.NET インストーラーに偽装した RecordBreaker 情報窃取マルウェア

クラックに偽装して拡散しているマルウェアが進化している。

過去では単純にマルウェアの実行ファイル自体を配布していたのに対し、圧縮ファイル内部に正常なファイルを含むようになり、最近では正常なインストーラーをダウンロード後に実行するサンプルが登場した。

一般的なユーザー環境でマルウェアを実行した場合、攻撃者のサーバーから暗号化されたマルウェアファイルをダウンロード後に実行するが、このマルウェアは情報窃取機能を持つ RecordBreaker Stealer (Raccoon Stealer V2)である。

しかし、仮想環境ではマルウェアではなく、MS 公式ホームページから .NET のアップデートインストーラーをダウンロードして実行したあと、終了する。従来の .NET Framework のインストール有無によって以下のようなウィンドウが表示される場合がある。

図1.  .NET インストーラーの実行画面

したがって、サンドボックス等の解析環境では当該ファイルが正常なファイルとして分類される可能性が高い。実際に VirusTotal 上のすべてのサンドボックスが回避され、.NET インストーラーが実行されたことを確認できる。

図2. VirusTotal の解析情報

配布される圧縮ファイル内には複数の正常なファイルとフォルダーを同時に圧縮しており、ユーザーを欺こうとしている。以下の図は配布ページからダウンロードされた RAR ファイルを解凍したときに生成されるファイルであり、「setup.exe」ファイルだけがマルウェアに該当し、残りはマルウェアの実行とは全く関係のない、広く使用されている正常なファイルである。

図3. マルウェアのフォルダー

本サンプルは、過去に配布されていたものとは異なり Rust で作成されたという特徴がある。また、今回の配布ではファイル容量を大きく増やす様子は見られない。ファイル容量は、20MB~50MB 程度である。過去に配布されていたサンプルが 3GB まで容量を引き上げていたことに比べると、非常に少ない容量である。

また、複数の解析妨害手法を用いているが、確認された機能は以下の通りであり、ほとんどが仮想環境検知(Anti-VM)関連の機能である。

  • デバッグ有無のチェック
  • メモリ上の仮想環境関連の文字列のチェック
  • PC 名、User 名のチェック
  • 仮想環境関連のドライバー(.sys)存在有無のチェック
  • ファイル/フォルダー名のチェック
  • 実行中のプロセスのチェック
  • システム情報(Disk サイズ、プロセッサ情報、メモリサイズ等)
図4. Anti-VM の文字列
図5. Anti-SandBox の文字列

仮想環境ではない場合、Powershell コマンドを利用して実行を遅延させた後、最終的に C2 から暗号化されたマルウェアファイルをダウンロードする。

“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -NoProfile -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAANQA=
-enc Start-Sleep -s 5
表1. Powershell コマンド

C2 : http://89.185.85[.]117/bmlupdate.exe

C2 からダウンロードされたファイルは XOR 暗号化されており、キーは「 Fm6L4G49fGoTN5Qg9vkEqN4THHncGzXRwaaSuzg2PZ8BXqnBHyx9Ppk2oDB3UEcY」である。

ダウンロードしたファイルを復号化し、正常なプロセス(addinprocess32.exe)を実行後、インジェクションする。復号化されたファイルは RecordStealer マルウェアであり、 別途のパックは存在しないが、コード領域の全体に不要な API 呼び出しコードを大量に挿入することで解析を妨害している。

MD5: 9fed0b55798d1ffd9b44820b3fec080c (Infostealer/Win.RecordStealer, 2023.06.02.03)

図6. (左)暗号化されたバイナリ (右)復号化されたバイナリ
図7. 不要な API 呼び出しコード

上記で記載した仮想環境検査に検知されると、以下のアドレスから正常な .NET インストーラーファイルをダウンロードして実行する。

hxxps://download,visualstudio,microsoft[,]com/download/pr/1f5af042-d0e4-4002-9c59-9ba66bcf15f6/124d2afe5c8f67dfa910da5f9e3db9c1/ndp472-kb4054531-web,exe

したがって、仮想環境と通常の環境で以下のようなプロセスツリーの違いが生じる。

図8. プロセスツリー構造の比較 (左)仮想環境 (右)通常環境

最終的に実行された RecordBreaker Stealer は、サーバーから応答した設定値によってユーザーの各種機密情報を窃取して C2 に送信後、終了する。

図9. RecordBreaker の C2 通信

C2: 94.142.138[.]74

User-Agent: Zadanie

RecordBreaker Stealer に関する詳細情報は、以下の記事で確認できる。

攻撃者は検知を回避するため、持続的に新種の変形を製作している。Crack、Keygen 等の違法ツールの使用は控え、開発社が公式に配布するインストーラーを使用しなければならない。特に、不明な Web サイトからダウンロードしたファイルが暗号化された圧縮ファイルであったり、内部に setup、activate、install 等のファイル名を持つ実行ファイルが存在する場合、マルウェアの可能性を疑うべきである。

ASEC (AhnLab Security Emergency response Center)では、自動化されたシステムによってこのような方式により配布されるマルウェアを綿密にモニタリングしており、AhnLab TIP サービスでは関連する内容をリアルタイムで確認できる。

図10. AhnLab TIP – Live C&C サービス

[ファイル検知]

Infostealer/Win.RecordStealer.R579433 (2023.05.19.02)
Infostealer/Win.RecordStealer.R581333 (2023.05.25.03)
Infostealer/Win.Vidar.R582891 (2023.05.30.03)
Infostealer/Win.RecordStealer.R583862 (2023.06.02.03)
Infostealer/Win.RecordStealer.R583865 (2023.06.02.03)

[IOC]

MD5 配布日 ダウンロード C2 RecordBreaker C2
8248d62ec402f42251e5736b33da1d4d 2023-05-18 hxxp://89.208.103[.]225/client14/enc2no.exe hxxp://94.142.138[.]246/
19e491dfe1ab656f715245ec9401bdd1 2023-05-19 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
21a8a6cfa229862eedc12186f0139da0 2023-05-19 hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe hxxp://94.142.138[.]246/
a494e9ff391db7deac7ad21cadf45cca 2023-05-19 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
bc127d20aa80e7834c97060c1ce5d7f3 2023-05-19 hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe hxxp://94.142.138[.]246/
ac449f0e00b004b3bba14c37f61d1e85 2023-05-19 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
14eb67caa2c8c5e312e1bc8804f7135f 2023-05-20 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
2802aaea098b45cf8556f7883bf5e297 2023-05-21 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
0c34e053a1641c0f48f7cac16b743a82 2023-05-21 hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe hxxp://94.142.138[.]246/
a383055244f546ca4f7bd0290b16d9c9 2023-05-22 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
986bc66f125aae71d228eeecf3efe321 2023-05-23 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
97fbfaf2b454b3a9b3b4d4fd2f9a7cb9 2023-05-23 hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe hxxp://94.142.138[.]246/
660f72ddf06bcfa4693e29f45d3e90b0 2023-05-23 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
894ce52199f7e633306149708c1b288b 2023-05-24 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
bdda7ef4439954a392c9b5150a6c6213 2023-05-24 hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe hxxp://94.142.138[.]246/
8b6ff39df70b45bb34c816211cbc2af8 2023-05-24 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
b5e9f861213e7148491ba6c13972a8ba 2023-05-25 hxxp://85.192.40[.]245/fol1paf2nyg0/bn2.exe hxxp://94.142.138[.]246/
5254fc5d6990d2d58a9ef862503cc43d 2023-05-25 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1.exe hxxp://94.142.138[.]247/
45613d3339b9f45366218362f2e6b156 2023-05-26 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1n.exe hxxp://94.142.138[.]247/
f2c6fec557daa2596b5467026f068431 2023-05-26 hxxp://85.192.40[.]245/fol1paf2nyg0/bn1n.exe hxxp://94.142.138[.]247/
7523a30c60fb7d2c02df18fa967f577d 2023-05-28 hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe hxxp://77.91.73[.]11:2705/
3215b2bd3aeaea84f4f696c7ba339541 2023-05-29 hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe hxxp://78.46.248[.]198/
8e40018360068a2c0cb94a514b63a959 2023-05-30 hxxp://89.185.85[.]33/pctupdate.exe hxxp://79.137.203[.]217/
24960b3a4fb29a71445b7239cd30bbce 2023-05-30 hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe hxxp://78.46.248[.]198/
83432cfda6a30f376d00eba4e1e6c93f 2023-05-30 hxxp://79.137.202[.]161/7yd0ymt74ny7qbuk/Pangl.exe hxxp://78.46.248[.]198/
73239203bc4cdf249575de358281fe82 2023-06-01 hxxp://89.185.85[.]33/pctupdate.exe hxxp://94.142.138[.]60/
d367b73118fa966b5f5432bbbf35bae5 2023-06-02 hxxp://89.185.85[.]117/bmlupdate.exe hxxp://94.142.138[.]74/
6a834288fd96008cbe3fc39c61d21734 2023-06-02 hxxp://89.185.85[.]33/pctupdate.exe hxxp://94.142.138[.]60/
972748e60f696333dd8b4b12f9f3a7af 2023-06-02 hxxp://89.185.85[.]117/bmlupdate.exe hxxp://94.142.138[.]74/
0c819835aa1289985c5292f48e7c1f24 2023-06-04 hxxp://89.185.85[.]117/bmlupdate.exe hxxp://94.142.138[.]74/
ebd8eeac32292f508b1c960553202750 2023-06-05 hxxp://89.185.85[.]117/bmlupdate.exe hxxp://94.142.138[.]74/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 3 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments