Posted By ,

韓国国内のプログラム開発業者を通じて拡散している Sliver C2

AhnLab Security Emergency response Center (ASEC)では、過去に「韓国国内の VPN インストーラーに含まれて拡散している SparkRAT[1]の記事や「韓国国内の VPN インストールから MeshAgent 感染へと続く攻撃事例の解析[2]の記事を通じて、韓国国内の VPN 業者のインストーラーから SparkRAT マルウェアが配布された事例を公開した。

ASEC では最近、類似するマルウェアが韓国国内の VPN 業者やマーケティングプログラム販売業者のインストーラーに偽装して配布されている状況を確認した。違いがあるとすれば、過去には SparkRAT をインストールする代わりに Sliver C2 が攻撃に使用され、[3]検知を回避するための手法が同時に使用されているという点である。

現在では、それらの業者のほとんどはホームページから正常なインストーラーがダウンロードされている。したがって、過去のように公式ホームページのインストーラーから配布された後で現在のような措置が講じられたのか、または別の配布経路があるのかは不明である。しかし、関連するマルウェアを調査した結果、すべて同じプログラム開発業者が提供するプログラムであるという事実が確認された。マルウェアのほとんどは当該開発業者の認証書を偽装しており、有効な認証書として署名されたマルウェアも多数確認されている。

また、その開発業者が提供するソフトウェアのダウンロード Web サイトでは現在でも不正なインストーラーがアップロードされており、ユーザーがこれらの事実を知らないままインストールしてしまう恐れがある。これらの事実を通じて、攻撃者がプログラム開発業者を攻撃してマルウェアが含まれたインストーラーを配布させたものと推定でき、またこのような攻撃は今年上半期から継続的に行われている。

Figure 1. マルウェアの配布に使用されている開発業者のソフトウェアダウンロード Web サイト

1. 過去の攻撃事例

Figure 2. 過去の攻撃フロー図

過去の事例を見ると、韓国国内 VPN 業者のホームページに既存のインストーラーの代わりに不正なインストーラーがアップロードされていた。これによりユーザーは正常にインストーラーを起動したと認知するが、同時にマルウェアもシステムにインストールされて動作することになる。最初の攻撃では不正なインストーラーは .NET で開発されており、単純に正常なインストーラーと SparkRAT マルウェアを生成して実行していた。SparkRAT は Go 言語で開発されたオープンソース RAT マルウェアで、Github に公開されている。コマンドの実行、情報窃取、プロセスおよびファイル制御のように、感染システムをコントロールすることができる機能を備えている。

それ以降も当該 VPN 業者のホームページでは持続的にマルウェアがアップロードされ、検知を回避するために直接マルウェアをドロップする代わりに、ダウンローダーマルウェアを経由して SparkRAT をインストールする方式に変更された。そして、バックドアである SparkRAT を感染システムにインストールした後もリモートデスクトップのために MeshCentral の MeshAgent を追加でインストールした。

2. 現在の攻撃に使用されているマルウェアの解析

Figure 3. 現在の攻撃フロー図

マルウェアを同時にインストールするドロッパーであった過去の不正なインストーラーとは異なり、現在使用されているタイプはダウンローダー、かつインジェクタータイプのマルウェアである。インストーラーを含んで攻撃に使用されたマルウェアは Go 言語で開発されており、すべて難読化されている。攻撃者が過去に使用した SparkRAT も Go 言語で開発されたバックドアであり、以降の攻撃プロセスでも Go 言語で開発したドロッパーおよびダウンローダーマルウェアが使用された。最近確認されている Sliver C2 も Go 言語で開発されている点からして、攻撃者はマルウェアの制作に Go 言語を好んで使用する傾向があると見られる。

Figure 4. 難読化された Go バイナリ

不正なインストーラーは C&C サーバーに接続して暗号化された設定データをダウンロードし、条件にマッチすると Sliver C2 をダウンロードして正常なプログラムであるメモ帳(notepad.exe)を実行して、ここにインジェクションする。これらのプロセスは正常なインストーラーを生成して実行するタスクと同時に行われるため、ユーザーは正常なインストーラーだと思いこんでしまう。

Figure 5. 不正なインストーラーが生成した正常なインストーラー

不正なインストーラーには、アンチサンドボックス機能が含まれている。現在実行中のプロセスのリストを照会して、特定のプロセスが実行されている場合にのみインジェクションを実行する。チェックするプロセスのリストは以下のアドレスに暗号化された形式で存在し、マルウェアはこれをダウンロードして復号化し、条件のチェックに使用する。

  • 設定のダウンロードアドレス:hxxps://status.devq[.]workers.dev/
Figure 6. 暗号化された条件
Figure 7. 復号化された条件の文字列
プロセス名
Discord.exe, discord.exe, NexonPlug.exe, nexonplug.exe, OP.GG.exe, op.gg.exe, qq.exe, line.exe, QQGuild.exe, qqguild.exe, QQProtect.exe, qqprotect.exe, TrafficPro.exe, trafficpro.exe, WeChatAppEx.exe, wechatappex.exe, WeChatPlayer.exe, wechatplayer.exe, anydesk.exe, kakaotalk.exe, ldplayer.exe, logibolt.exe, obs64.exe, skype.exe, telegram.exe, wechat.exe, whale.exe
Table 1. 条件に使用されたプロセスリスト

これらの文字列は、一般ユーザーの PC にインストールされていることが多いプログラムである。このような VPN サービスの主な顧客は中国でスムーズなインターネット接続のために VPN をインストールするユーザーであるため、中国のメッセンジャーも多く確認されている。マルウェアは条件にマッチすると外部から暗号化された Sliver C2 をダウンロードして復号化し、その後正常なプログラムであるメモ帳を実行してここに Sliver C2 をインジェクションする。

  • Sliver C2 ダウンロードアドレス:hxxps://config.v6[.]army/sans.woff2
Figure 8. プロセスツリー

Sliver C2 は Github に公開されているオープンソースのペネトレーションテストツールである。ペネトレーションテストツールといえば、企業や機関のネットワーク、およびシステムのセキュリティ脆弱性をチェックするための目的で使用されるツールである。一般的にはペネトレーションテストの段階別に様々な機能をサポートしているため、攻撃者が使用する際は、悪意のある目的で使用されることが特徴である。代表的な商用ペネトレーションテストツールといえば、商用ツールの Cobalt strike とオープンソースの Metasploit がある。最近ではこの2つのほかにも Sliver C2 を利用した攻撃事例も多数確認されている。

攻撃者は、過去に使用していた SparkRAT の代わりに Sliver C2 を攻撃に使用したが、これは Sliver C2 が単純なバックドアである SparkRAT よりも多くの機能をサポートしているためだと推定できる。Sliver C2 がサポートする機能には、プロセスおよびファイルの操作、コマンドの実行、ファイルのアップロード/ダウンロード、スクリーンショットキャプチャ等のように、一般的なバックドアおよび RAT マルウェアがサポートする大半の機能に加え、権限昇格やプロセスメモリのダンプ、ラテラルムーブメントのように内部ネットワークを掌握するために必要な各種機能も提供する。

  • Sliver C2 の名称:PRETTY_BLADDER
  • Sliver C2 の C&C アドレス:hxxps://panda.sect[.]kr
Figure 9. Sliver C2 の設定データ

3. 追加マルウェアの解析

攻撃に使用されたマルウェアが SparkRAT から Sliver C2 に変更されたとはいえ、攻撃者は最終的なマルウェアには以前と同様に MeshAgent を使用している。攻撃者はメモ帳にインジェクションされた Sliver C2 を利用して「%PROGRAMFILES%\Microsofts\Microsofts\preMicrosoft.exe」パスに MeshAgent をインストールした。

Figure 10. MeshAgent のインストールログ

MeshCentral が提供する MeshAgent は、コマンド実行やファイルのダウンロードのような各種システム制御コマンドだけでなく、VNC、RDP のようなリモートデスクトップ機能も提供している。一般ユーザーは遠隔操作でシステムを管理するためにこれを利用するが、これらの機能があるために悪意を持った目的で使用される可能性が大きく、実際の攻撃者も感染システムを遠隔操作するために MeshAgent を使用したものと見られる。

  • MeshAgent の C&C アドレス:speed.ableoil[.]net:443
Figure 11. 攻撃に使用された MeshAgent

攻撃者は Sliver C2 と MeshAgent をインストールして感染システムの制御権を奪い、その後 PC に保存されているユーザー情報を窃取したり、さらなるマルウェアをインストールする等の様々な不正な振る舞いが可能になる。当社 AhnLab Smart Defense(ASD)のログによれば、攻撃者は MeshAgent を利用して「m.exe」という追加のマルウェアをインストールした。この「m.exe」は同様に Github に公開されている Web カメラキャプチャマルウェアであり、他のマルウェアのように Go 言語で制作されている。攻撃者は、このマルウェアを利用して Web カメラがサポートされているシステムでユーザーの写真をキャプチャすることもできる。

Figure 12. 攻撃者が使用したオープンソースの Web カメラキャプチャマルウェア

4. 攻撃に使用されたインストーラー

現在、ほとんどの VPN およびマーケティングプログラム販売業者のホームページ上では正常なインストーラーだけが確認されているが、未だに完全な措置が講じられていない業者も存在する。ある特定の VPN 業者の場合は、ホームページ上のダウンロードリンクからは正常なインストーラーがダウンロードされるが、Web サイトにはまだ不正なインストーラーがアップロードされており、ダウンロードも可能である。

Figure 13. 特定の VPN 業者の Web サイトにアップロードされているマルウェア

この他にも、以下のようなソフトウェアのダウンロードサイトでも不正なインストーラーが配布されているが、確認した結果、これらは同じプログラム開発業者の別の Web サイトであった。これらのファイルはフォントファイルであるべきだが、実際にダウンロードされるものは不正なインストーラーである。

Figure 14. 現在でもマルウェアがダウンロードされる Web サイト

上記のマルウェアはすべて無効な認証書で署名されており、攻撃者がインストーラーを偽装するために認証書を盗用したものである。しかし、実際にそのプログラム開発業者の有効な認証書により署名されたマルウェアも多数存在している。有効な認証書で署名されたマルウェアは、複数サービスのインストーラーを装った不正なインストーラーや VPN 実行ファイル、そして MeshAgent 等、様々である。

整理すると、具体的な状況は不明だが、攻撃者はマルウェアをプログラム開発業者の有効な認証書として署名することができ、その開発業者が提供する様々なサービスに偽装した不正なインストーラーが多数確認されているということである。

Figure 15. 有効な認証書で署名されたマルウェア

5. 結論

現在、特定のプログラム開発業者を通じてマルウェアが配布されており、その業者の有効な認証書で署名されたマルウェアも多数確認されている。これにより、その開発業者が提供する別のサービスからもマルウェアが配布される可能性があり、実際に当該開発業者が提供する VPN 業者のダウンロードページや、当該開発業者のソフトウェアダウンロードサイトにもマルウェアがアップロードされている事例も確認されている。

攻撃者は感染システムを制御できる機能をサポートする SparkRAT、Sliver C2、MeshAgent マルウェアをインストールし、これによって攻撃者は PC に保存されているユーザーの情報を窃取したり、さらなるマルウェアのインストールのような各種不正な振る舞いを実行できる。

そして、ユーザーがホームページから不正なインストーラーをダウンロードしてインストールすると、不正なインストーラーはマルウェアだけでなく既存の正常なインストーラーも同時にインストールするため、マルウェアに感染した事を認知されにくくしている。ユーザーは V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– Trojan/Win.MeshAgent.C5457071 (2023.07.18.03)
– Trojan/Win.MeshAgent.C5459839 (2023.07.24.03)
– Downloader/Win.Agent.C5459845 (2023.07.24.03)
– Downloader/Win.Agent.C5459851 (2023.07.24.03)
– Data/BIN.EncPe (2023.07.25.00)

ビヘイビア検知
– Persistence/MDP.RunKey.M1038

IOC
MD5
– e84750393483bbb32a46ca5a6a9d253c:不正なインストーラー
– eefbc5ec539282ad47af52c81979edb3:不正なインストーラー (31254396_hzczvmfw_….vpn1.1.1.exe)
– 10298c1ddae73915eb904312d2c6007d:不正なインストーラー (31254396_LO38iuSd_….Setup1.2.1.exe)
– b4481eef767661e9c9524d94d808dcb6:不正なインストーラー (31254396_a7z34P10_….Install2.1.7.exe)
– 70257b502f6db70e0c75f03e750dca64:不正なインストーラー (167775112_v17MGr85_167775039_EvimzM59_….VPNSetup1.0.4.4.exe)
– 1906bf1a2c96e49bd8eba29cf430435f:不正なインストーラー (167774990_A5TinsS6_….VPNInstaller1.0.4_230710.exe)
– 499f0d42d5e7e121d9a751b3aac2e3f8:不正なインストーラー (31254396_ORZNvfG9_….Fax1.0.0.exe)
– b66f351c35212c7a265272d27aa09656:不正な VPN プログラム
– ea20d797c0046441c8f8e76be665e882:不正な VPN プログラム
– 73f83322fce3ef38b816bef8fa28d37b:暗号化された Sliver C2 (sans.font2)
– 5eb6821057c28fd53b277bc7c6a17465:MeshAgent (preMicrosoft.exe)
– 95dac8965620e69e51a1dbdf7ebbf53a:MeshAgent (Microsoft.exe)
– 23f72ee555afcd235c0c8639f282f3c6:MeshAgent (registrys.exe)
– 27a24461bd082ec60596abbad23e59f2:Web カメラキャプチャマルウェア(m.exe)

ダウンロードアドレス
– hxxps://status.devq[.]workers.dev/:設定データ
– hxxps://config.v6[.]army/sans.woff2:暗号化された Sliver C2

C&C アドレス
– panda.sect[.]kr:443 : Sliver C2
– speed.ableoil[.]net:443 : MeshAgent

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

3 2 votes
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback
韓国国内開発業者の正常なインストーラーに偽装したマルウェア – EDR 検知 - ASECブログ
1 month ago

[…] 韓国国内のプログラム開発業者を通じて拡散している Sliver C2 […]

0
Reply