Posted By KDH , 2023年 October 10日

異常な認証書を持つ情報窃取型マルウェアが拡散中

最近、異常な認証書を使用したマルウェアが多数配布されている。

通常、マルウェアは正常な認証書で偽装するケースが多いが、このマルウェアは認証書の情報をランダムで入力しており、その中でも Subject Name 項目と Issuer Name 項目は文字列の長さが異常なまでに長い。

そのため、Windows OS 上では認証書の情報が表示されず、特定のツール、もしくはインフラを通さないと、この認証書の構造は確認できない。

もちろん、認証書が正しくないため、署名の検証には失敗し、署名機能としての利点は持てない。しかし、署名文字列を確認すると、一般的な英語の文字列構造ではなく、アラビア語、日本語などの非英語圏言語と特殊文字、文章記号などが使用されている。また、類似したタイプのサンプルが少しずつ構造を変えながら2カ月以上も配布され続けていることから、特定の意図があると推定される。

現在配布されている最新のサンプル(図1の右下)は、不正なスクリプトを URL エンコードした文字列で構成されている。このスクリプトは、特定のアドレスから PowerShell コマンドをダウンロードして実行されるように構成されたスクリプトであるが、現在は正常にダウンロードできない。実際に感染プロセスでこのスクリプトは実行されない。

このように独特なスタイルで配布されているマルウェアとしては LummaC2、RecordBreaker の2種類が主に確認される。この2つのマルウェアも様々な不正な振る舞いを実行することができるが、基本的には情報窃取の性格が強いマルウェアである。

感染するとブラウザに保存されているアカウント情報、ドキュメント、仮想通貨のウォレットファイルなど、ユーザーのプライベートな情報が攻撃者に送信され、深刻な二次被害を引き起こしかねない。また、攻撃者が指定した追加のマルウェアがインストールされ、持続的に不正な振る舞いを実行することができる。

このようなタイプのマルウェアは、検索エンジンを通して(SEO poisoning)簡単にアクセスできる不正なページから配布されるため、不特定多数のユーザーに脅威となる。不正なページは主にシリアル、Keygen、クラックなどの違法プログラムがキーワードで構成されている。

RecordBreaker

RecoreBreaker マルウェアは Raccoon Stealer V2 としても知られており、上記の拡散方式以外にも Youtube、その他マルウェアなどを通して活発に配布されているマルウェアでもある。C2 接続時の User-Agent 値に意味のある文章を使用しながら定期的に変更しているという点が特徴であるが、最近配布しているサンプルには「GeekingToTheMoon」文字列を使用している。機能の面では、過去に作成したブログの内容とあまり変わっていない。

LummaC2

LummaC2 は本文の方式で配布されているマルウェアのうち、最も変形が活発なマルウェアである。

初期のサンプルは、マルウェア自体に不正な振る舞いに関する設定情報が内臓されていたが、C2 を通して設定情報をダウンロードし、不正な振る舞いを実行する方式に変更された。また、単なる情報窃取の振る舞いだけでなく、Amadey、Clipbanker などの追加マルウェアをインストールするように変形された。

初期に配布されたサンプルに関する情報は、以下の記事に記述されている。その後の変形を簡単にまとめると、以下の通りである。

新種の情報窃取マルウェア、LummaC2 違法クラックに偽装して拡散中

-C2 通信方式の変更

初期のサンプルは、設定情報が内臓されていたため、実行すると即時に情報収集の振る舞いをし、「/c2sock」アドレスに送信した。

その後の変形サンプルは、「/c2conf」アドレスから設定情報をダウンロードし、「/c2sock」アドレスに送信した。

最近配布されているサンプルは、設定のダウンロードと情報の送信、両方に「/api」アドレスを使用する。そのため、C2 接続時の POST パラメータを通して設定クエリ接続と情報送信接続を区分している。

このように大きな変形がある度、実行初期に C2 へ送信する「ver」パラメータが1ずつ増加した。現在のバージョンは4.0である。

長い間 C2 アドレスのトップレベルドメイン(TLD)に「.xyz」を使用していたが、現在は「.fun」を使用している。

-追加マルウェアのダウンロード

以前のサンプルは単に情報窃取の振る舞い後に終了されたが、その後 Amadey マルウェアをインストールし始め、最近は Amadey と Clipbanker マルウェアまでインストールしている。

Amadey はダウンローダー型マルウェアであり、C2 通信を通して攻撃者が希望するマルウェアをインストールでき、場合によっては追加モジュールを通して情報窃取の振る舞いまで実行することができる。ClipBanker はクリップボードをモニタリングしながら仮想通貨のウォレットアドレスがコピーされる場合、攻撃者のアドレスに変更するマルウェアである。

LummaC2 は情報の窃取および追加マルウェアのインストール後に終了されるが、追加でインストールされたマルウェアはユーザーシステムに常駐しながら持続的に C2 通信(コマンド待機)やウォレットアドレスの改ざん振る舞いを実行することができる。

このように不特定のユーザーを対象に情報窃取型マルウェアが活発に配布されながら進化を続けており、ユーザーの注意が必要である。

一方、Ahnlab の製品群はこのような異常な認証書構造を検知しており、本文のように配布されるサンプル類に対して自動収集システムを運用することで変形発生に素早く対応し、関連した C2 を遮断している。

[検知名]

Suspicious/Win.MalPe.X2197 (2023.09.14.00)
Infostealer/Win.LummaC2.C5482988(2023.09.08.01)
Infostealer/Win.LummaC2.C5483329(2023.09.08.02)
Trojan/Win.LummaC2.C5483331(2023.09.08.02)
Trojan/Win.LummaC2.C5483376(2023.09.08.03)
Trojan/Win.AGent.C5483377(2023.09.08.03)
Trojan/Win.Evo-gen.C5481062(2023.09.04.02)
Trojan/Win.RecordStealer.R604279(2023.09.08.03)
Trojan/Win.RecordStealer.R604282(2023.09.08.03)
Infostealer/Win.Agent.C5475457(2023.08.24.03)
Trojan/Win.LummaC2.R606862(2023.09.23.00)
Trojan/Win.MSIL.C5475827(2023.08.25.03)
Trojan/Win.Injection.C5472888(2023.08.19.01)
Infostealer/Win.LummaC2.C5474761(2023.08.23.00)
Trojan/Win.Injection.C5472889(2023.08.19.01)
Trojan/Win.PWSX-gen.C5469716(2023.08.12.00)
Trojan/Win.Injection.C5468781(2023.08.10.01)
Trojan/Win.Injection.C5468508(2023.08.09.02)
Downloader/Win.Amadey.R596666(2023.08.11.00)
Trojan/Win.Generic.R596332(2023.08.09.00)
Trojan/Win.Injection.C5467711(2023.08.07.01)
Trojan/Win.Injection.C5467418(2023.08.06.01)
Infostealer/Win.LummaC2.C5467423(2023.08.06.01)
Downloader/Win.StealWallet.R596060(2023.08.07.03)
Infostealer/Win.LummaC2.C5466555(2023.08.04.02)

[IOC 情報]

eae39f18a51c151601eaf430245d3cb4
3c39098b93eb02c664d09e0f94736d95
89644b879046b97dccf71c68c88bcf42
bb2147e536ba06511ca8ea0b43a38ef7
e584f749b3b06d328001f0dea7a45617
331c7d351bc39efb36fd53c74c12c3a5
d8518e4fcbdbcc056a72a495430f37b6
2667f726136c0c848b30ec93cbd488b7
a0caecafa32e88f363942945f759b799
5dfe53ca9cd218a0ed129ebecc107cf0
7ed43c0f2093707f65369ad87832599c
dabe6f3ac23858a353c53382f92a217b
fa371f301369b16a7a379008cc1b4f64
6b5ad8f456dc6704638d5b3e38135a2b
dbee35748bd993f3bd4a822d362f309d
331031e51a9816db6aa48a7dcff41c28
32b4703cc03286e610094704925ca5e4
e5f82461f276bfb9150ab253b3474aa1
e6facedba218387d24d6908a59f1730b
8329b54e5b8921825579c3eae37ee8b4
6260a3ea150744248ed0a155d079d2c8
a998f8d64d6953e1fdaafba655c84120
cbc06399af416c6b5a5aec73890a15a1
613425d8623f118e45fb65619f71c387
5d2359723a3acac158320a48f1930e08
05ab72ab29765fa803a9a88e940cc826
b484fdc3953f4d84e24ba8dd309accf2
7974df61d5906ca20e146c1b8b8b3aaa
0970196d074cbf7221f5be8208c7cba3
63a0789d8bfa599da31a7620947d7a24
d8b5732afb4897035043ea05ad84f928
a82d9b679c0df2a62939ee21939e7e7a
4cf108debe0314357431525f01376a56
de9cb5f942d9f73a1a5659172372b099
aa4fb8876b89288a015fbf945da98d87
b64c3663718228679df20e9282727110
0ece25acd98b2cd0beebd20d3fc11fd1

[C2]

RecordBreaker
hxxp://49.13.59.137/
hxxp://95.216.166.188/
hxxp://49.13.51.185/

LummaC2
blockigro.xyz
programmbox.xyz
cvadrobox.xyz
stormwumen.xyz
fullppc.xyz
holdbox.xyz
scoollovers.xyz
beerword.xyz
fisholl.xyz
survviv.xyz
checkgoods.xyz
singlesfree.xyz
acexoss.xyz
freeace.xyz
glowesbrons.xyz
usdseancer.xyz
phonevronlene.xyz
seobrokerstv.xyz
reconphotocolor.xyz
sonyabest.xyz
seobrokerstv.fun
welcometv.fun
equestrianjumpingfrog.fun
seededraisinlilinglov.fun
gougeflying.fun

追加マルウェアのダウンロード
hxxp://imagebengalnews.com/amday.exe
hxxp://enfantfoundation.com/amday.exe
hxxp://vbglimited.com/Amdays.exe
hxxp://moshito-marketing.com/Amda.exe
hxxp://sms.vbglimited.com/Amda.exe
hxxp://lungalungaenergyltd.co.ke/Adayn.exe
hxxp://vrecepte.com.ua/Blazerstreetavenu.exe
hxxp://erp.fastgas.co.ke/Bitmodertorent.exe
hxxp://marrakechfolkloredays.com/clips.exe
hxxp://africatechs.com/55aa5e.exe
hxxp://rusticironstore.com/clip.exe
hxxp://tinsignsnmore.com/5ea275.exe
hxxp://ezisystem.com/clip.exe
hxxp://portmarine.co.tz/5ea275.exe
hxxp://mediterraneanshippingllc.com/clip.exe
hxxp://toolstechs.com/5ea275.exe
hxxp://justentertainer.us/5ea275.exe

Categories:マルウェアの情報