Tonto グループは主にアジア国家を対象とする攻撃グループであり、Bisonal 系列のマルウェアを配布してきた。AhnLab Security Emergency response Center(ASEC)では、大韓民国の教育、建設、外交、政治分野に関連した機関を対象とした Tonto グループの CHM マルウェア攻撃を追跡しており、最終的に実行される不正な振る舞いに Anti-Virus 製品関連のファイルが利用されている状況を直近で捕捉した。

Tonto グループが CHM マルウェアを韓国国内に配布したことは、2021年から確認されており、検知を回避するため、様々なタイプに変形されている。最近確認された形態の全体的な動作プロセスは[図1]のようになり、ReVBShell を通して攻撃者のコマンドを受け取るプロセスまでは従来と類似しているが、その後ダウンロードされる最終マルウェアのタイプおよび動作プロセスが少しずつ変形を続けている。各プロセスについての説明は以下で紹介する。

CHM 実行時、動作する不正なスクリプトは[図2]の通りである。CHM ファイルを逆コンパイルするのは、従来のタイプと同じプロセスであるが、逆コンパイルにより生成された正常なプログラム(PresentationSettings.exe)を RUN キーに登録する違いが存在する。RUN キーに登録された正常なプログラムは PC を再起動すると実行され、DLL Side Loading(T1574.002)手法によって同時に生成された不正な DLL(slc.dll)がロードされる。
拡散ファイル名 | 統一部 南北経済経協関連法人連絡先_Ver2.1.chm |
正常なプログラム名 | PresentationSettings.exe |
不正な DLL 名 (DLL Side Loading) | slc.dll |
ロードされた不正な DLL は %TEMP% パスに VBE ファイルを生成して実行する。この時デコードされた VBE は ReVBShell である。この ReVBShell の C2 は以下の通りであり、攻撃者のコマンドに応じて様々な不正な振る舞いを実行することができる。当社 ASD(AhnLab Smart Defense)インフラを通して、その後の不正な振る舞いログが確認された。
- C2
hairouni.serveblog[.]net:8080


[図3]は2022年4月に確認された追加ログであり、以下の ASEC ブログを通じて関連内容を紹介した。
[図4]は最近配布されている CHM マルウェアに感染した PC で発生した追加ログで、ダウンロード URL タイプが2022年4月のログと類似していることが確認でき、ダウンロードパスも同じ %SystemRoot%\Task\ フォルダーである。このダウンロードの振る舞いはすべて ReVBShell を通して攻撃者のコマンドを受け取り、実行されるものと推定される。
- ダウンロード URL
hxxps://92.38.135[.]212/fuat/HimTraylcon.exe (2022年4月)
hxxp://45.133.194[.]135:8080/fuat/KCaseAgent64.exe (2023年4月)
2022年4月にダウンロードされたファイルはバックドアマルウェアであり、今回ダウンロードされたファイルは Avast Software の構成ファイルである正常なファイル(wsc_proxy.exe)であると確認された。

Wsc_proxy.exe の機能は[図5]がすべてであり、wsc.dll をロードしたあと、「_run@4」関数を実行する。攻撃者はこの特徴を利用し、DLL Side Loading の手法によって不正な DLL をロードするものと推定される。

追加で、[図6]のように当社のインフラを通して、感染した PC で同じパス(%SystemRoot%\Task\)に wsc.dll という名前のファイルが生成された検知ログが確認された。Avast Software の正常なファイルの場合は、一般的に「%ProgramFiles%\Avast Software\」パスに生成されることから、攻撃者によって改ざんされた不正な DLL が生成されたものと見られる。最終的に正常なファイル(wsc_proxy.exe)によって不正な DLL(slc.dll)がロードされ、追加の不正な振る舞いを実行できるようになる。

2022年11月に配布されている CHM では[図7]のように Bisonal 関連のマルウェアが確認されており、このタイプの CHM マルウェアが Tonto グループによって配布されていると見られる。
Tonto グループはより緻密な攻撃のため正常なソフトウェアを利用する等、様々な方式で変形を続けており、CHM を利用した配布が以前より増加している。ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧しないようにしなければならない。また、PC のチェックを定期的に実行し、セキュリティ製品は常に最新バージョンにアップデートしなければならない。
[ファイル検知]
Dropper/HTML.Generic.SC187758 (2023.04.12.02)
Trojan/Win.Agent.C5409945 (2023.04.12.02)
Backdoor/VBS.Generic.SC187759 (2023.04.12.02)
[IOC]
59f7a3fe0453ca6d27ba3abe78930fdf
fe1161885005ac85f89accf703ce27bb
d5e6dc253a5584b178ae3c758120da4d
hairouni.serveblog[.]net:8080
hxxp://45.133.194[.]135:8080/fuat/KCaseAgent64.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報