北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期では韓国の北朝鮮関連の研究機関等に対する攻撃を実施しており、2014年、韓国のエネルギー機関への攻撃が、2017年以降は韓国以外の国への攻撃も確認されている。[1] 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供)
Kimsuky グループは一般的に初期侵入ルートとしてスピアフィッシング攻撃を主に使用するが、最近では LNK フォーマットのショートカットマルウェアを利用した攻撃事例が大半を占めている。もちろん、LNK マルウェアが最近の攻撃事例において占める割合が高いものの、JavaScript マルウェアや不正なドキュメントファイルを利用する攻撃事例も持続的に確認されている。
JavaScript マルウェアを利用する攻撃事例は、過去に「Kimsuky グループの APT 攻撃解析レポート(AppleSeed、PebbleDash)」で取り上げた AppleSeed マルウェアの配布に主に使用される。[3](韓国語にて提供) 当該記事は2021年11月に公開したものだが、Kimsuky グループは最近でも AppleSeed を攻撃に使用している。もちろん、AppleSeed インストール時には JavaScript だけでなく Excel マクロ形式のマルウェアが使われることもある。[4]
一緒に使用するマルウェアは大きな変化がなく、同様の攻撃方式を数年間に渡り継続的に使用しているという点は AppleSeed を利用した攻撃の特徴であるといえる。また、感染システムを掌握したあと、追加で使用する情報窃取型マルウェアや RDP Patch マルウェアが2022年に初めて確認されたあと、現在まで同様のファイルが使われているという点も特徴といえる。
ここでは、過去のレポートと比較して最近の攻撃事例で使われたマルウェアの特徴を取り上げていく。例えば、AppleSeed 自体は同様に使用されているが、解析を妨害するために引数をチェックする点や AlphaSeed と名付けられた AppleSeed の変種マルウェアが使われるという点がある。このほかにも、AppleSeed のインストール後、主に RDP を利用して感染システムを操作していた過去の事例とは異なり、最近では Chrome リモートデスクトップをインストールする事例が頻繁に確認される点も特徴である。[5]
1. AppleSeed
AppleSeed は C&C サーバーから渡された攻撃者のコマンドを実行できる、バックドアマルウェアである。攻撃者は、AppleSeed を利用して感染システムを操作することができ、そのほかにも追加のマルウェアをインストールするダウンローダー機能やキーロガーおよびスクリーンキャプチャ、そしてユーザーシステムのファイルを収集して送信する情報窃取機能をサポートしている。
AppleSeed は過去の攻撃事例と同様に JavaScript ドロッパーマルウェアを利用した配布方式がよく使用されている。JavaScript ドロッパーマルウェアは AppleSeed をインストールし、同時に HWP、PDF のようなドキュメントファイルを生成して表示させる機能を担っているが、これらの点から一般ユーザーは正常にドキュメントファイルを開いたと誤解する可能性がある。
インストールされる AppleSeed マルウェア自体は過去のものと類似しているが、2022年初頭からは JavaScript マルウェアが直接 AppleSeed をインストールする代わりにドロッパーを経て AppleSeed を生成する方式に変更された。単にドロッパーのみがインストールプロセスで追加されたのではなく、マルウェア実行時に引数をチェックする機能が追加されたことが特徴である。DLL 形式の AppleSeed は Regsvr32 プロセスを利用してインストールされるが、このとき「/i」オプションを利用して引数を伝達する。AppleSeed はこの引数をチェックして特定文字列である場合にのみインストールされ、そうでない場合は自己削除を行う。このような特徴により、サンドボックス環境では AppleSeed DLL 単独では悪意を持った振る舞いを実行できなくなる。
- AppleSeed 実行引数 – 例:regsvr32.exe /s /n /i:1qa2ws4rf “C:\Users\{UserName}\AppData\Roaming\FoxitReader\Service\FoxitReaderUpdate.db”
| 期間 | 引数リスト |
|---|---|
| 過去 | 123qweasdzxc 123qweASDTYU 12345QWERTY 1q2w3e4r! 2wsx!QAZ3edc $%ERT345ert |
| 最近 | 12qw3ed 1qa2ws4rf |
AppleSeed は「%APPDATA%」や「%PROGRAMDATA%」パスにインストールされるが、具体的なフォルダーおよびファイルの名前は AntiVirus や Chrome、Adobe 等の正常なファイルに偽装した形である。過去には、主に「%PROGRAMDATA%」パスにインストールされる事例が多かったのに対し、最近では「%APPDATA%」パスがよく使用されている。以下の表は AppleSeed がインストールされた様々なパスを整理したものであり、最近数か月間で確認された攻撃で使用されたパス名は別途分類した。
| 期間 | インストール先 |
|---|---|
| 過去 | %APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll %APPDATA%\ESTsoft\AlLUpdate\AlCommon.dll %APPDATA%\ESTsoft\Common\ESTCommon.dll %APPDATA%\ESTsoft\Common\ko-kr.dll %APPDATA%\ESTsoft\updat\ESTCommon.dll %APPDATA%\Microsoft\Windows\Defender\AutoUpdate.dll %APPDATA%\Microsoft\Windows\Defender\patch.dll %PROGRAMDATA%\Firmware\ESTsoft\Common\ESTCommon.dll %PROGRAMDATA%\Firmware\Microsoft\Windows\Defender\AutoUpdate.dll %PROGRAMDATA%\Software\Ahnlab\Service\AutoService.dll %PROGRAMDATA%\Software\ControlSet\Service\ServiceScheduler.dll %PROGRAMDATA%\Software\Defender\Windows\Update\AutoUpdate.dll %PROGRAMDATA%\Software\ESTsoft\Common\ESTCommon.dll %PROGRAMDATA%\Software\Microsoft\AvastAntiVirus\AvastUpdate.dll %PROGRAMDATA%\Software\Microsoft\Avg\AvgSkin.dll %PROGRAMDATA%\software\microsoft\iecleaner\cpature\iecaptureclean.dll %PROGRAMDATA%\Software\Microsoft\Network\NetworkService.dll %PROGRAMDATA%\Software\Microsoft\Printer\PrinterService.dll %PROGRAMDATA%\Software\Microsoft\Service\TaskScheduler.dll %PROGRAMDATA%\Software\Microsoft\Windows\AutoDefender\UpdateDB.dll %PROGRAMDATA%\Software\Microsoft\Windows\AutoPatch\patch.dll %PROGRAMDATA%\Software\Microsoft\Windows\Chrome\GoogleUpdate.dll %PROGRAMDATA%\Software\Microsoft\WIndows\Defender\AutoCheck.dll %PROGRAMDATA%\Software\Microsoft\Windows\Defender\AutoUpdate.dll %PROGRAMDATA%\Software\Microsoft\Windows\Defender\update.dll %PROGRAMDATA%\Software\Microsoft\Windows\Explorer\FontChecker.dll %PROGRAMDATA%\Software\Microsoft\Windows\FontChecker.dll %PROGRAMDATA%\Software\Microsoft\Windows\MDF\WDFSync\WDFSync.dll %PROGRAMDATA%\Software\Microsoft\Windows\MetaSec\MetaSecurity.dll %PROGRAMDATA%\Software\Microsoft\Windows\Patch\patch.dll %PROGRAMDATA%\Software\Microsoft\Windows\Protect\ProtectUpdate.dll %PROGRAMDATA%\Software\Microsoft\Windows\Secrity\AutoCheck.dll |
| 最近 | %APPDATA%\Abode\Service\AdobeService.dll %APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db %APPDATA%\chrome\Service\updategoogle.dll %APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll %APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db %APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db |
2. AlphaSeed
AlphaSeed は Go 言語で開発されたマルウェアであり、コマンドの実行や情報窃取等をサポートする機能が AppleSeed と類似している。これらの類似点とバイナリに含まれたパス名を通じて、S2W 社ではこのマルウェアを AlphaSeed と命名した。[6](外部サイト、韓国語にて提供)
AppleSeed と比較してほとんどの機能は類似しているが、違いも存在する。Go 言語で開発されたという点や ChromeDP を利用して C&C 通信を行うという点がそれに該当する。AppleSeed は攻撃者からコマンドを渡されたり、収集した情報を窃取する時、主に HTTP プロトコルや電子メール、すなわち SMTP、IMAPS プロトコルを利用していた。AlphaSeed も C&C 通信に電子メールを使用するが、直接電子メールを送信するのではなく ChromeDP というツールを利用する。ログインプロセスも異なり、直接 ID/PW を利用する代わりに特定のアカウントでログインするために必要な Cookie 値を利用してログインすることが特徴である。
AlphaSeed は少なくとも2022年10月以前から攻撃に使われており、AppleSeed と同じく攻撃に JavaScript ドロッパーマルウェアが使われる。バイナリ自体も Regsvr32 プロセスを利用して動作する DLL フォーマットであるため、実際のインストールプロセスも AppleSeed と類似している。
攻撃者は、同じ対象に AlphaSeed と AppleSeed を両方インストールすることもある。以下の事例では最初の配布段階は確認されていないが、ほぼ同じ時点で AlphaSeed と AppleSeed がインストールされており、certutil.exe が使用されていることから、大多数の事例のように JavaScript ドロッパーによりインストールされたものと推定される。
2022年10月頃に確認された AlphaSeed は、バイナリで確認できるパス名が「E:/golang/src/naver_crawl/」であり、2023年5月頃から最近まで攻撃に使用されたバイナリでは「E:/Go_Project/src/alpha/naver_crawl_spy/」のパスが確認されている。
3. Meterpreter
Metasploit はペネトレーションテストを目的としたフレームワークである。企業や機関のネットワーク、およびシステムに対するセキュリティの脆弱性をチェックする目的で使用可能なツールとして、ペネトレーションテストの各段階別に様々な機能をサポートしている。Meterpreter は Metasploit が提供するバックドアマルウェアであり、感染システムを操作する目的で使用される。
Kimsuky グループは AppleSeed を利用した攻撃プロセスで Meterpreter を頻繁に使用してきた。[7] 2023年上半期には Go 言語で開発された Meterpreter の Stager が確認されたが、[8] 最近配布されている Meterpreter は再び Go 言語ではなく C++ を利用して自主制作していることが特徴である。
4. VNC – TightVNC, HVNC(TinyNuke)
Kimsuky グループは、感染システムを操作するために RDP のほかに VNC マルウェアを自ら制作して使用することもある。[9] 最初に確認された時から最近までに確認されたタイプは、TightVNC と HVNC の二種類である。
TightVNC はオープンソースの VNC ユーティリティだが、攻撃者はこれをカスタマイズして使用している。Kimsuky グループが配布する TightVNC は感染環境でサービスをインストールすることなく単独で Reverse VNC 機能を使用できるように変更された形式である。これにより、単に tvnserver を実行するだけでも C&C サーバーで動作する tvnviewer に接続し、攻撃者は感染システムの画面制御が可能となる。
Nuclear Bot とも呼ばれている TinyNuke は2016年から確認されているバンキングマルウェアであり、HVNC(HiddenDesktop/VNC)、Reverse SOCKS4 プロキシ、Web ブラウザのフォームグラビング(入力フォームの情報を窃取)のような機能を含んでいる。TinyNuke は2017年頃にソースコードが公開されたことにより、様々な攻撃者によって使用されており、その中でも HVNC 、Reverse SOCKS4 Proxy 機能は AveMaria、BitRAT のような他のマルウェアによって部分的に借用する方式で使用されている。
Kimsuky グループは TinyNuke がサポートする様々な機能の中で HVNC 機能のみを有効にして配布する。TinyNuke はサーバーとクライアント間の HVNC 通信を確立するときに「AVE_MARIA」の文字列を利用して検証するが、Kimsuky グループはこの文字列をそのまま使用する場合に加え、「LIGHT’S BOMB」という文字列を使用することもあった。2022年上半期からは「Alpha’s nuke」という文字列を使用していたが、これは最近確認されたタイプも同様である。
5. 結論
Kimsuky 攻撃グループは、韓国国内のユーザーを対象に継続的にスピアフィッシング攻撃を行っている。主に電子メールの添付ファイルとしてドキュメントファイルに偽装したマルウェアを配布する方式であり、ユーザーがこれを実行した場合、現在使用中のシステムの操作権限が奪われる場合がある。
Kimsuky 攻撃グループは感染システムの操作権限を奪うため、AppleSeed や Meterpreter、そして VNC マルウェアを使用しており、Windows システムにデフォルトで存在する RDP リモートデスクトップサービスを悪用することもある。最近では遠隔操作のために Google Chrome のリモートデスクトップ機能を悪用する事例も確認されている。
ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧しないようにしなければならない。また、OS とインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Backdoor/Win.AppleSeed.C5565172 (2023.12.21.00)
– Backdoor/Win.AppleSeed.R626582 (2023.12.04.02)
– Malware/Win.Agent.R628198 (2023.12.18.02)
– Trojan/Win.VNC.C5563987 (2023.12.18.03)
– Trojan/Win.TinyNuke.C5563988 (2023.12.18.03)
– Backdoor/Win.AppleSeed.C5563985 (2023.12.18.03)
– Backdoor/Win.AlphaSeed.R628550 (2023.12.21.03)
– Malware/Win.Agent.R628198 (2023.12.18.02))
– Backdoor/Win.AlphaSeed.R628552 (2023.12.21.03)
– Backdoor/Win.Iedoor.R626024 (2023.11.29.02)
– Backdoor/Win.Iedoor.R625563 (2023.11.27.03)
– Backdoor/Win.AppleSeed.R625539 (2023.11.27.02)
– Dropper/Win.AppleSeed.R625538 (2023.11.27.02)
– Backdoor/Win.AppleSeed.R624029 (2023.11.24.00)
– Backdoor/Win.AppleSeed.R625553 (2023.11.27.03)
– Backdoor/Win.AppleSeed.C5502219 (2023.10.08.03)
振る舞い検知
– Execution/MDP.Regsvr32.M4470
IOC
MD5
– db5fc5cf50f8c1e19141eb238e57658c : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll
– 6a968fd1608bca7255c329a0701dbf58 : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
– cafc26b215550521a12b38de38fa802b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
– 76831271eb117b77a57869c80bfd6ba6 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
– b5d3e0c3c470d2d41967229e17259c87 : AppleSeed (%APPDATA%\chrome\Service\updategoogle.dll)
– 4511e57ae1eacdf1c2922bf1a94bfb8d : AppleSeed (%APPDATA%\EastSoft\Control\Service\EastSoftUpdate.dll)
– 02843206001cd952472abf5ae2b981b2 : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
– 8aeacd58d371f57774e63d217b6b6f98 : AppleSeed (%APPDATA%\Acrobatreader\Service\AcrobatReaderUpdate.db)
– cacf04cd560b70eaaf0e75f3da9a5e8f : AppleSeed (%APPDATA%\ProtectSoft\Update\Service\ProtectSoftUpdate.db)
– 7a7937f8d4dcb335e96db05b2fb64a1b : AppleSeed (%APPDATA%\Abode\Service\AdobeService.dll)
– f3a55d49562e41c7d339fb52457513ba : AppleSeed (%APPDATA%\FoxitReader\Service\FoxitReaderUpdate.db)
– 5d3ab2baacf2ad986ed7542eeabf3dab : AppleSeed Dropper
– d4ad31f316dc4ca0e7170109174827cf : AppleSeed Dropper
– 1f7d2cbfc75d6eb2c4f2b8b7a3eec1bf : AppleSeed Dropper
– ae9593c0c80e55ff49c28e28bf8bc887 : AppleSeed Dropper
– b6f17d59f38aba69d6da55ce36406729 : AppleSeed Dropper
– 153383634ee35b7db6ab59cde68bf526 : AppleSeed Dropper
– c560d3371a16ef17dd79412f6ea99d3a : AppleSeed Dropper
– 0cce02d2d835a996ad5dfc0406b44b01 : AppleSeed Dropper
– d94c6323c3f77965451c0b7ebeb32e13 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– 52ff761212eeaadcd3a95a1f8cce4030 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– 4cb843f2a5b6ed7e806c69e6c25a1025 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– b6ab96dc4778c6704b6def5db448a020 : AlphaSeed (%USERPROFILE%\.edge\edgemgmt.dat)
– 232046aff635f1a5d81e415ef64649b7 : Meterpreter (%PROGRAMDATA%\setting.dat)
– 58fafabd6ae8360c9d604cd314a27159 : Meterpreter (%SystemRoot%\system32\setting.db)
– e582bd909800e87952eb1f206a279e47 : Meterpreter (%SystemRoot%\system32\service.db)
– ac99b5c1d66b5f0ddb4423c627ca8333 : Meterpreter
– e34669d56a13d607da1f76618eb4b27e : TinyNuke (HVNC)
– ee76638004c68cfc34ff1fea2a7565a7 : TightVNC
C&C アドレス
– hxxp://bitburny.kro[.]kr/aha/ : AppleSeed
– hxxp://bitthum.kro[.]kr/hu/ : AppleSeed
– hxxp://doma2.o-r[.]kr// : AppleSeed
– hxxp://my.topton.r-e[.]kr/address/ : AppleSeed
– hxxp://nobtwoseb1.n-e[.]kr// : AppleSeed
– hxxp://octseven1.p-e[.]kr// : AppleSeed
– hxxp://tehyeran1.r-e[.]kr// : AppleSeed
– hxxp://update.ahnlaib.kro[.]kr/aha/ : AppleSeed
– hxxp://update.doumi.kro[.]kr/aha/ : AppleSeed
– hxxp://update.onedrive.p-e[.]kr/aha/ : AppleSeed
– hxxp://yes24.r-e[.]kr/aha/ : AppleSeed
– 104.168.145[.]83:993 : Meterpreter
– 159.100.6[.]137:993 : Meterpreter
– 38.110.1[.]69:993 : Meterpreter
– 107.148.71[.]88:993 : Meterpreter
– 45.114.129[.]138:33890 : TinyNuke (HVNC)
– 45.114.129[.]138:5500 : TightVNC
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] グループの AppleSeed マルウェア、攻撃動向の解析」[4] […]