日本のユーザーを対象に拡散しているインフォスティーラー

ASEC(AhnLab Security Emergency response Center)では最近、日本のユーザーを対象として成人向けゲームに偽装した情報窃取型マルウェアが配布されていることを確認した。配布経路は確認されてないが、成人向けゲームであるため、Torrent や違法共有サイトを通じて配布されているものと推定される。

成人向けゲームに偽装したマルウェアを配布する方式は、韓国国内でもよく使用される方式である。攻撃者は既知のマルウェアの代わりに、自ら製作したものと思われるマルウェアを使用しており、PDB 情報を通じて Stellar、ReceiverNeo という名前であることと確認した。以下のパスはマルウェアが検知されたパスであり、ここで取り扱ったタイプ以外にも、様々な成人向けゲームに含まれて配布されていると推定される。

  • %UserProfile%\Desktop\bubbledehousede_trial\バブルdeハウスde〇〇〇 体験版\
  • %UserProfile%\Download\anim_あねつまみ 体験版\

一般的にこのような成人向けゲームは圧縮ファイルで配布され、以下のような形態を取っている。圧縮ファイルを解凍したフォルダの中にある「Start.exe」が、ゲームのランチャープログラムであり、「Lib」フォルダにはゲームプログラムが使用するライブラリファイルが存在している。

Figure 1. 正常なゲームインストールフォルダ

マルウェアも同じく圧縮ファイルで配布されているが、「Lib」フォルダにマルウェアが含まれているという違いがある。マルウェアのルーティンを見ると、以下のような形態であると推定できる。Dropper マルウェアは「Sound.dll」の名前で存在しており、代わりに原本の「Sound.dll」は「SoundDX.dll」という名前を持っている。他にもファイアウォールを設定するマルウェアが、「Vorbis64.dll」という名前で存在している。

Figure 2. マルウェアが含まれている Lib フォルダ

1. DLL ハイジャックを利用したマルウェアの実行

Figure 3. プロセスツリー

マルウェアは DLL ハイジャック方式を利用して実行される。ゲームプログラムである「Start.exe」が実行されると、「Lib」フォルダに存在している「Sound.dll」をロードするが、攻撃者がマルウェアを「Sound.dll」パスにインストールしたため、正常なライブラリファイルの代わりにマルウェアがロードされる。不正な「Sound.dll」は正常なファイルのように偽装しており、Export 関数も実際のものと同じである。

Figure 4. 正常なライブラリに偽装したマルウェア

「Start.exe」が動作するプロセスで、正常な「Sound.dll」の特定の関数を実行しようとする場合、マルウェアの「Sound.dll」は、同じパスに存在している「SoundDX.dll」の関数が実行されるようにしている。不正なルーティンは DllMain() 関数に存在するため、DLL をロードするとすぐに実行される。また、正常なライブラリに対する関数の呼び出しもサポートしているため、成人向けゲーム自体も正常に動作する。したがって、ユーザーはゲームが正常に動作していると認知しながら、ゲームと同時に不正なルーティンも実行される。

2. Dropper マルウェア

「Sound.dll」は Dropper マルウェアである。ファイル内部の .data セクションに実際のインフォスティーラーマルウェアが存在し、以下のようなパスに生成される。

  • %APPDATA%\Roaming\SakuradaInc\UpdChk.exe
  • %APPDATA%\SakuradaInc\UpdChk.exe.config
  • %TEMP%\taskdiskmgr.exe
  • %TEMP%\taskdiskmgr.exe.config
Figure 5. .data セクションに存在するマルウェア

生成されたマルウェアのうち、「taskdiskmgr.exe」は直接実行し、「UpdChk.exe」は「App」という名前でタスクスケジューラに登録して、8時間ごとに実行されるようにする。

Figure 6. 生成したマルウェアを実行させるコマンド

「Sound.dll」には上記のような Dropper 機能の他に、権限昇格を通して他のマルウェアを実行させるルーティンも存在する。「Lib」フォルダには「Sound.dll」以外に「Vorbis64.dll」が存在しているが、「Sound.dll」は UAC 回避方式を利用し、「Vorbis64.dll」が管理者権限で実行されるようにしている。

「Sound.dll」は .NET の Code Profiling 機能を悪用する方式で UAC を回避している。以下のようなレジストリキーは管理者権限がなくても使用できるが、このキーに不正な DLL のパスを指定して「mmc.exe」を実行すると、「mmc.exe」プロセスに指定した DLL がロードされて実行される。問題点は、「mmc.exe」が UAC プロンプトのポップアップなしに管理者権限で実行されるプログラムであり、最終的には管理者権限がなくても UAC プロンプトのポップアップを介さずに、管理者権限で実行できるということである。

Figure 7. UAC 回避ルーティン

「Sound.dll」が生成するマルウェアはインフォスティーラーであり、したがって窃取した情報を C&C サーバーに送信しなければならない。そのため、攻撃者はファイアウォールを設定し、インストールしたマルウェアのネットワーク振る舞いを許可する必要がある。「Vorbis64.dll」はこのような機能を担っており、ファイアウォールタスクの際に管理者権限が必要であるため、UAC 回避方式を通じて「Vorbis64.dll」を管理者権限で動作させるのである。

Figure 8. ファイアウォール設定ルーティン

3. インフォスティーラーマルウェア

3.1. Stellar

初回実行される「taskdiskmgr.exe」は、Web ブラウザ、FTP クライアント、パスワード管理者、仮想通貨ウォレットファイルなど、様々なユーザー情報を窃取するインフォスティーラーマルウェアである。マルウェアの製作者は、このマルウェアを Stellar という名前で製作しており、以下のような PDB 情報を通じてこれを確認できる。

  • マルウェアの PDB 情報 : C:\Users\Visual\Documents\Visual Studio 2015\Projects\Stellar\Stellar\Stellar\obj\Release\Informatiq.pdb

まず、Stellar は「%TEMP%\2568da71-f70d-4fb2-b12c-2e277b618cbe」のようなフォルダを生成するが、ここには今後のプロセスで窃取する情報が保存される。

Figure 9. Stellar の Main ルーティン
カテゴリー 詳細
基本情報 OS 情報、ユーザー名、プロセスリスト
Web ブラウザのアカウント情報 Chrome、FireFox、Edge
電子メールクライアントのアカウント情報 Thunderbird
FTP クライアントのアカウント情報 NextFTP、WinSCP
パスワード管理者 KeePass、1Password
仮想通貨 ビットコイン
ユーザーファイル デスクトップ(%USERPROFILE%\Desktop\)、ドキュメント(%USERPROFILE%\Documents\)フォルダ内のファイル
その他 Dropbox、Putty
Table 1. 情報窃取対象

デスクトップとドキュメントフォルダに存在しているファイルの場合、特定のキーワードを含んでいるファイル名であったり、特定のキーワードを含んでいるフォルダの中に存在しているファイルが窃取対象となる。ビットコインの場合もインストール先に存在している特定の名前のファイルが窃取対象となる。以下はそれぞれのリストである。

Figure 10. 窃取対象のファイルおよびフォルダ名
  • デスクトップ(%USERPROFILE%\Desktop\)フォルダに存在しているユーザーファイル(ファイル名) : “.fmp12”, “.fm7”, “Admin”, “admin”, “1PasswordExport”, “.1pux”, “.kdbx”, “.keyx”, “kdb”, “wallet”, “Vpn”, “vpn”, “Ftp”, “PASS”, “ftp”, “Backup”, “backup”, “パスワード”, “メモ”, “めも”, “memo”, “Memo”, “MEMO”, “アカウント”, “account”, “Account”, “ACCOUNT”, “id”, “Id”, “ID”, “pw”, “Pw”, “PW”, “pass”, “Pass”, “サーバ”
  • デスクトップ(%USERPROFILE%\Desktop\)フォルダに存在しているユーザーファイル(フォルダー名) : “Wallet”, “wallet”, “Vpn”, “vpn”, “Ftp”, “PASS”, “ftp”, “Backup”, “backup”, “パスワード”, “メモ”, “めも”, “memo”, “Memo”, “MEMO”, “アカウント”, “account”, “Account”, “ACCOUNT”, “id”, “Id”, “ID”, “pw”, “Pw”, “PW”, “pass”, “Pass”, “PASS”, “サーバ”,”Admin”, “admin”,”ADMIN”
  • ドキュメント(%USERPROFILE%\Documents\)フォルダに存在しているユーザーファイル(ファイル名) : “Admin”, “admin”, “1PasswordExport”, “.1pux”, “.kdbx”, “.keyx”, “.kdb”, “wallet”, “Vpn”, “vpn”, “Ftp”, “PASS”, “ftp”, “Backup”, “backup”, “パスワード”, “メモ”, “めも”, “memo”, “Memo”, “MEMO”, “アカウント”, “account”, “Account”, “ACCOUNT”, “id”, “Id”, “ID”, “pw”, “Pw”, “PW”, “pass”, “Pass”, “サーバ”
  • ドキュメント(%USERPROFILE%\Documents\)フォルダに存在しているユーザーファイル(フォルダー名) : “Wallet”, “wallet”, “Vpn”, “vpn”, “Ftp”,”PASS”, “ftp”, “Backup”, “backup”, “パスワード”, “メモ”, “めも”, “memo”, “Memo”, “MEMO”, “アカウント”,”account”, “Account”, “ACCOUNT”, “id”, “Id”, “ID”, “pw”, “Pw”, “PW”, “pass”, “Pass”, “PASS”, “サーバ”, “Admin”, “admin”, “ADMIN”
  • ビットコインインストールフォルダに存在している設定ファイル(ファイル名) : “banlist.dat”, “fee_estimates.dat”, “mempool.dat”, “peers.dat”, “db.log”, “debug.log”, “.lock”

収集した情報およびファイルは C&C サーバーに HTTP で接続し、POST 方式で送信する。Stellar は様々なユーザーファイルを窃取するため、収集したファイルを分けて送信する。

Figure 11. 収集した情報を窃取するルーティン

大半の情報の窃取ルーティンは既知のインフォスティーラーマルウェアの方式と同じだが、Edge Web ブラウザの場合、PowerShell の PasswordVault を利用するという点が特徴である。Stellar はセキュリティ製品の AMSI によって PasswordVault PowerShell コマンドがブロックされることを防止するため、このコマンドを実行する前に AMSI の無効化を試みる。

Figure 12. PasswordVault を利用した Edge アカウント情報の収集

AMSI の無効化は上記のアセンブリを通じて行われるが、Stellar は内部に文字列の形で存在する DLL をロードした後、AMSI の無効化を担当する off() 関数を呼び出す。off() 関数は AmsiScanBuffer() 関数をパッチし、その後 Stellar で実行する PowerShell コマンドが AMSI のバッファに渡されないようにする。

Figure 13. AmsiScanBuffer を無効化するルーティン

最後に、窃取した情報が保存されているフォルダを削除し、レジストリキー「HKCU\Software\Kdslnc」の「Id」項目にランダムな文字列を書いて終了する。

3.2. ReceiverNeo

タスクスケジューラに登録され、定期的に実行される「UpdaChk.exe」は、感染システムのスクリーンショットを窃取する情報窃取型マルウェアである。PDB 情報を見ると、マルウェアの製作者はこのマルウェアを ReceiverNeo という名前で製作していた。

  • マルウェアの PDB 情報 : C:\Users\Visual\Documents\Visual Studio 2015\Projects\ReceiverNeo\ReceiverNeo\ReceiverNeo\obj\Release\UpdateCheck.pdb

ReceiverNeo は Stellar が設定した上記のレジストリキー、すなわち「HKCU\Software\Kdslnc」の「Id」項目をチェックした後、そのキーが存在しない場合には動作せずに終了する。攻撃者は Stellar が先に動作するように設計し、その後、定期的にスクリーンショットを窃取する ReceiverNeo が動作するようにしていた。

Figure 14. ReceiverNeo の情報 Main ルーティン

スクリーンショットは「%TEMP%\29b4f6eb-ef41-4563-a989-c3d2ca47dbe5\scrnshot.jpg」と同じパスに保存される。ReceiverNeo はスクリーンショットを保存する単純な機能がすべてであり、保存されたスクリーンショットは Stellar のように C&C サーバーに送信される。

4. 結論

最近、日本のユーザーを対象として、成人向けゲームに偽装したインフォスティーラーマルウェアが活発に配布されているため、ユーザーの注意が必要である。データ共有サイトからダウンロードした実行ファイルは特に注意が必要であり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。ユーザーは V3 を最新バージョンにアップデートして、マルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– Trojan/Win.Generic.C5424217 (2023.05.09.01)
– Trojan/Win.InfoStealer.C5424223 (2023.05.09.01)
– Infostealer/Win.Agent.C5424884 (2023.05.10.03)
– Infostealer/Win.Agent.C5424920 (2023.05.10.03)
– Dropper/Win.Agent.C5424923 (2023.05.10.03)
– Dropper/Win.Agent.C5424924 (2023.05.10.03)

ビヘイビア検知
– Malware/MDP.Infostealer.M2499

IOC
MD5

– 0e4d58680ea90bc4840694571e823a58 : Dropper (Sound.dll)
– 393a9015d6ccfa61b9f3824fdf00fb61 : Trojan (Vorbis64.dll)
– a6c9ef96866913cd0a9443061451a43c : Dropper (hid.dll)
– 1ec7fdd8444138c84ae766cdee8dcb4b : Dropper (hid.dll)
– ac513b749dc1c9f73eae5598dac651ea : Dropper
– db6659f917ddc2f28cd38dc4be86bb90 : Stellar (taskdiskmgr.exe)
– 4ab2be7e1f935f498577cbcc15684ed9 : Stellar (taskdiskmgr.exe)
– 886a071fecc488cbdb7ca3f1f7e8585d : Stellar (taskdiskmgr.exe)
– 6413a1dd52a0335cf774be770eab151f : Stellar (Update.exe)
– c06b7f31b91f1386f7453fe52e6f9ce5 : ReceiverNeo (updchk.exe)
– 75663b7e5879317a182b06eb9f273b7a : ReceiverNeo (UpdateCheck.exe)

C&C アドレス
– hxxp://hokuto-kyoto[.]jp/Library/books/index.php : Stellar
– hxxp://kyoto-senbon.or[.]jp/info/news/index.php : Stellar
– hxxps://gestiss[.]org/news_/data/index.php : ReceiverNeo
– hxxp://kyoto-med[.]jp/news/index.php : ReceiverNeo

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments