NetSupport RAT は様々な攻撃者によって使用されている。送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)等に偽装したスパムメール、およびフィッシングページからの配布によって拡散している。フィッシングページからの配布事例は、以前、ブログを通じて紹介したことがある。[1]
AhnLab Security Emergency response Center (ASEC)は最近、拡散するスピアフィッシングメールから NetSupport RAT が配布されることを確認した。これを通じ、フィッシングメールから配布される動作フローおよび検知に関して説明する。
[図1]は NetSupport RAT マルウェアを配布するフィッシング電子メールの本文の内容である。メールには不正な Javascript が圧縮され「scan16431643.zip」というファイル名で添付されている。攻撃者は監査と関連するチェックリスト項目ファイルで被害者を欺き、添付した不正なファイルを実行するように誘導している。添付された圧縮ファイル(scan16431643.zip)の内部には[図2]のように「scan16431643.js」というファイル名の不正な Javascript が含まれている。
[図1] NetSupport RAT マルウェアを配布するフィッシングメールの本文
[図2] 添付された圧縮ファイル(scan16431643.zip)内部の不正な Javascript(scan16431643.js)
[図3] は不正な Javascript(scan16431643.js)の一部画像であり、一部の文字列が難読化されている。正常なサイト3つに接続して、被害者の PC 環境のインターネット接続を確認する。接続に失敗すると、マルウェアは終了する。
[図3] 不正な Javascript(scan16431643.js)のインターネット接続チェック機能
インターネット接続が成功すると、マルウェアは[図4]のように C2 に接続し、追加の PowerShell スクリプトをダウンロードして実行させる。この部分でも、コードが難読化されている。
[図4] 不正な Javascript(scan16431643.js)の C2 からの PowerShell ダウンロードおよび実行機能
[図5] はこのマルウェアが実行された環境で発生した EDR 脅威検知ダイアグラムである。AMSI 機能によって Javascript の難読化されたスクリプトであっても AMSI バッファにより収集される文字列によって PowerShell コマンドおよび接続を試みた C2 アドレス(“mjventas.com[/]reconts[.]php”)等、復号化されたデータの収集が可能である。AMSI(Anti-Malware Scan Interface)はアプリケーションおよびサービスをアンチウイルス製品と統合できる多目的インターフェースの標準である。
[図5] EDR 検知ダイアグラム(AMSI による復号化されたスクリプトの確認)
[図6] は C2 からダウンロードされた追加の PowerShell スクリプトである。このスクリプトは、ローカルに生成せずに実行される。この PowerShell スクリプトは NetSupport RAT をダウンロードし、ローカルの %Appdata% サブディレクトリで TimeUTCSync_(ランダムな数字)フォルダーに「client32.exe」のファイル名を生成し、起動時に自動で実行されるようレジストリキーに登録する。
[図6] C2 からダウンロードされた追加の PowerShell スクリプト
追加でダウンロードされる PowerShell スクリプトはローカルにファイルとして生成されないが、[図7]のように EDR のプロセス実行履歴から確認できる。
[図7] EDR のプロセスツリー(PowerShell スクリプトの確認)
上記内容により、メールを通じて配布される NetSupport RAT マルウェアの配布方式について EDR の証跡ログを活用して説明を行った。攻撃者は、送り状(Invoice)、船積書類(Shipment Document)、購入注文書(P.O.– Purchase Order)以外にも、メール本文のように監査と関連するチェックリストに偽装する等、巧妙に公式のドキュメントであるかのように装って配布を行っている。したがって、本文の内容だけを見ると正常なメールとの区別が曖昧な水準のため、メールに含まれた添付ファイルを実行する場合は、マルウェアの実行が可能な拡張子が存在するかどうか常に注意しなければならない。
[IOC]
- ビヘイビア検知
Execution/EDR.Powershell.M11170
Execution/MDP.Powershell.M10668
- ファイル検知
Trojan/JS.Agent.SC189783 (2023.06.15.02)
- URL & C2
hxxps[:]//mjventas[.]com[/]reconts[.]php (追加の PowerShell ダウンロード)
hxxps[:]//qualityzer[.]com[/]index1[.]php (NetSupport RAT ダウンロード)
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知