AhnLab SEcurity intelligence Center(ASEC)は、「Lazarus グループによる DLL-Side Loading 手法の利用」[1] ブログを通じて Lazarus 攻撃グループが初期侵入段階から次の攻撃段階の達成のために正常なアプリケーションを利用した DLL Side-Loading 攻撃手法を使用する方式を取り上げた。ここでは、追加された変種の DLL や、感染対象の検証ルーチンを紹介する。
Lazarus グループは、韓国国内の企業、機関、シンクタンクのような分野に攻撃を仕掛ける APT グループである。2024年1月12日、ASD(AhnLab Smart Defense)インフラを通じて Lazarus グループがマルウェアを実行する際に主に使用する手法である DLL-Side Loading(T1574.002 Hijack Execution Flow: DLL Side-Loading)の新たな正常プログラムが確認された。
攻撃者は、初期侵入段階、マルウェア実行段階において主に DLL-Side Loading 手法を使用する。この方式は、正常なアプリケーションと不正な DLL を同じフォルダーパスに保存し、アプリケーションが実行されるときに不正な DLL が同時に動作するようにする手法である。すなわち、不正な DLL の名前を正常なプログラムが参照する他のパスに位置する正常な DLL ファイル名と同一に変更して、不正な DLL が先に実行されるようにするマルウェア実行手法である。
新たに確認された正常なプログラムは「wmiapsrv.exe」である。wmiapsrv.exe プログラムは MS の正常なモジュールであり、このモジュールは「wbemcomn.dll」をロードするが、これを利用して改ざんされた不正な wbemcomn.dll をロードする。また、同じパス内に改ざんされた別の不正な DLL、「netutils.dll」が確認された。生成された wbemcomn.dll と netutils.dll は、バックドア機能を実行する。
- wbemcomn.dll
wbemcomn.dll には感染対象検証ルーチンが存在する。GetSystemFirmwareTable API 呼び出しの結果値はユニークなシステム内の情報を含むが、この結果を利用して wbemcomn.dll の Resource 領域にある暗号化された文字列を復号化する。このとき、復号化された値のパスにあるファイルをロードして、以降不正な振る舞いを実行する。この部分から、特定のシステムでのみ動作するように意図された APT 攻撃の試みであることがわかる。他のシステム情報による GetSystemFirmwareTable API 呼び出しの結果を利用して復号化すると、ファイルのパス情報が確認できないためである。
2. netutils.dll
netutils.dll は wbemcomn.dll とは異なり、復号化検証プロセスを経ずに特定のファイルをロードする。当該ファイルパスとファイル名は、以下の通りである。
- PDB 情報 – O:\Develop\Tool_Dev\Loader\7-Zip\Util\7z\Debug\7zDec.pdb
- ロード対象のファイル情報 – C:\ProgramData\Microsoft Editor\editor.dat
Lazarus グループは、スピアフィッシング、サプライチェーン攻撃等、様々な攻撃ベクトルを使用しており、非常に脅威的かつ全世界的に活発な活動を見せる攻撃グループの一つである。このタイプのマルウェアは、以下のように AhnLab が検知している。
[ファイル検知]
Trojan/Win.LazarLoader.C5572843 (2024.01.12.03)
Trojan/Win.LazarLoader.C5572847 (2024.01.13.00)
[振る舞い検知]
Injection/MDP.Event.M4512
Injection/EDR.Lazarus.M10965
[IOC 情報]
edca71eda8650a2c591c37c780b6a0c5
21def97a3c5b95df1e1aeb6486881656
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報