北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期には韓国の北朝鮮関連の研究機関等に対する攻撃を行っており、2014年、韓国のエネルギー機関への攻撃が、そして2017年以降は韓国以外の国への攻撃も確認されている。[1](韓国語にて提供) 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供)
Kimsuky グループは、攻撃によって様々なマルウェアを使用するが、代表的なものとして AppleSeed と AlphaSeed マルウェアをインストールする事例がある。これらの攻撃は数年前から続いており、過去にも「Kimsuky グループの APT 攻撃解析レポート(AppleSeed、PebbleDash)」[3](韓国語にて提供) や、最近公開した「Kimsuky グループの AppleSeed マルウェア、攻撃動向の解析」[4] で詳しく取り扱った。
ここでは、数年間続いている Kimsuky グループのスピアフィッシング攻撃を、AhnLab EDR を活用して検知する事例を紹介する。管理者は、これによって脅威を事前に認知し、原因把握と適切な対応を行うことができる。
1. スピアフィッシング攻撃
攻撃者は、主にマルウェアを添付したスピアフィッシングメールを送信する方式で攻撃を開始する。攻撃対象には、外交、国防、学術機関、企業だけでなく、個人も含まれる。スピアフィッシングメールに添付された圧縮ファイル内には主にドキュメントファイルを装った VBS や JavaScript マルウェアが含まれている。ユーザーが解凍してマルウェアを実行すると AppleSeed マルウェアがインストールされ、感染システムに存在するユーザー情報を窃取し、C&C サーバーから渡されたコマンドを実行する。
VBS および JavaScript マルウェアは AppleSeed をインストールするだけでなく、偽装していた正常なドキュメントファイルを一緒に生成して実行するため、ユーザーは正常にドキュメントファイルを開いたものと勘違いする可能性がある。攻撃者が偽装するドキュメントは攻撃対象によって異なるが、外交および国防の場合は政府の公文書ファイルが使用される傾向があり、企業の場合は承認書、発注書、セキュリティ点検表、納品実績、取引内訳書等、様々なテーマが使用される。また、個人の場合は住民登録抄本やネットショッピングの注文明細書が確認される等、Kimsuky グループは攻撃対象に応じて様々なテーマを活用し、スピアフィッシング攻撃を行っている。
今回確認されたスピアフィッシング攻撃では、「***様.jse」という名前で被害者の名前と推定される JavaScript マルウェアが使用された。これを開くと、以下のようにネットショッピングの注文明細書を生成して表示する。
マルウェアは、これと同時に暗号化されたマルウェアを生成し、certutil ユーティリティを利用して復号化する。そして PowerShell を利用して最終的なマルウェアを実行するが、DLL フォーマットであるため regsvr32 ユーティリティを利用してこれを実行する。以下の図は JavaScript マルウェアを実行する時に確認されるプロセスツリーであり、順番にネットショッピングの注文明細書を生成し Web ブラウザを利用して実行する振る舞いと、マルウェアをインストールする振る舞いを示している。一般的な事例とは異なり、今回の事例では JavaScript マルウェアが AppleSeed と AlphaSeed を同時にインストールした。これにより、certutil を利用した復号化の振る舞いとマルウェア実行の振る舞いが同様に2回発生する。
2. AhnLab EDR を活用した検知
JavaScript マルウェアは AppleSeed と AlphaSeed をインストールする際、暗号化されたファイルを ProgramData パスに生成した後、certutil ツールを利用して復号化した。AhnLab EDR はこのような疑わしい振る舞いを脅威として検知し、管理者がシステムにマルウェアがインストールされたことを事前に検知できるようにサポートする。
AppleSeed は、C&C サーバーから渡された攻撃者のコマンドを実行できる、バックドア型マルウェアである。攻撃者は AppleSeed を利用して感染システムを操作することができ、その他にもさらなるマルウェアをインストールするダウンローダー機能とキーロガーおよびスクリーンキャプチャ、そしてユーザーシステムのファイルを収集して転送する情報窃取機能をサポートする。
DLL 形式の AppleSeed は Regsvr32 プロセスを利用してインストールされるが、最終的に RegSvr32 プロセスで動作する AppleSeed は、システムの基本的な情報を収集するために net、systeminfo、ipconfig のようなコマンドを使用する。その後、C&C サーバーに接続して収集した情報を窃取し、コマンドを受け取ることができる。C&C サーバーとの通信には主に HTTP プロトコルを利用するが、過去には SMTP プロトコル、すなわち電子メールを使用することもあった。
AppleSeed は数年間にわたり大きな変化がなく、上記で紹介した方式でインストールされる。最近ではドロッパーマルウェアが同時に使用されたり、アンチサンドボックス目的で「/i」オプションを利用した引数チェック機能が追加されたりもしたが、ProgramData パスに暗号化されたマルウェアを生成して復号化する等の振る舞いは以前と同様である。以下は、AppleSeed をインストールする過程で RegSvr32 プロセスを利用して異常な拡張子を実行する振る舞いが AhnLab EDR により検知された事例である。
AlphaSeed は Go 言語で開発されたマルウェアであり、コマンドの実行や情報窃取等、サポートする機能が AppleSeed と類似している。とはいえ、Go 言語で開発されたという点や ChromeDP を利用して C&C 通信を行うという違いはある。AlphaSeed は C&C 通信に電子メールを使用し、AppleSeed とは異なり直接メールを送信する代わりに ChromeDP というツールを利用する。ログインプロセスも異なり、直接 ID/PW を利用せず、特定のアカウントでログインするために必要な Cookie の値を利用してログインすることが特徴である。
C&C サーバーとの通信に ChromeDP を利用するため、以下のプロセスツリーのように子プロセスとして Chrome Web ブラウザが生成される。
AlphaSeed は AppleSeed と同じくスクリーンキャプチャ、キーロガーおよびコマンド実行のような様々な不正な振る舞いを実行できる。また、再起動後も動作できるように自身を実行するコマンドを Run キーに登録する。
3. 結論
Kimsuky グループは、スピアフィッシング攻撃を通じて AppleSeed および AlphaSeed マルウェアをインストールしており、これによってスクリーンキャプチャ、キーロガーのようなユーザー情報を窃取し、感染システムを操作している。この他にも、AppleSeed を利用して Web ブラウザのアカウント情報の窃取を担うインフォスティーラー型マルウェアや、VNC(HVNC、TightVNC)、RDP Wrapper、Chrome リモートデスクトップ等、画面操作のためのさらなるマルウェアをインストールすることもある。
AhnLab EDR は Kimsuky グループが使用するマルウェアを脅威および主な振る舞いとして検知し、管理者がこれを事前に認知できるようサポートしている。管理者は、これによって原因把握と適切な対応を行うことができ、スピアフィッシング攻撃にさらされた後も、攻撃対象となったシステムから攻撃者の証跡資料として侵害事例の調査に必要なデータを確認することができる。
ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧を控える必要がある。また、OS およびインターネットブラウザ等のプログラムの最新パッチの適用、およびセキュリティ製品を最新バージョンにアップデートし、このようなマルウェアの感染を事前にブロックできるよう注意する必要がある。
ファイル検知
– Dropper/JS.Generic (2024.01.30.02)
– Backdoor/Win.AppleSeed.C5584362 (2024.02.05.02)
– Backdoor/Win.AlphaSeed.R633230 (2024.01.30.03)
振る舞い検知
– Execution/EDR.Certutil.M11121
– SystemManipulation/DETECT.T1140.M3178
– Execution/EDR.Regsvr32.M11168
– Suspicious/DETECT.T1060.M2939
IoC
MD5
– 7756b4230adfa16e18142d1dbe6934af : JavaScript Dropper (***様.jse)
– 486370be06493d78a9922b3a6e424909 : AppleSeed Dropper (%PROGRADATA%\xQAW1Xg.bYhB)
– a0dd33b6b8c3ac9bee46a95586df345f : AppleSeed Backdoor (%AppData%\IEServer\Update\IEServiceUpdate.dat)
– 8b77608db042b225ae8f59276ee3a165 : AlphaSeed (%USERPROFILE%.edge\softUpdate.db)
C&C
– hxxp://peras1.n-e[.]kr/ : AppleSeed
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知