最近 AhnLab SEcurity intelligence Center(ASEC)では、無料のオンラインメモ帳プラットフォームである aNotepad を悪用して配布されているバックドアマルウェアを確認した。このマルウェアは、Windows システムを対象とする PE フォーマットのマルウェアだけでなく、Linux システムを対象とする ELF フォーマットのマルウェアもサポートする。攻撃者は、マルウェアの製作時に WingOfGod という文字列を使用しており、これをベースに WogRAT として分類する。
1. 配布事例
WogRAT は、少なくとも2022年末から最近まで攻撃に使用され続けているものと見られる。Linux システムを対象とする攻撃事例は確認されなかったものの、Windows を対象とするマルウェアの場合、収集時のファイル名をベースにした時、正常なユーティリティツールに偽装してダウンロードを誘導する攻撃方式が使用されていると推定される。
攻撃に使用されたマルウェアの名前は、「flashsetup_LL3gjJ7.exe」、「WindowsApp.exe」、「WindowsTool.exe」、「BrowserFixup.exe」、「ChromeFixup.exe」、「HttpDownload.exe」、「ToolKit.exe」など、正常なユーティリティを偽装した名前が多かった。VirusTotal 基準、収集国家ベースで推定した時、主な攻撃対象は香港やシンガポール、中国、日本などのアジア国家であると見られる。
2. WogRAT (Windows)
ここでは Windows バージョンの WogRAT マルウェアのうち、1つをベースにして説明する。まず、Adobe ツールに偽装して配布されたマルウェアは .NET で開発された。クラス名を見ると、Chrome Web ブラウザ関連のツールに偽装しているが、実際には内部的に暗号化されたダウンローダーマルウェアのソースコードが含まれている。
このマルウェアが実行されると、先にソースコードをコンパイルしてロードするが、ロードされる DLL は、aNotepad プラットフォームで文字列をダウンロードし、Base64 アルゴリズムで復号化した後にロードする機能を担う。実際に aNotepad URL に接続すると、以下のように Base64 で暗号化された .NET バイナリがメモ帳に文字列で保存されていることが確認できる。
最終的にロードされる DLL は、WingsOfGod という名前のバックドアマルウェアである。WogRAT は最初に実行されると、感染システムの基本的な情報を収集して C&C サーバーに送信する。その後、コマンド実行および結果送信、ファイルダウンロード/アップロードなどのコマンドをサポートする。
WogRAT は、初回接続、コマンドダウンロード、コマンド実行の結果によって以下のような構造のデータを POST リクエストで送信する。例えば、以下のデータは初回接続時に送信するデータの例である。
- 初回接続時に送信するデータ(例):“act=on&bid=4844-1708721090438&name=TestPC\TestUser”
| 段階 | 送信データ |
|---|---|
| 初回接続 | act=on& bid=[PID]-[Random]& name=[PC Name]\[User Name] |
| コマンドダウンロード | act=chk& bid=[PID]-[Random] |
| コマンド実行結果の送信 | act=ret& task_id=[タスク ID]& result=[Base64 暗号化されたコマンドの実行結果] |
コマンドダウンロード時にはコマンドの種類と該当タスクの ID、そしてコマンド関連データを受け取る。例えば、以下のデータは upldr(例)という名前のタスクであり、「C:\malware.exe」パスのファイルを読み込んで C&C サーバーに送信するコマンドである。
- 受け取るコマンド(例):“task_id=upldr&task_type=3&task_data=C:\malware.exe”
| 機能 | |
|---|---|
| task_id | タスク ID |
| task_type | コマンド(5個サポート) |
| task_data | コマンド関連データ |
| コマンド | 説明 | Task_data |
|---|---|---|
| 1 | コマンド実行 | 実行するコマンド |
| 2 | ダウンロード | 「ダウンロードアドレス|生成するファイルパス」 |
| 3 | アップロード | 「アップロードするファイルパス」 |
| 4 | 待機時間変更 | 待機時間(秒単位) |
| 5 | 終了 |
ファイルのアップロードには FTP プロトコルを活用する。現在解析対象であるマルウェアは、ファイルアップロード時のアドレスがテスト性の URL であることから機能をサポートしていないと見られるが、他のマルウェアではこれを活用していることが分かる。
3. WogRAT (Linux)
初回配布方式は確認されなかったが、同じ C&C サーバーを使用するマルウェアの確認中に、Linux システムを対象とする WogRAT も共に確認された。Linux バージョンの WogRAT は、Windows バージョンと類似しており、Rekoobe バックドアと同じくオープンソースマルウェアである「Tiny SHell」のルーチンを借用したことが特徴である。
WogRAT が実行されると、一般的なマルウェアのようにプロセス名を正常なプロセスと同じように変更し、ユーザーが認知しにくくする。現在確認された WogRAT は、すべて「[kblockd]」という名前にプロセス名を変更する。その後、Windows バージョンと同じく感染システムの基本的な情報を収集して送信する。
- 初回接続時に送信するデータ例:“Online#beacon_id=1407-1708746837279&pid=1407&hostname=testPC&ip=xxx.xxx.xxx.xxx&uid=0&username=root”
| 段階 | 送信データ |
|---|---|
| 初回接続 | Online# beacon_id=[PID]-[Random]& pid=[PID]& hostname=[ホスト名]& ip=[IP アドレス]& uid=[uid]& username=[ユーザー名] |
| コマンドダウンロード | Check# beacon_id=[PID]-[Random] |
| コマンド実行結果の送信 | AddResult# task_id=[タスク ID]& result=[Base64 暗号化されたコマンドの実行結果] |
送信データの構造は、Windows バージョンとは若干異なるが、C&C サーバーから受け取るデータは同じく「task_id」、「task_type」、「task_data」が使用される。サポートするコマンドもまた、ダウンロードコマンドがない点を除くとほぼ類似している。しかし、C&C サーバーとの通信に上記の文字列をそのまま使用した Windows バージョンとは違ってデータ送信時、追加で暗号化を行い送信するという違いが存在する。
| コマンド | 説明 | Task_data |
|---|---|---|
| 1 | リバースシェル | リバースシェルアドレス「IP:Port」 |
| 2 | アップロード | 「アップロードするファイルパス」 |
| 3 | 待機時間変更 | 待機時間(秒単位) |
| 4 | 終了 |
Linux バージョンの WogRAT が持つ一番の特徴は、C&C サーバーから直接コマンドを受け取る代わりに、リバースシェルを担うサーバーに関するアドレスを受け取り、そのアドレスに接続するという点である。過去に同じアドレスで WogRAT の代わりに Tiny SHell が配布された点や、リバースシェルのルーチンが Tiny Shell と同じであることから、攻撃者は Tiny SHell サーバーを別に構築しておき、そのアドレスに接続させるものと推定される。
攻撃者は、WogRAT 製作時に Tiny SHell の C&C 通信方式とリバースシェル機能をそのまま使用した。すなわち、HMAC SHA1 アルゴリズムを利用して生成した AES-128 キーで C&C サーバーとの通信を暗号化するという点や完全性検証に使用される0x10バイトの値をそのまま使用するという点が同じである。
その代わり、パスワードの文字列はマルウェアごとに違う文字列が使用され、それぞれ「03c7c0ace395d80182db07ae2c30f034」、「194112c60cb936ed1c195b98142ff49d」が使用された。
4. 結論
最近、Windows だけでなく Linux システムを対象として配布されている WogRAT が確認された。具体的な攻撃ベクトルは確認されなかったが、収集されたファイル名から攻撃者が正常なユーティリティに偽装してダウンロードを誘導する方式を使用していると推定される。
ユーザーは、疑わしい Web サイトやデータ共有サイトの実行ファイルをインストールすることに特に注意を払う必要があり、ユーティリティおよびゲーム等のプログラムは必ず公式ホームページからダウンロードすることを推奨する。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。
ファイル検知
– Downloader/Win.WogRAT.R636364 (2024.02.25.00)
– Backdoor/Win.WogRAT.C5593109 (2024.02.25.00)
– Backdoor/Win.WogRAT.C5593110 (2024.02.25.00)
– Backdoor/Win.WogRAT.R636365 (2024.02.25.00)
– Trojan/Win.Generic.C5387450 (2023.02.24.03)
– Backdoor/Linux.Rekoobe.67840 (2023.07.13.00)
– Backdoor/Linux.TinySHell.63712 (2024.02.26.03)
AMSI 検知
– Backdoor/Win.WogRAT.C5593109 (2024.02.25.00)
IoC
MD5
– 5769d2f0209708b4df05aec89e841f31 : WogRAT Downloader (WindowsTool.exe)
– 655b3449574550e073e93ba694981ef4 : WogRAT Downloader (WindowsApp.exe)
– 929b8f0bdbb2a061e4cf2ce03d0bbc4c : WogRAT Downloader (flashsetup_LL3gjJ7.exe)
– da3588a9bd8f4b81c9ab6a46e9cddedd : WogRAT Downloader (BrowserFixup.exe)
– fff21684df37fa7203ebe3116e5301c1 : WogRAT Downloader (ToolKit.exe)
– e9ac99f98e8fbd69794a9f3c5afdcb52 : WogRAT Downloader (HttpDownload.exe)
– 290789ea9d99813a07294ac848f808c9 : WogRAT – Windows (WingsOfGod.dll)
– 3669959fdb0f83239dba1a2068ba25b3 : WogRAT – Windows (WingsOfGod.dll)
– f97fa0eb03952cd58195a224d48f1124 : WogRAT – Windows (WingsOfGod.dll)
– f271e0ae24a9751f84c5ae02d29f4f0e : WogRAT – Windows (WingsOfGod.dll)
– 1341e507f31fb247c07beeb14f583f4f : WogRAT – Windows (ChromeFixup.exe)
– 7bcfea3889f07f1d8261213a77110091 : Tiny SHell (dddddd_oo)
– 1aebf536268a9ed43b9c2a68281f0455 : WogRAT – Linux (abc)
– a35c6fbe8985d67a69c918edcb89827e : WogRAT – Linux (a14407a2)
C&C アドレス
– w.linuxwork[.]net:443
– linuxwork[.]net:80
– hxxps://t0rguard[.]net/c/
– hxxps://w.newujs[.]com/c/
– hxxps://newujs[.]com/tt.php?fuckyou=1
ダウンロードアドレス
– hxxp://newujs[.]com/dddddd_oo
– hxxp://newujs[.]com/abc
– hxxp://newujs[.]com/a14407a2
– hxxps://js.domaiso[.]com/jquery.min-2.js
– hxxps://jp.anotepad[.]com/note/read/b896abi9
– hxxp://newujs[.]com/cff/wins.jpg
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報