AhnLab Security Emergency response Center(ASEC)は最近、Andariel 脅威グループの攻撃をモニタリングしていたところ、Andariel グループが Apache ActiveMQ のリモートコード実行の脆弱性(CVE-2023-46604)を悪用してマルウェアをインストールするものと推定される攻撃事例を確認した。
主に韓国国内企業や機関を攻撃対象とする Andariel 脅威グループは、Lazarus 脅威グループと協力関係である、または Lazarus グループの下位組織として知られている。2008年から韓国国内を対象とする攻撃が初めて確認され、主な攻撃対象は国防、政治機構、造船、エネルギー、通信等、安全保障に関わるところである。もちろん、このほかにも大学や運送、ICT 企業等、韓国国内に位置する様々な企業や機関が攻撃対象となっている。[1](韓国語のみ提供)
Andariel 脅威グループはかねてからスピアフィッシング攻撃、水飲み場型攻撃、サプライチェーン攻撃を利用しており、[2] 最近では Log4Shell の脆弱性や [3] 不適切に管理されている MS-SQL サーバーを対象とする攻撃、そして正常なソフトウェアを悪用する攻撃事例も確認されている。[4]
現時点では直接的なログは存在しないが、状況的にも Andariel グループが Apache ActiveMQ サーバーに対するリモートコード実行の脆弱性を悪用し、バックドアである NukeSped、TigerRat をインストールしているものと推定される。ここでは Apache ActiveMQ サーバーを対象とする攻撃事例とともに Andariel グループが攻撃にこれを悪用していると推定する根拠をまとめていく。
1. Apache ActiveMQ の脆弱性を利用した攻撃事例
CVE-2023-46604 は、オープンソースのメッセージングおよび統合パターンサーバーである Apache ActiveMQ サーバーのリモートコード実行の脆弱性である。パッチが適用されていない Apache ActiveMQ サーバーが外部に公開されている場合、攻撃者はリモートで悪意を持ったコマンドを実行し、そのシステムを掌握することができる。
この脆弱性情報が公開されたあと、様々な攻撃者たちがこれを悪用してマルウェアをインストールしているが、代表的なものとしては Rapid7 社が公開している HelloKitty ランサムウェアの攻撃事例がある。[5](外部サイト、英語のみ提供) この事例は当社 AhnLab Smart Defense (ASD)ログからも確認され、これは韓国国内のシステムも CVE-2023-46604 の脆弱性を利用した攻撃の対象となっていることを意味する。
図1. HelloKitty ランサムウェアのインストールを試みるログ
ASEC が Andariel グループの攻撃をモニタリングしていたところ、Andariel グループが過去から使用していたバックドア、NukeSped が特定のシステムにインストールされたことを確認した。調査の結果、このシステムには Apache ActiveMQ サーバーがインストールされており、CVE-2023-46604 の脆弱性情報が公開された2023年10月末から HelloKitty ランサムウェアを含む様々な攻撃ログが確認された。
図2. 感染システムにおいて確認される様々な攻撃ログ
攻撃者は脆弱性を利用した攻撃の過程で以下のような不正な Java クラスファイルを使用し、そのマルウェアは最終的に Windows または Linux 環境で追加のペイロードをダウンロードし、インストールする機能を担う。このマルウェアは最近 Huntress 社のレポートでも確認されている攻撃事例である。[6](外部サイト、英語のみ提供)
図3. ダウンローダー機能を担う不正な Java クラスファイル
このような既知の攻撃以外にも、CobaltStrike や Metasploit Meterpreter の Stager インストールログも同時に確認されている。これらを通じて、CVE-2023-46604 の脆弱性関連情報が公開されてからまだ日数が浅いが、パッチが適用されていないシステムはこのような短い期間にも多くの攻撃対象となっているということがわかる。
図4. Metasploit Meterpreter の Stager をインストールするログ
図5. CobaltStrike beacon の設定データ by CobaltStrikeParser [7](外部サイト、英語のみ提供)
2. NukeSped マルウェア – Andariel グループ
2.1. CVE-2023-46604 脆弱性を利用した攻撃状況
Apache ActiveMQ を対象とする様々な攻撃が行われたシステムを解析していたところ、Andariel グループのバックドア、NukeSped が同時にインストールされたシステムが確認された。CVE-2023-46604 の脆弱性を利用して NukeSped がインストールされたという直接的なログは確認されていないが、この脆弱性を利用した攻撃以外に別の攻撃の痕跡が確認されていない点と、攻撃が行われた期間中にマルウェアのインストールログが同時に確認された点を考慮すると、Andariel グループが CVE-2023-46604 の脆弱性を攻撃に使用した可能性がある。
解析対象のシステムは最初に CVE-2023-46604 の脆弱性を悪用した攻撃が確認された10月末から、継続的に攻撃対象となっていた。具体的には Rapid7 社のレポートで言及された HelloKitty ランサムウェアと Huntress 社のレポートで言及されたダウンローダーマルウェアが同時に確認されたことから、脆弱な Apache ActiveMQ サーバーと推定される。Huntress 社のレポートでは具体的なマルウェアは言及されていないが、CVE-2023-46604 の脆弱性を利用した攻撃によって「hxxp://27.102.128[.]152:8098/bit[.]ico」URLから不正なペイロードをインストールする事例も紹介している。
このアドレスは過去の記事でも取り上げた URL で、TigerRat をダウンロードしたアドレスである。また、以下のログで確認できる「oracle.exe」マルウェアをダウンロードしたアドレスであり、C&C サーバーのアドレスでもある。このマルウェアは収集されていないが、「rang.exe」、「load.exe」という名称で TigerRat をインストールした。
図6. TigerRat をインストールするのに使用したアドレス
もちろん、Andariel グループは過去にも Log4Shell の脆弱性や TeamCity の脆弱性[8](外部サイト、英語のみ提供)等、公開済みの脆弱性を攻撃に頻繁に利用してきた。
2.2. NukeSped バックドア
NukeSped は C&C サーバーからコマンドを受け取り、感染システムを操作できるようにするバックドアマルウェアである。主に Lazarus グループと Andariel グループが感染システムを操作するために使用し、攻撃に使用された NukeSped は過去「資産管理プログラムを悪用した攻撃状況の捕捉(Andariel グループ)」の記事で紹介した「NukeSped 変種 – Type 1」と類似している。
今回使用された NukeSped はファイルのダウンロード/コマンドの実行/実行プロセスの終了等、3つのコマンドのみをサポートする。過去の攻撃事例での NukeSped はより多くのコマンドをサポートしていたが、これらを除けばほとんどの機能が同じである。
代表的な NukeSped のタイプと同様、使用する API のアドレスや文字列はすべて暗号化されており、実行中に復号化して使用する。暗号化方式は1バイトの XOR アルゴリズムで、キー値は 0xA1 である。過去の攻撃事例では 0xA1 のほかに 0x97、0xAB のキー値が使われた。
図7. 0xA1 キーで XOR 暗号化された文字列
NukeSped は最初に C&C サーバーに接続すると、以下のようなフォーマットの HTTP リクエストを送信する。
図8. 初回 C&C サーバー接続時のパケット
| HTTP リクエストヘッダ | 値 | 説明 |
|---|---|---|
| Sec-Fetch-Mode | 10 (0x0A) | 初回接続 |
| Sec-Fetch-User | S-[コンピューター名] | 感染システムのコンピューター名 |
| Sec-Fetch-Dest | 01 | 初回接続 |
表1. 初回 C&C サーバー接続時のフォーマット
以降、C&C サーバーから HTTP レスポンスを受け取り、以下の表に存在する各文字列をチェックする。各文字列がレスポンスに存在する場合は「Sec-Fetch-Mode:」の値をコマンドとして認識し、その後のルーティンを実行する。
| HTTP レスポンスヘッダ | 説明 |
|---|---|
| “HTTP/1.1 200 OK Content-Type: text/html ” |
デフォルトのレスポンスフォーマット |
| “Sec-Fetch-Mode:” | コマンド |
| “Content-Length:” | コマンドの長さ |
表2. C&C サーバーから伝達されるコマンドのフォーマット
サポート可能なコマンドは以下のように3つであり、実質的には C&C サーバーからファイルのダウンロード、C&C サーバーから渡されたコマンドの実行とその結果の伝達がすべてである。
| コマンド | 機能 |
|---|---|
| 30 (0x1E) | ファイルのダウンロード |
| 33 (0x21) | コマンドの実行および結果を返す |
| 34 (0x22) | 実行プロセスの終了 |
表3. NukeSped がサポートするコマンド
C&C サーバーとの初回通信時には POST メソッドを利用したが、その後の C&C サーバーから渡されたコマンドの実行結果、およびコマンド実行失敗メッセージは、Google 接続を偽装した GET メソッドによって送信する。
図9. コマンド実行失敗メッセージに対するレスポンスのパケット
| Sec-Fetch-Mode | 内容 |
|---|---|
| 10 (0x0A) | 初回接続 |
| 30 (0x1E) | コマンド実行結果 |
| 35 (0x23) | コマンド実行失敗メッセージ |
表4. コマンド実行結果の送信時のフォーマット
C&C サーバーと正常に接続ができない場合は、一般的な NukeSped バックドアと同様に Batch ファイルを利用して自己削除を行う。自己削除に使用される Batch ファイルは「%TEMP%uninst.bat」パスに生成される。
図10. 自己削除に使用される Batch ファイル
3. 結論
Andariel グループは Kimsuky、Lazarus グループと共に韓国国内をターゲットにして活発に活動を続けている脅威グループの一つである。初期の頃は主に安全保障に関わる情報を取得するために攻撃を繰り広げていたが、以降は金銭的利得を目的とした攻撃も実行している。[8](韓国語のみ提供) 初期侵入は主にスピアフィッシング攻撃や水飲み場型攻撃が使用されるが、Log4Shell や TeamCity 等の脆弱性を悪用してマルウェアをインストールする事例も確認されている。最近では Apache ActiveMQ のリモートコード実行の脆弱性(CVE-2023-46604)を悪用してマルウェアをインストールする状況が確認された。
ユーザーは、出どころが不明なメールの添付ファイルや Web ページからダウンロードした実行ファイルには細心の注意が必要であり、企業のセキュリティ担当者は資産管理プログラムのモニタリングを強化し、プログラムのセキュリティ脆弱性が見つかった場合はパッチを適用しなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払う必要がある。
ファイル検知
– Trojan/Win32.Dynamer.R162477 (2015.08.19.00)
– Trojan/Win64.CobaltStrike.R356638 (2020.11.26.05)
– Backdoor/Win.NukeSped.C5542399 (2023.11.16.01)
– Trojan/Win.Generic.C5483470 (2023.09.08.03)
– Trojan/Win.Generic.C5532844 (2023.10.28.01)
– Backdoor/Win.TigerRAT.C5517634 (2023.10.19.03)
– Trojan/CLASS.Agent (2023.11.03.00)
– Dropper/MSI.Agent (2023.11.17.03)
振る舞い検知
– Malware/MDP.Download.M1900
– Ransom/MDP.Command.M2255
IOC
MD5
– 7699ba4eab5837a4ad9d5d6bbedffc18 : NukeSped (credisvc.exe)
– c2f8c9bb7df688d0a7030a96314bb493 : TigerRat (load.exe, rang.exe)
– 478dcb54e0a610a160a079656b9582de : HelloKitty Installer
– 26ff72b0b85e764400724e442c164046 : HelloKitty Ransomware
– 4eead95202e6a0e4936f681fd5579582 : Java Downloader
– 160f7d2307bbc0e8a1b6ac03b8715e4f : Java Downloader
– 11ec319e9984a71d80df1302fe77332d : Downloader (agent_w.exe)
– dc9d60ce5b3d071942be126ed733bfb8 : Downloader (agent_w.exe)
– beb219abe2ba5e9fd7d51a178ac2caca : Metasploit Meterpreter Stager
– c55eb07ef4c07e5ba63f7f0797dfd536 : CobaltStrike Installer (Notification.msi)
– 31cbc75319ea60f45eb114c2faad21f9 : CobaltStrike (Notification.exe)
C&C サーバー
– 27.102.114[.]215:8000 : NukeSped
– 137.175.17[.]221:48084 : Downloader
– 137.175.17[.]172:41334 : Downloader
– 176.105.255[.]60:49407 : Metasploit Meterpreter Stager
– hxxps://206.166.251[.]186/jquery-3.3.1.min.js : CobaltStrike
ダウンロードアドレス
– hxxp://137.175.17[.]221:1443/ac.jar : Java Downloader
– hxxp://137.175.17[.]172:1443/ac3.jar : Java Downloader
– hxxp://137.175.17[.]221:1443/agent : Downloader (Linux)
– hxxp://137.175.17[.]221:1443/agent_w : Downloader (Windows)
– hxxp://137.175.17[.]172:1443/agent : Downloader (Linux)
– hxxp://137.175.17[.]172:1443/agent_w : Downloader (Windows)
– hxxp://176.105.255[.]60/Xdw0FFtpuYWSLrVcAei5zg : Metasploit Meterpreter Stager
– hxxp://168.100.9[.]154:9090/Notification.msi : CobaltStrike Installer
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報