AhnLab SEcurity intelligence Center(ASEC)では、最近、Kimsuky グループが韓国国内公共機関のインストーラーに偽装してマルウェアを配布した事実を確認した。このマルウェアはドロッパー(Dropper)であり、過去のブログ「セキュリティプログラムのインストール過程で感染する TrollAgent(Kimsuky グループ)」[1] で扱った攻撃で使用されたバックドアマルウェアの Endoor を生成する。
Dropper マルウェアが実際の攻撃に使用された履歴は確認されなかったものの、この Dropper が生成するバックドアマルウェアの攻撃事例は Dropper マルウェアの収集日と類似した時点で確認された。攻撃者は、バックドアを利用して追加マルウェアをダウンロードしたり、スクリーンショットを窃取するマルウェアをインストールしたりもした。Endoor は、他にも攻撃に使用され続けているが、過去からスピアフィッシング攻撃で配布される Nikidoor とともに使用された。
1. 韓国国内公共機関のインストローラーに偽装した(Dropper)
Dropper マルウェアは、韓国国内のある公共機関のインストーラーに偽装した。アイコンに該当公共機関のロゴを使用しており、バージョン情報やインストールページでも関連キーワードを確認することができる。しかし、同じバージョン情報を持つ正常なプログラムが確認されないことから、既存のプログラムに偽装したものではなく、単純に正常なプログラムに見えるように製作したものである可能性もある。また、実際のインストール過程でもマルウェアを除けば正常にインストールされたプログラムは存在しない。
Dropper は、バージョン情報を偽装しただけでなく、韓国国内業者の有効な認証書で署名されていることが特徴である。Dropper が実行されると、内部に持っていた「src.rar」という圧縮ファイルと「unrar.exe」という名前の WinRAR ツールを生成する。その後、WinRAR を利用してパスワード「1q2w3e4r」を与え、圧縮を解凍し、バックドアを生成して実行する。
2. Endoor バックドア
Dropper は、引数で「install」を与えてバックドアを実行し、その引数で実行されたバックドアは自身を「%USERPROFILE%\svchost.exe」パスにコピーして「Windows Backup」という名前でタスクスケジューラに登録する。タスクスケジューラは「backup」引数でバックドアを実行することになり、バックドアは以後 C&C サーバーに接続してコマンドを受け取ることができる。
バックドアは Go 言語で開発され、難読化されているが、以前の事例で確認されたタイプと同じである。過去のブログ「セキュリティプログラムのインストール過程で感染する TrollAgent(Kimsuky グループ)」で紹介した TrollAgent と同じ認証書で署名された状態で配布され、以下のようなキーワードを含んでいるため、ここでは Endoor に分類する。
Endoor は、感染システムの基本的な情報を送信し、コマンド実行、ファイルアップロードおよびダウンロード、プロセスタスク、Socks5 プロキシなどの機能をサポートするバックドアマルウェアである。過去、中国 QiAnXin 社の Threat Intelligence Center では、このマルウェアを別途分類しなかったが、詳しい解析情報を公開した。[2](外部サイト、中国語にて提供)
3. 攻撃事例 #1
上記で紹介した Dropper によってインストールされたか、あるいは他のパスでインストールされたかは確認されなかったが、Endoor が攻撃に使用された履歴が ASD インフラで確認された。以下のログは、Kimsuky グループが Endoor を他のバイナリにアップデートしているものと推定されるログである。外部から Curl を利用して「rdpclip.dat」という名前でダウンロードしており、ファイルは確認されていないが、実行時に「install」引数を使用したという点とファイルのサイズからして Endoor の別バージョンと推定される。
攻撃者は他にも「%ALLUSERSPROFILE%\cache.exe」パスに Mimikatz をインストールして使用し、以下のように「sekurlsa:logonpasswords」引数が実行ログで確認された。
インストールしたマルウェアの中には、感染システムのスクリーンショットをキャプチャーして窃取するマルウェアも存在する。マルウェアは、Kbinani のスクリーンショットライブラリーを利用して製作されたもので、[3](外部サイト、英語にて提供) 攻撃者はスクリーンショットキャプチャーだけでなく、これを流出する機能も具現した。窃取アドレスはローカルホスト、すなわち「hxxp://127.0.0.1:8080/recv」だが、これは攻撃者がすでに感染システムにプロキシをインストールし、これを利用して外部に窃取するものと見られる。
4. 攻撃事例 #2 (Nikidoor)
最近、確認されている Endoor は、Ngrok の無料ドメインアドレスである「ngrok-free[.]app」を C&C サーバーとして使用していることが特徴である。2024年2月に確認された上記の事例以降、2024年3月に追加で確認された Endoor も同様に「install」、「backup」引数を使用し、「ngrok-free[.]app」を C&C サーバーとして使用した。
上記のアドレスは Nikidoor を配布するのに使われたこともあり、C&C サーバーアドレスも共有している。Nikidoor は、「輸入申告書を装い韓国国内の研究機関を狙う Kimsuky」[4] ブログで言及した Kimsuky グループのバックドアマルウェアであり、AppleSeed、Endoor など、他のマルウェアのように感染システムの情報を窃取し、コマンドを伝達されてマルウェアを実行することができる。PDB パスの文字列に「Niki」という文字列が持続的に使われていることが特徴である。
- PDB パス:C:\Users\niki\Downloads\Troy\Dll.._Bin\Dll.pdb
5. 結論
最近、Kimsuky グループが韓国国内業者の有効な認証書を利用してマルウェアを署名し、配布する事例が持続的に確認されている。攻撃者は、最終的にバックドアマルウェアをインストールし、これを利用して感染システムに存在するユーザー情報を窃取する。
ユーザーは、V3 を最新バージョンにアップデートしてマルウェアの感染を事前に遮断できるように注意を払う必要がある。
ファイル検知
– Dropper/Win.Endoor.C5593202 (2024.02.25.01)
– Backdoor/Win.Endoor.C5593201 (2024.02.25.01)
– Backdoor/Win.KimGoBack.C5385331 (2024.02.20.03)
– Backdoor/Win.Endoor.C5598434 (2024.03.09.00)
– Backdoor/Win.Nikidoor.C5598774 (2024.03.10.00)
振る舞い検知
– Execution/MDP.Event.M18
IoC
MD5
– b74efd8470206a20175d723c14c2e872 : Dropper – 正常な認証書で署名 (*App.exe)
– 7034268d1c52539ea0cd48fd33ae43c4 : Endoor (svchost.exe)
– f03618281092b02589bca833f674e8a0 : スクリーンショット窃取 (ag.dat)
– b8ffb0b5bc3c66b7f1b0ec5cc4aadafc : Endoor – 追加確認 (eng.db)
– 7beaf468765b2f1f346d43115c894d4b : Nikidoor (c.pdf)
C&C アドレス
– hxxps://real-joey-nicely.ngrok-free[.]app/mir/index.php : Endoor
– hxxps://fitting-discrete-lemur.ngrok-free[.]app/minish/index.php : Endoor – 追加確認
– hxxp://minish.wiki[.]gd/index.php : Endoor – 追加確認、Nikidoor
– hxxp://minish.wiki[.]gd/upload.php : Nikidoor
ダウンロードアドレス
– hxxp://210.16.120[.]210/rdpclip.dat : Endoor ダウンロード推定
– hxxp://minish.wiki[.]gd/eng.db : Endoor – 追加確認
– hxxp://minish.wiki[.]gd/c.pdf : Nikidoor
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報