弱性がパッチされていないシステムを対象に、モネロコインを採掘する XMRig コインマイナーをインストールしている。過去には、脆弱な Atlassian Confluence サーバーをターゲットとした攻撃が確認されており、最近では VMware Horizon サーバーの Log4Shell 脆弱性を利用している。管理者は、現在使用している VMware Horizon サーバーが脆弱なバージョンであるかをチェックし、最新バージョンにパッチを適用して、既知の脆弱性による攻撃を防がなければならない。

また、外部に開放されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。最後に、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– Downloader/PowerShell.Generic (2023.04.17.02)
– Downloader/PowerShell.Generic (2023.04.17.02)
– Downloader/Win.Agent.R572121 (2023.04.16.01)
– CoinMiner/Win.XMRig.C5411888 (2023.04.16.01)

ビヘイビア検知
– Execution/MDP.Powershell.M2514

IOC
MD5

– d63be89106d40f7b22e5c66de6ea5d65 : Oracle Weblogic Exploit PowerShell Downloader (bypass.ps1)
– 2748c76e21f7daa0d41419725af8a134 : Log4Shell PowerShell Downloader (bypass.ps1)
– 851d4ab539030d2ccaea220f8ca35e10 : Dotnet Downloader (PhotoShop-Setup-2545.exe)
– bd0312d048419353d57068f5514240dc : ScrubCrypt for CoinMiner (deliver1.exe)

ダウンロード
– hxxp://163.123.142[.]210/bypass.ps1 : Oracle Weblogic Exploit PowerShell Downloader
– hxxp://77.91.84[.]42/bypass.ps1 : Log4Shell PowerShell Downloader
– hxxp://77.91.84[.]42/Whkpws.png : Dotnet Downloader
– hxxp://77.91.84[.]42/deliver1.exe : ScrubCrypt for CoinMiner
– hxxp://77.91.84[.]42/plugin_3.dll : Encoded XMRig
– hxxp://77.91.84[.]42/plugin_4.dll : Encoded Loader

C&C
– 179.43.155[.]202 : ScrubCrypt
– su-95.letmaker[.]top : ScrubCrypt
– su95.bpdeliver[.]ru : ScrubCrypt
– 174.138.19[.]0:8080 : XMRig Mining Pool

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments