Posted By ASEC , 2024年 February 22日

セキュリティプログラムのインストール過程で感染する TrollAgent(Kimsuky グループ)

ASEC(AhnLab SEcurity intelligence Center)では最近、韓国国内の建設関連協会のホームページ上でセキュリティプログラムのインストールを試みると、マルウェアがダウンロードされるという状況を確認した。当該ホームページで提供しているサービスを使用するためにはログインが必要であり、セキュリティのために様々なセキュリティプログラムをインストールすることでログインを行うことができる。

ログインのためにインストールを誘導されるプログラムの中に、マルウェアが含まれたインストールプログラムが存在し、もしユーザーがこれをダウンロードしてインストールする場合、セキュリティプログラムだけでなくマルウェアも同時にインストールされてしまう。

このようなプロセスを通じてインストールされるマルウェアは、外部から攻撃者のコマンドを受け取り、悪意を持った振る舞いを実行できるバックドアマルウェアと感染システムの情報を収集する情報窃取型マルウェアがある。これにより、ユーザーは公式ホームページからセキュリティプログラムをインストールするだけでも個人情報窃取等の脅威にさらされる恐れがある。

1. 拡散方式

当該協会のホームページにアクセスした後にログインを試みると、以下のように、ログインのためにセキュリティプログラムのインストールを要求される。インストールが必要なセキュリティプログラムのうち「NX_PRNMAN」から、マルウェアが含まれた不正なインストーラーがダウンロードされる。これは解析時点である2024年1月中旬が基準であり、2023年12月頃には「TrustPKI」セキュリティプログラム内にマルウェアを含んで拡散された。また、内部テスト上で改ざんされたインストーラーは特定の時間帯にのみ当該ホームページにアップロードされ、その時間にダウンロードしたユーザーのみが攻撃にさらされることになる。当社が確保した改ざん済みインストーラーの合計感染数は、3,000件以上であると集計された。

インストーラーは VMProtect でパックされており、韓国国内の防衛産業企業である「D2Innovation」社の有効な証明書で署名されている。(図2参照)有効な証明書を盗用することにより Web ブラウザのダウンロード検証段階、またはファイル実行段階で AV(Anti-Virus)製品の検知回避を意図したものと見られる。

不正なインストーラーはマルウェアだけでなく、セキュリティプログラムを同時にインストールし、マルウェアはバックグラウンドで実行されるため、ユーザーはマルウェアがインストールされたことを認知することが難しい。「NX_PRNMAN」インストーラーを実行すると、正常なインストールファイルだけでなく、マルウェアが「%APPDATA%」パスに生成され、rundll32.exe プロセスにより実行される。(図3参照)

「NX_PRNMAN」インストーラーがマルウェアに変更されたのは2024年1月頃であり、2023年12月頃には「TrustPKI」インストーラーが同様のマルウェアをインストールしていたものと見られる。二つの不正なインストーラーは、どちらも同じ「D2Innovation」社の証明書で署名されている。

「D2Innovation」社の有効な証明書により署名されたマルウェアのうち、最初に確認されたものは2023年12月12日に制作された「TrustPKI」偽装マルウェアであり、最近確認されたものは2024年1月11日に制作された「NX_PRNMAN」偽装マルウェアである。

2. インストールされるマルウェアの解析

2.1. インフォスティーラー(TrollAgent)

不正なインストーラーだけでなく、インストール過程で生成される実際のマルウェアの大半は VMProtect でパックされており、Go 言語で制作されたタイプがほとんどである。代表的なものとして、不正なインストーラーが %APPDATA% パスに生成するマルウェアは感染システムの情報を窃取するインフォスティーラーマルウェアである。Go 言語で制作されており DLL フォーマットであるため、rundll32.exe により実行される。

また、バイナリに含まれた Go 言語のソースコード情報から、攻撃者が「troll」という名前で制作したことを確認できる。TrollAgent インフォスティーラーは、システム情報の他にも Chrome および Firefox Web ブラウザに保存されている資格情報、Cookie、ブックマーク、履歴、プラグイン等、Web ブラウザに関する多数の情報を窃取する機能を提供する。

2.2. バックドア(Go/C++)

ほとんどの不正なインストーラーは Troll インフォスティーラーをインストールするが、同時にバックドアマルウェアをインストールすることもある。攻撃に使用されたバックドアマルウェアは C&C コマンドの条件分岐が、2022年11月に公開された「原子力発電所関連企業をターゲットに AppleSeed が拡散」[1] の記事、および2023年11月に公開された「輸入申告書を装い韓国国内の研究機関を狙う Kimsuky」[2] の記事で取り上げたバックドアマルウェアと類似している。

攻撃者は Go 言語で開発したバックドアマルウェアも同時に攻撃に使用しており、このマルウェアも実質的に類似したタイプである。

3. 結論

最近、韓国国内の建設関連協会のホームページで正常なセキュリティプログラムに偽装したマルウェアがアップロードされている。ユーザーがログインのためにセキュリティプログラムをインストールする際、セキュリティプログラムとともにマルウェアがインストールされる場合がある。マルウェアは感染システム内に保存されたユーザー情報を窃取し、C&C サーバーから攻撃者のコマンドを受け取り様々な不正な振る舞いを実行することができる。

ユーザーは、V3 を最新バージョンにアップデートし､マルウェアへの感染を事前に遮断できるように注意を払わなければならない。

ファイル検知
– Dropper/Win.TrollAgent.C5572219 (2024.01.12.02)
– Dropper/Win.TrollAgent.C5572604 (2024.01.12.02)
– Dropper/Win.TrollAgent.C5572605 (2024.01.12.02)
– Dropper/Win.TrollAgent.C5572607 (2024.01.12.02)
– Dropper/Win.TrollAgent.C5572629(2024.01.12.02)
– Infostealer/Win.TrollAgent.C5572217 (2024.01.12.02)
– Infostealer/Win.TrollAgent.C5572601 (2024.01.12.02)
– Infostealer/Win.TrollAgent.R630772 (2024.01.12.02)
– Backdoor/Win.D2Inv.C5572602 (2024.01.12.02)
– Backdoor/Win.D2Inv.C5572603 (2024.01.12.02)

IOC
MD5
– 9e75705b4930f50502bcbd740fc3ece1 : 不正なインストーラー (TrustPKI)
– 27ef6917fe32685fdf9b755eb8e97565 : 不正なインストーラー (TrustPKI)
– 62fba369711087ea37ef0b0ab62f3372 : 不正なインストーラー (TrustPKI)
– e4a6d47e9e60e4c858c1314d263aa317 : 不正なインストーラー (TrustPKI)
– 6097d030fe6f05ec0249e4d87b6be4a6 : 不正なインストーラー (TrustPKI)
– b532f3dcc788896c4844f36eb6cee3d1 : 不正なインストーラー (TrustPKI)
– b97abf7b17aeb4fa661594a4a1e5c77f : 不正なインストーラー (TrustPKI)
– d67abe980a397a94e1715df6e64eedc8 : 不正なインストーラー (TrustPKI)
– 2aaa3f1859102aab35519f0d4c1585dd : 不正なインストーラー (TrustPKI)
– 7b6d02a459fdaa4caa1a5bf741c4bd42 : 不正なインストーラー (TrustPKI)
– 19c2decfa7271fa30e48d4750c1d18c1 : 不正なインストーラー (NX_PRNMAN)
– 4168ff8b0a3e2f7e9c96afb653d42a01 : 不正なインストーラー (NX_PRNMAN)
– a67cf9add2905c11f5c466bc01d554b0 : TrollAgent インフォスティーラー
– 7457dc037c4a5f3713d9243a0dfb1a2c : TrollAgent インフォスティーラー
– 42ea65fda0f92bbeca5f4535155125c7 : TrollAgent インフォスティーラー
– 4222492e069ac78a55d3451f4b9b9fca : TrollAgent インフォスティーラー
– dc636da03e807258d2a10825780b4639 : TrollAgent インフォスティーラー
– 9360a895837177d8a23b2e3f79508059 : TrollAgent インフォスティーラー
– 035cf750c67de0ab2e6228409ac85ea3 : TrollAgent インフォスティーラー
– 013c4ee2b32511b11ee9540bb0fdb9d1 : TrollAgent インフォスティーラー
– 88f183304b99c897aacfa321d58e1840 : TrollAgent インフォスティーラー
– c8e7b0d3b6afa22e801cacaf16b37355 : TrollAgent インフォスティーラー
– 2b678c0f59924ca90a753daa881e9fd3 : TrollAgent インフォスティーラー
– 8d4af59eebdcda10f3c88049bb097a3a : バックドア (C++)
– 87429e9223d45e0359cd1c41c0301836 : バックドア (GoLang)

C&C
– hxxp://sa.netup.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://dl.netup.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.kimyy.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ve.kimyy.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ar.kostin.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.kostin.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://pe.daysol.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.daysol.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ca.bananat.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.bananat.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://pi.selecto.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.selecto.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.aerosp.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ce.aerosp.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.limsjo.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://qi.limsjo.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.ssungmin.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://li.ssungmin.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ai.negapa.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://ol.negapa.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://qa.jaychoi.p-e[.]kr/index.php : TrollAgent インフォスティーラー
– hxxp://viewer.appofficer.kro[.]kr/index.php : バックドア (C++)
– hxxp://coolsystem.co[.]kr/admin/mail/index.php : バックドア (GoLang)