クラックに偽装して拡散しているマルウェアが進化している。
過去では単純にマルウェアの実行ファイル自体を配布していたのに対し、圧縮ファイル内部に正常なファイルを含むようになり、最近では正常なインストーラーをダウンロード後に実行するサンプルが登場した。
一般的なユーザー環境でマルウェアを実行した場合、攻撃者のサーバーから暗号化されたマルウェアファイルをダウンロード後に実行するが、このマルウェアは情報窃取機能を持つ RecordBreaker Stealer (Raccoon Stealer V2)である。
しかし、仮想環境ではマルウェアではなく、MS 公式ホームページから .NET のアップデートインストーラーをダウンロードして実行したあと、終了する。従来の .NET Framework のインストール有無によって以下のようなウィンドウが表示される場合がある。
したがって、サンドボックス等の解析環境では当該ファイルが正常なファイルとして分類される可能性が高い。実際に VirusTotal 上のすべてのサンドボックスが回避され、.NET インストーラーが実行されたことを確認できる。
配布される圧縮ファイル内には複数の正常なファイルとフォルダーを同時に圧縮しており、ユーザーを欺こうとしている。以下の図は配布ページからダウンロードされた RAR ファイルを解凍したときに生成されるファイルであり、「setup.exe」ファイルだけがマルウェアに該当し、残りはマルウェアの実行とは全く関係のない、広く使用されている正常なファイルである。
本サンプルは、過去に配布されていたものとは異なり Rust で作成されたという特徴がある。また、今回の配布ではファイル容量を大きく増やす様子は見られない。ファイル容量は、20MB~50MB 程度である。過去に配布されていたサンプルが 3GB まで容量を引き上げていたことに比べると、非常に少ない容量である。
また、複数の解析妨害手法を用いているが、確認された機能は以下の通りであり、ほとんどが仮想環境検知(Anti-VM)関連の機能である。
- デバッグ有無のチェック
- メモリ上の仮想環境関連の文字列のチェック
- PC 名、User 名のチェック
- 仮想環境関連のドライバー(.sys)存在有無のチェック
- ファイル/フォルダー名のチェック
- 実行中のプロセスのチェック
- システム情報(Disk サイズ、プロセッサ情報、メモリサイズ等)
仮想環境ではない場合、Powershell コマンドを利用して実行を遅延させた後、最終的に C2 から暗号化されたマルウェアファイルをダウンロードする。
| “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -NoProfile -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAANQA= |
| -enc Start-Sleep -s 5 |
C2 : http://89.185.85[.]117/bmlupdate.exe
C2 からダウンロードされたファイルは XOR 暗号化されており、キーは「 Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY」である。
ダウンロードしたファイルを復号化し、正常なプロセス(addinprocess32.exe)を実行後、インジェクションする。復号化されたファイルは RecordStealer マルウェアであり、 別途のパックは存在しないが、コード領域の全体に不要な API 呼び出しコードを大量に挿入することで解析を妨害している。
MD5: 9fed0b55798d1ffd9b44820b3fec080c (Infostealer/Win.RecordStealer, 2023.06.02.03)
上記で記載した仮想環境検査に検知されると、以下のアドレスから正常な .NET インストーラーファイルをダウンロードして実行する。
hxxps://download,visualstudio,microsoft[,]com/download/pr/1f5af042-d0e4-4002-9c59-9ba66bcf15f6/124d2afe5c8f67dfa910da5f9e3db9c1/ndp472-kb4054531-web,exe
したがって、仮想環境と通常の環境で以下のようなプロセスツリーの違いが生じる。
最終的に実行された RecordBreaker Stealer は、サーバーから応答した設定値によってユーザーの各種機密情報を窃取して C2 に送信後、終了する。
C2: 94.142.138[.]74
User-Agent: Zadanie
RecordBreaker Stealer に関する詳細情報は、以下の記事で確認できる。
攻撃者は検知を回避するため、持続的に新種の変形を製作している。Crack、Keygen 等の違法ツールの使用は控え、開発社が公式に配布するインストーラーを使用しなければならない。特に、不明な Web サイトからダウンロードしたファイルが暗号化された圧縮ファイルであったり、内部に setup、activate、install 等のファイル名を持つ実行ファイルが存在する場合、マルウェアの可能性を疑うべきである。
ASEC (AhnLab Security Emergency response Center)では、自動化されたシステムによってこのような方式により配布されるマルウェアを綿密にモニタリングしており、AhnLab TIP サービスでは関連する内容をリアルタイムで確認できる。
[ファイル検知]
Infostealer/Win.RecordStealer.R579433 (2023.05.19.02)
Infostealer/Win.RecordStealer.R581333 (2023.05.25.03)
Infostealer/Win.Vidar.R582891 (2023.05.30.03)
Infostealer/Win.RecordStealer.R583862 (2023.06.02.03)
Infostealer/Win.RecordStealer.R583865 (2023.06.02.03)
[IOC]
| MD5 | 配布日 | ダウンロード C2 | RecordBreaker C2 |
| 8248d62ec402f42251e5736b33da1d4d | 2023-05-18 | hxxp://89.208.103[.]225/client14/enc2no.exe | hxxp://94.142.138[.]246/ |
| 19e491dfe1ab656f715245ec9401bdd1 | 2023-05-19 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 21a8a6cfa229862eedc12186f0139da0 | 2023-05-19 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe | hxxp://94.142.138[.]246/ |
| a494e9ff391db7deac7ad21cadf45cca | 2023-05-19 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| bc127d20aa80e7834c97060c1ce5d7f3 | 2023-05-19 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe | hxxp://94.142.138[.]246/ |
| ac449f0e00b004b3bba14c37f61d1e85 | 2023-05-19 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 14eb67caa2c8c5e312e1bc8804f7135f | 2023-05-20 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 2802aaea098b45cf8556f7883bf5e297 | 2023-05-21 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 0c34e053a1641c0f48f7cac16b743a82 | 2023-05-21 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe | hxxp://94.142.138[.]246/ |
| a383055244f546ca4f7bd0290b16d9c9 | 2023-05-22 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 986bc66f125aae71d228eeecf3efe321 | 2023-05-23 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 97fbfaf2b454b3a9b3b4d4fd2f9a7cb9 | 2023-05-23 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe | hxxp://94.142.138[.]246/ |
| 660f72ddf06bcfa4693e29f45d3e90b0 | 2023-05-23 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 894ce52199f7e633306149708c1b288b | 2023-05-24 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| bdda7ef4439954a392c9b5150a6c6213 | 2023-05-24 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe | hxxp://94.142.138[.]246/ |
| 8b6ff39df70b45bb34c816211cbc2af8 | 2023-05-24 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| b5e9f861213e7148491ba6c13972a8ba | 2023-05-25 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe | hxxp://94.142.138[.]246/ |
| 5254fc5d6990d2d58a9ef862503cc43d | 2023-05-25 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe | hxxp://94.142.138[.]247/ |
| 45613d3339b9f45366218362f2e6b156 | 2023-05-26 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1n.exe | hxxp://94.142.138[.]247/ |
| f2c6fec557daa2596b5467026f068431 | 2023-05-26 | hxxp://85.192.40[.]245/fol1paf2nyg0/bn1n.exe | hxxp://94.142.138[.]247/ |
| 7523a30c60fb7d2c02df18fa967f577d | 2023-05-28 | hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe | hxxp://77.91.73[.]11:2705/ |
| 3215b2bd3aeaea84f4f696c7ba339541 | 2023-05-29 | hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe | hxxp://78.46.248[.]198/ |
| 8e40018360068a2c0cb94a514b63a959 | 2023-05-30 | hxxp://89.185.85[.]33/pctupdate.exe | hxxp://79.137.203[.]217/ |
| 24960b3a4fb29a71445b7239cd30bbce | 2023-05-30 | hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe | hxxp://78.46.248[.]198/ |
| 83432cfda6a30f376d00eba4e1e6c93f | 2023-05-30 | hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe | hxxp://78.46.248[.]198/ |
| 73239203bc4cdf249575de358281fe82 | 2023-06-01 | hxxp://89.185.85[.]33/pctupdate.exe | hxxp://94.142.138[.]60/ |
| d367b73118fa966b5f5432bbbf35bae5 | 2023-06-02 | hxxp://89.185.85[.]117/bmlupdate.exe | hxxp://94.142.138[.]74/ |
| 6a834288fd96008cbe3fc39c61d21734 | 2023-06-02 | hxxp://89.185.85[.]33/pctupdate.exe | hxxp://94.142.138[.]60/ |
| 972748e60f696333dd8b4b12f9f3a7af | 2023-06-02 | hxxp://89.185.85[.]117/bmlupdate.exe | hxxp://94.142.138[.]74/ |
| 0c819835aa1289985c5292f48e7c1f24 | 2023-06-04 | hxxp://89.185.85[.]117/bmlupdate.exe | hxxp://94.142.138[.]74/ |
| ebd8eeac32292f508b1c960553202750 | 2023-06-05 | hxxp://89.185.85[.]117/bmlupdate.exe | hxxp://94.142.138[.]74/ |
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報