Posted By ,

韓国国内の金融セキュリティソリューションの脆弱性を利用する Lazarus 攻撃グループ

Lazarus 攻撃グループは過去に ASEC ブログでも紹介したとおり、INISAFE CrossWeb EX と MagicLine4NX の脆弱性を攻撃に利用している。

ASEC (AhnLab Security Emergency response Center)は、Lazarus 攻撃グループの活動をモニタリングしていたところ、これまで攻撃に悪用されてきた INISAFE CrossWeb EX や MagicLine4NX のほかに VestCert や TCO!Stream の 0-day 脆弱性を利用している状況を新たに確認した。

VestCert は YettieSoft 社が開発した Non-ActiveX 方式の Web セキュリティソフトウェア、TCO!Stream は㈱ MLsoft の企業財産管理プログラムであり、どちらのソリューションも韓国国内の多数企業が採用している。

Lazarus は持続的に韓国国内で使用されているソフトウェアの新たな脆弱性を発見、および攻撃に悪用しているため、当該ソフトウェアを使用する企業は最新バージョンのパッチを適用することを強く推奨する。  

VestCert の脆弱性を利用したマルウェアのダウンロード

攻撃者は企業内部に初期侵入を行うため、水飲み場型攻撃(Watering Hole)の方式を使用する。ユーザーが脆弱なバージョンの VestCert がインストールされた Windows システムにおいて Web ブラウザを利用し、不正なスクリプトが挿入された特定の Web サイトにアクセスすると、Web ブラウザの種類に関係なく VestCert ソフトウェアのサードパーティライブラリ実行の脆弱性により PowerShell が実行され、PowerShell は以下のように C2 サーバーに接続してマルウェアをダウンロードして実行する。

[図] VestCert の脆弱性により実行された、マルウェア(WinSync.dll)をダウンロードする PowerShell コマンド

 

TCO!Stream の脆弱性を利用したマルウェアの内部伝播

攻撃者は最初の被害システムから内部のシステムへとマルウェアを拡散するため、TCO!Stream の脆弱性を利用している。TCO!Stream はサーバーとクライアントで構成されており、サーバーからクライアントにソフトウェアの配布および遠隔操作等の機能を提供する。クライアント側はサーバーとの通信を行うため、TCP 3511 ポートを常時 Listening 状態にするが、攻撃者は自主制作したマルウェアを利用してサーバーから特定ファイルをダウンロードして実行するようにするコマンドパケットを生成し、これをクライアント側に伝達する。このコマンドを受けとったクライアントは TCO!Stream サーバーにアクセスして、攻撃者が事前に用意しておいた不正なファイルをダウンロードして実行する。 

攻撃者が制作したマルウェアは、以下のコマンドライン構造により実行される。  コマンドラインの各パラメータの意味は以下の通りである。 

  • <Malware>: 不正なファイル名 (MicrosoftVSA.bin, MicroForic.tlb, matrox86.bic, matrox86.tcm, matrox86.tcm, wincert.bin, mseng.bin)
  • <TCO DeviceID>: TCO サーバーの Device ID
  • <Destination IP>:  対象クライアントシステムの IP
  • <Destination Port>: 対象クライアントシステムのポート (3511)
  • <Job ID>: サーバーで使用する Job ID

[図] 復号化されたコマンドのデータの一部(解析用)

  • 配布ファイルのパス:C:\Packages\<配布モジュール名>\<バージョン>\<最終パス>\<配布ファイル名>
  • 実行コマンド: loadconf.exe –rt5y65i8##7poi88++5t4t54t54t5n

上記コマンドは、バックドアダウンローダーである(loadconf.exe)を C:\Temp\ にダウンロードして、引数とともに実行させるコマンドである。 

 

脆弱性情報

ASEC は今回悪用された VestCert と TCO!Stream の脆弱性を解析し KISA に通報しており、各開発社にも情報を伝達した。現在はこれらの脆弱性はパッチの適用が完了した状態である。3月13日、KISA のセキュリティ脆弱性情報ポータルに「金融セキュリティソリューションのアップデート勧告」というタイトルでセキュリティ勧告に関する投稿が公開された(https://knvd.krcert.or.kr/detailSecNo.do?IDX=5881)(韓国語外部サイト)。しかしながら、これらのソフトウェアはオートアップデート機能がないソフトウェアのため、現在も脆弱なバージョンを利用している企業が多いものと確認されている。これらのソフトウェアがインストールされたシステムでは、手動で削除を行ってから再インストールすることを推奨する。

VestCert と TCO!Stream の脆弱性に関する情報は ASEC ブログを通じて公開しており、各ソフトウェアの脆弱なバージョンと修正適用バージョンは以下の通りである。 

VestCert

TCO!Stream

AhnLab では、当該マルウェア、不正な振る舞いおよび URL に対して次の通り検知している。 

[ファイル検知]

  • Trojan/Win.Lazardoor (2023.01.11.03)
  • Data/BIN.EncodedPE (2023.01.12.00)
  • Data/BIN.EncodedPE (2023.01.12.00)
  • Trojan/Win.Lazardoor (2022.01.05.01)
  • Trojan/Win.Lazardoor (2023.01.11.03)
  • Data/BIN.EncodedPE (2023.01.12.00)
  • Data/BIN.EncodedPE (2023.01.12.00)
  • Trojan/Win.Agent (2023.01.12.03)
  • Trojan/Win.LazarLoader(2023.01.21.00)

[ビヘイビア検知]

  • InitialAccess/EDR.Lazarus.M10963
  • Execution/EDR.Event.M10769
  • Injection/EDR.Lazarus.M10965
  • Fileless/EDR.Event.M11080

[IOC]

MD5 / SHA1

  • E73EAB80B75887D4E8DD6DF33718E3A5
  • BA741FA4C7B4BB97165644C799E29C99
  • 064D696A93A3790BD3A1B8B76BAAEEF3
  • 8ADEEB291B48C97DB1816777432D97FD
  • 67D306C163B38A06E98DA5711E14C5A7
  • C09B062841E2C4D46C2E5270182D4272
  • 747177AAD5AEF020B82C6AEABE5B174F
  • E7C9BF8BF075487A2D91E0561B86D6F5
  • 55F0225D58585D60D486A3CC7EB93DE5
  • EC5D5941522D947ABD6C9E82E615B46628A2155F (SHA1)
  • 3CA6ABF845F3528EDF58418E5E42A9C1788EFE7A (SHA1)

URL

  • hxxps://www.gongsilbox[.]com/board/bbs.asp
  • hxxp://www.sinae.or[.]kr/sub01/index.asp
  • hxxps://www.bcdm.or[.]kr/board/type3_D/edit.asp
  • hxxps://www.hmedical.co[.]kr/include/edit.php
  • hxxps://www.coupontreezero[.]com/include/bottom.asp
  • hxxp://ksmarathon[.]com/admin/excel2.asp
  • hxxps://www.daehang[.]com/member/logout.asp
  • hxxps://swt-keystonevalve[.]com/data/content/cache/cache.php?mode=read
  • hxxps://www.materic.or[.]kr/files/board/equip/equip_ok.asp

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

5 1 vote
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments