韓国国内の VPN インストーラーに含まれて拡散している SparkRAT

最近 AhnLab Security Emergency response Center(ASEC)は、特定 VPN プログラムのインストーラーに SparkRAT が含まれて拡散しているいることを確認した。SparkRAT は Go 言語で開発された Remote Administration Tool(RAT) であり、ユーザーシステムにインストールされると、リモートコマンド実行、スクリーンショットを含む感染システムの情報収集、ファイルおよびプロセス制御、追加ペイロードのダウンロードのような様々な不正な振る舞いを実行できる。

1. 配布事例

SparkRAT が含まれた VPN メーカーのホームページは、お知らせやファイルが署名された認証書からして、以前から運営されている場所である。すなわち、現在のホームページはマルウェア配布のために製作されたものではなく、マルウェアが含まれたインストーラーが配布されたのは最近であることが確認できた。

Figure 1. SparkRAT が含まれた VPN のホームページ

インストーラーはハングルのみ確認されたが、この VPN メーカーのホームページは韓国語だけでなく英語、中国語、日本語も提供している。お知らせを見ると、主に中国で円滑なインターネット接続のためにインストールするユーザーの事例が多いものと推定される。実際、当社の AhnLab Smart Defense(ASD)ログ上でも、韓国国内のユーザーよりも中国のユーザーがインストールした履歴が多いことを確認した。

Figure 2. プロセスツリー

ホームページからダウンロードされたファイルは、過去に確認されたインストーラーではなく、.NET で製作された Dropper マルウェアであった。Dropper は従来の VPN インストーラーとマルウェアをリソースに保存しており、実行すると %LOCALAPPDATA%\Syservices\svchost.exe パスにマルウェアを生成して実行させる。

Figure 3. リソースに保存されているマルウェアおよびインストーラー

マルウェアだけでなく、従来の VPN インストーラーも一緒に生成および実行するため、ユーザーはマルウェアがインストールされたことを認知しづらく、正常に VPN インストーラーが実行したと認知してしまう。また、マルウェアをタスクスケジューラに登録し、再起動後にも実行できるようにする。

Figure 4. 生成されたファイルと実行された VPN インストーラー

「svchost.exe」の名前で生成されたマルウェアも Dropper マルウェアである。上記で取り扱った Dropper と同じように、リソースに SparkRAT が含まれており、「svch.exe」という名前で同じパスに生成して実行する機能を担っている。

Figure 5. SparkRAT を生成する同じ形態の Dropper マルウェア

2. SparkRAT

SparkRAT はオープンソース RAT マルウェアで、GitHub に公開されている。Go 言語で開発されたことが特徴である SparkRAT は、一般的な RAT マルウェアのようにコマンド実行、情報の窃取、プロセスおよびファイル制御のような基本的な機能を提供している。

Figure 6. GitHub に公開されている SparkRAT のソースコード

Go 言語は様々なプラットフォームをサポートしているため、Go 言語で開発されたマルウェアも一般的には Windows だけでなく、Linux や MacOS もサポートする傾向がある。SparkRAT も上記の3つの OS をすべてサポートしており、以下の表のように、それぞれのプラットフォーム別にサポートする機能を分類して提供している。

Figure 7. プラットフォーム別に提供する機能

それ以外の SparkRAT の特徴は、上記の GitHub ページで確認できるように、中国語をサポートしていることであり、開発者も中国語を使用することが分かっている。[1] 過去に SentinelOne で SparkRAT を利用する DragonSpark 攻撃キャンペーンを紹介しながら、攻撃者が中国語を流暢に使用していると推定した。攻撃者を特定することはできないが、攻撃に使用された VPN も、中国で多く使用されるプログラムであるという特徴がある。

攻撃に使用された SparkRAT は難読化されていないため、使用された関数名だけで簡単に区分できる。SparkRAT は初期化関数の main.init() で設定データを復号化し、C&C アドレスおよびポート番号のような情報を獲得できる。

Figure 8. 難読化されていない SparkRAT
Figure 9. 復号化された SparkRAT の設定データ

ASEC では、当社の ASD ログを通じて関連ファイルを確認していた際に、この VPN と推定されるインストーラーマルウェアから追加のマルウェアを確認した。このマルウェアは近接した時点に配布されたものと推定され、x86 アーキテクチャの SparkRAT であるという点が特徴である。

Figure 10. x86 SparkRAT の設定データ

これ以外にも x64 SparkRAT は https プロトコルを使用していたが、x86 SparkRAT は http を使用しているため、以下のように暗号化されていないパケットを確認することができる。

Figure 11. x86 SparkRAT のパケット通信

3. 結論

最近 ASEC では VPN インストーラーに SparkRAT が含まれて配布された事例を確認した。攻撃者は正常に使用される VPN サービスをハッキングしてマルウェアを配布したと推定される。ユーザーがホームページから不正なインストーラーをダウンロードしてインストールすると、不正なインストーラーは SparkRAT だけでなく従来の VPN インストーラーも一緒にインストールするため、マルウェアに感染した事実の認知を困難にしている。ユーザーは V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– Dropper/Win.Agent.C5421402 (2023.05.03.00)
– Trojan/Win.Malware-gen.R557808 (2023.02.11.01)
– Dropper/Win.Agent.C5421380 (2023.05.03.00)
– Trojan/Win.Generic.C5228761 (2022.08.28.00)
– Dropper/Win.SparkRAT.C5421465 (2023.05.03.01)
– Backdoor/Win.SparkRAT.C5421466 (2023.05.03.01)

IOC
MD5

– 2e3ce7d90d988e1b0bb7ffce1731b04b : ホームページからダウンロードされる不正なインストーラー (167775071_dJABfPme_[…..]VPNSetup1.0.4.3.exe)
– b571d849c0cb3c7af1cee6990654972b : 不正なインストーラーが生成したDropper マルウェア (svchost.exe)
– 5b78c44262ebcb4ce52e75c331683b5b : SparkRAT x64 (svch.exe)
– a5950704dfa60ba5362ec4a8845c25b2 : 不正なインストーラー (167780244_4sfjr6so_[…..]vpnsetup1.0.4.3.exe)
– 7923f9e0e28ceecdb34e924f2c04cda0 : 不正なインストーラー – SparkRAT x86 (167775071_gbyri71h_167775186_nyc0wzmq_[…..]vpnsetup1.0.4.3.exe)
– e4805cbd59fe793c48f6341f3d1e5466 : SparkRAT x86 (svh.exe)
– 54dd763bca743cbdbdfe709d9ab1d0db : SparkRAT x86 (svh.exe)

C&C
– gwekekccef.webull[.]day:443 : SparkRAT x64
– 59.22.167[.]217:34646 : SparkRAT x86

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 2 votes
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] VPN インストーラーに含まれて拡散している SparkRAT」[1]で、韓国国内の VPN プログラムのインストーラーに SparkRAT […]