韓国国内の資産管理ソリューションを悪用して攻撃中の Andariel グループ(MeshAgent)

AhnLab SEcurity intelligence Center(ASEC)では最近、Andariel グループが韓国国内の企業を対象に継続的に攻撃を行っていることを確認した。今回確認された攻撃の特徴としては、攻撃プロセスにおいて MeshAgent をインストールした事例が確認されたという点である。MeshAgent はリモート管理ツールであり、遠隔操作のための様々な機能を提供するため、他のリモート管理ツールのように攻撃者が悪用する事例が頻繁に確認されている。

攻撃者は過去の事例のように韓国国内の資産管理ソリューションを悪用してマルウェアをインストールしており、代表的なものとして AndarLoader、ModeLoader がある。参考に、Andariel グループは過去 Innorix Agent から始まり、ラテラルムーブメントのプロセスでマルウェアを配布するために韓国国内企業の資産管理ソリューションを継続的に悪用している。[1] [2]

1. AndarLoader

ASEC では過去に ASEC ブログ「Andariel グループの新たな攻撃活動の解析」で AndarLoader マルウェアを紹介した。[3] AndarLoader は Innorix Agent を悪用した攻撃事例で確認された Andardoor と類似しているが、C&C サーバーから攻撃者のコマンドを受け取り実行する大半のバックドア機能がバイナリに実装されている Andardoor とは異なり、C&C サーバーから .NET アセンブリのように実行可能なデータをダウンロードしてメモリ上で実行するダウンローダーマルウェアである。

今回確認された AndarLoader は Dotfuscator ツールで難読化されていた過去のタイプとは異なり、KoiVM を利用して難読化されていることが特徴である。だが、実行プロセスでは使用する文字列が復号化されるため、以下のように過去の AndarLoader と同じ文字列を確認することができる。参考に、C&C サーバーとの接続時「sslClient」文字列が使用されることも、過去の攻撃で確認された AndarLoader と同様である。

2. MeshAgent

MeshAgent はリモート管理に必要なシステムの基本情報を収集し、電源およびアカウント制御、チャットやメッセージのポップアップ、ファイルのアップロード/ダウンロード、そしてコマンド実行のなどの機能を提供する。ほかにもリモートデスクトップをサポートしているが、特に RDP および VNC のようなリモートデスクトップ機能も Web ベースでサポート可能である。一般的なユーザーはリモートでシステムを管理するために利用するものと思われるが、これらの機能のために悪意を持った目的で使われる場合がある。

実際に、他の攻撃者も感染システムの画面をリモートで操作するためにMeshAgent を使用する事例が確認されている。[4] Andariel グループによる MeshAgent の使用が確認されたのは初であり、外部から「fav.ico」という名前でダウンロードされた。

マルウェアは収集されなかったが、当該時点で MeshAgent サーバーは動作を続けていたため、以下のように C&C サーバーを確認することができた。

3. ModeLoader

ModeLoader は Andariel グループが過去から使用を続けている JavaScript マルウェアである。ファイルとして生成される形式ではなく、Mshta を通じて外部からダウンロードして実行される。過去のブログ記事でも、以下のように ASD ログでその振る舞いを確認することができた。

攻撃者は、主に資産管理ソリューションを悪用して ModeLoader をダウンロードする Mshta コマンドを実行する。以下のようなコマンドが実行されると、最終的に Mshta プロセスにおいて ModeLoader がダウンロードされて動作し、C&C サーバーに定期的な通信を試みる。

ModeLoader は JavaScript で開発され、難読化されているが提供する機能はシンプルである。C&C サーバー(modeRead.php)に定期的に接続し、Base64 で暗号化されたコマンドを受け取ったあとコマンドを実行し、その結果を再び C&C サーバー(modeWrite.php)に伝達する。

攻撃者は ModeLoader を利用して外部からさらなるマルウェアをインストールしたものと推定される。実際に、以下のようなコマンドによって %SystemDirectory% に「SVPNClientW.exe」という名前でインストールされている AndarLoader を実行したログを確認できる。

> cmd.exe /c tasklist
> cmd.exe /c c:\windows\system32\SVPN*

4. その他マルウェアの攻撃事例

AndarLoader や ModeLoader 等、バックドアマルウェアを利用して感染システムの操作権限を奪った攻撃者は、Mimikatz をインストールしてシステムに存在する資格情報を窃取しようとした。最新の Windows 環境では基本的に WDigest セキュリティパッケージを利用した平文形式のパスワードを入手できないため、UseLogonCredential レジストリキーを設定するコマンドも同時に確認されている。攻撃者は、このほかにも AndarLoader を利用して「wevtutil cl security」コマンドを実行し、感染システムのセキュリティイベントログを削除した。

今回確認された攻撃キャンペーンの特徴は、ほとんどの攻撃事例においてキーロガーマルウェアが同時に確認された点である。このマルウェアはキーロガーだけでなくクリップボードロガー機能も提供するが、「C:\Users\Public\game.db」パスにキーロガーのデータとクリップボードにコピーしたデータを記録する。

Andariel グループは Kimsuky グループと同様にバックドアをインストールして操作権限を奪ったあとも、リモートによる画面操作のための追加タスクを実行した。上記で取り上げたように、リモート画面操作のために MeshAgent をインストールすることもあれば RDP を使用することもあるが、そのために RDP サービスを有効化するコマンドも同時に確認されている。このほかにも、ファイルは収集されなかったものの攻撃の過程で Frpc を使用するものと思われ、これもプライベートネットワークに位置する感染システムに RDP で接続するためのものと見られる。

5. 結論

Andariel グループは Kimsuky、Lazarus グループとともに韓国国内を対象として活発に活動を続けている脅威グループの一つである。初期には主に安全保障に関する情報を取得するために攻撃を展開していたが、以降は金銭的利益を目的とした攻撃も行っている。初期侵入では主にスピアフィッシング攻撃や水飲み場型攻撃、そしてソフトウェアの脆弱性を利用するものとして知られており、攻撃の過程でインストールされたソフトウェアを悪用したり、脆弱性を突いた攻撃によってマルウェアを配布する状況も確認されている。

ユーザーは、出どころが不明なメールの添付ファイルや Web ページからダウンロードした実行ファイルには特に注意が必要であり、企業のセキュリティ担当者は資産管理ソリューションのモニタリングを強化し、プログラムのセキュリティ脆弱性がある場合はパッチを実行しなければならない。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払う必要がある。

ファイル検知
– Backdoor/JS.ModeLoader.SC197310 (2024.03.01.00)
– Trojan/Win.Generic.C5384741 (2023.02.19.01)
– Trojan/Win.KeyLogger.C5542383 (2023.11.16.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)

振る舞い検知
– CredentialAceess/MDP.Mimikatz.M4367

IoC
MD5
– a714b928bbc7cd480fed85e379966f95 : AndarLoader (%SystemDirectory%\SVPNClientW.exe)
– 4f1b1124e34894398aa423200a8ab894 : KeyLogger (%USERPROFILE%\documents\kerberos.tmp, %USERPROFILE%\kl.exe, %SystemDirectory%\dllhostsvc.exe)
– 2c69c4786ce663e58a3cc093c6d5b530 : ModeLoader
– 29efd64dd3c7fe1e2b022b7ad73a1ba5 : Mimikatz (%USERPROFILE%\mimi.exe)

C&C アドレス
– privacy.hopto[.]org:443 : AndarLoader
– privatemake.bounceme[.]net:443 : AndarLoader
– 84.38.129[.]21 : MeshAgent
– hxxp://www.ipservice.kro[.]kr/index.php : ModeLoader
– hxxp://www.ipservice.kro[.]kr/view.php : ModeLoader
– hxxp://www.ipservice.kro[.]kr/modeRead.php : ModeLoader
– hxxp://panda.ourhome.o-r[.]kr/view.php : ModeLoader
– hxxp://panda.ourhome.o-r[.]kr/modeRead.php : ModeLoader
– hxxp://panda.ourhome.o-r[.]kr/modeView.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/view.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/modeView.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/modeRead.php : ModeLoader
– hxxp://www.mssrv.kro[.]kr/modeWrite.php : ModeLoader

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。