AhnLab SEcurity intelligence Center(ASEC)では最近、韓国国内企業を対象に SmallTiger マルウェアを利用した攻撃事例を確認し、対応にあたっている。初期侵入プロセスは確認されていないが、攻撃者はラテラルムーブメントの過程で企業内部に SmallTiger を拡散させた。攻撃対象として韓国国内の防衛産業企業、自動車部品および半導体製造業などが確認された。
この攻撃は2023年11月に初めて確認され、攻撃対象となったシステムにおいて確認されたマルウェアから典型的な Kimsuky グループの仕業であると考えられるが、内部伝播の過程で企業内のソフトウェアアップデートプログラムを悪用したという点において、一般的な Kimsuky グループの攻撃方式とは違いがある。また、最終的にインストールされたバックドアマルウェアが、過去に Andariel の攻撃事例において確認された DurianBeacon であったという点も特徴である。
同攻撃者は2024年2月から攻撃を再開し、最終的に配布されるマルウェアも攻撃者が SmallTiger と名付けたダウンローダーに変更された。SmallTiger を利用した攻撃事例は2024年5月、最近でも続いている。
1. DurianBeacon の攻撃事例
2023年11月、MultiRDP マルウェアと Meterpreter を利用した攻撃事例が確認された。MultiRDP に分類したマルウェアは、現在実行中のリモートデスクトップサービスのメモリにパッチを当て、多数のユーザーが RDP で接続できるように設定するマルウェアである。攻撃者は、これによってユーザーが認知することなく感染システムに他のアカウントでログインすることができ、この手法は主に Kimsuky グループが活用している。Meterpreter は、ペネトレーションテスト目的のフレームワークである Metasploit が提供するバックドアマルウェアであり、Cobalt Strike と同様に、コマンドの実行、情報窃取、ラテラルムーブメントなど、企業のネットワークを掌握するための機能を提供する。
攻撃に使用されたマルウェアのうち、MultiRDP マルウェアは2022年4月、AppleSeed を利用した攻撃事例において初めて確認されたタイプである。このほかにも、以前から Kimsuky グループがよく使用していた Ngrok、Meterpreter マルウェアが同時に確認されたという点や、C&C サーバーの類似性からして、Kimsuky グループとの関連性が推定される。
図1. PowerShell コマンドでインストールされる MultiRDP マルウェア
当該システムからは、企業内のソフトウェアアップデートプログラムを通じてまた別のマルウェアがインストールされた事例も確認された。最終的にインストールされたマルウェアは、過去に Andariel グループの攻撃事例で確認された DurianBeacon RAT マルウェアであった。このように、過去の Andariel グループによる攻撃事例において確認されたマルウェアがインストールされた点や、マルウェア配布に使用する攻撃手法は、以前から Andariel グループが用いている方式と類似している。
内部伝播の過程で最初にインストールされたマルウェアはドロッパーであり、リソースに存在する3つのファイルを復号化して「mozillasvcone」という名前のサービスでインストールする。「mozillasvcone」サービスにより実行された「%SystemDirectory%\mozillasvcone.dll」は、「%SystemDirectory%\0OGPWm4uRZ0CAkHZ9o\c0FcEpj86LSNmZ5.dll」パスに生成された DLL をロードし、RyXmqIUMXViyw6Uvkf() 関数を呼び出す機能を担う。「c0FcEpj86LSNmZ5.dll」は、「%SystemDirectory%\OQAuagarc0wDTo\mNyKQBP3vV4uX」パスに生成された、暗号化されたデータファイルを読み込んで復号化し、メモリ上で実行する。
最終的にメモリ上で実行された DurianBeacon はバックドアマルウェアであり、過去に ASEC ブログ「Andariel グループの新たな攻撃活動の解析」[1]で取り上げた DurianBeacon のアップデートバージョンである。Go 言語で開発されている点や C&C サーバーとの通信過程で SSL プロトコルを使用するという特徴は同様である。
図2. 旧バージョンと最新バージョンの比較
また、旧バージョンと同様に最初の接続後、感染システムの IP 情報、ユーザー名、デスクトップ名、アーキテクチャ、ファイル名を転送したあとコマンドを待機し、コマンドが渡されると結果を返す。違いとして、自己削除および Socks Proxy 機能を担う 0x10、0x12 エントリのコマンドが追加された。
| コマンド | 機能 |
|---|---|
| 0x00 | Hibernate |
| 0x01 | Interval |
| 0x02 | PowerShell コマンドの実行 |
| 0x03 | ディレクトリの照会 |
| 0x04 | ドライブの情報 |
| 0x05, 0x06, 0x07, 0x08 | ファイルのアップロード |
| 0x09, 0x0A, 0x0B | ファイルのダウンロード |
| 0x0C | ディレクトリの生成 |
| 0x0D | ファイルの削除 |
| 0x0E | コマンドの実行 |
| 0x0F | 終了 |
| 0x10 | 自己削除 |
| 0x12 | Socks Proxy |
表1. DurianBeacon のコマンドリスト
攻撃者は初期侵入後、企業内部のインフラを掌握するために DurianBeacon を組織内部に拡散させ、これを利用して情報を窃取したものと推定される。
2. SmallTiger 攻撃事例 #1
2024年2月からは、別のソフトウェアを悪用する同じ攻撃者による攻撃事例が確認された。内部伝播の過程で最終的に DLL フォーマットのマルウェアがインストールされるが、このマルウェアはダウンローダーであり C&C サーバーに接続してペイロードをダウンロードし、メモリ上で実行する機能を担う。ここでは、攻撃者が製作時に設定した DLL 名から、当該ダウンローダーマルウェアを「SmallTiger」と分類する。
図3. 攻撃者が指定した DLL 名、SmallTiger
攻撃者は侵入プロセスにおいて、感染システムに Mimikatz と ProcDump もインストールしており、その後、感染システムの資格情報を窃取するために ProcDump ツールで LSASS プロセスのメモリをダンプしていた。
図4. 攻撃プロセスで確認された ProcDump のコマンド
この事例では、NirSoft の WebBrowserPassView と Web ブラウザ情報を窃取するマルウェアがともに確認されている。このマルウェアは、WebBrowserPassView と同様に Google Chrome、Firefox、Internet Explorer に保存されたアカウント情報と履歴情報を抽出して表示するコマンドラインツールである。
図5. 攻撃プロセスで確認された Web ブラウザのアカウント情報窃取マルウェア
3. SmallTiger 攻撃事例 #2
DurianBeacon を生成するドロッパータイプを使用していた2023年11月とは異なり、2024年4月には同じ「j******n.exe」という名前のダウンローダーが使用された。このマルウェアは mshta コマンドで C&C サーバーから不正な Javascript をダウンロードして実行する。ダウンロードされた Javascript は内部に含まれたペイロードを「C:/Users/Public/printsys.dll:mdata」パス、すなわち代替データストリーム(ADS、Alternate Data Stream)領域に生成し rundll32 で実行するが、これらのプロセスを経て最終的に SmallTiger が実行される。
図6. ADS 領域に SmallTiger をインストールする mshta コマンド
その後、2024年5月には従来使用していた C&C サーバーではなく、Github が SmallTiger の配布に使用された。最終的にインストールされる「pk.dll」が、過去の事例と同じく SmallTiger マルウェアである。
図7. Github から追加のペイロードをダウンロードするマルウェア
図8. マルウェアがアップロードされた攻撃者の Github アドレス
4. 結論
ASEC では、2023年11月から韓国国内の企業を対象とした SmallTiger マルウェアを配布する攻撃を確認した。最初に確認された事例で、攻撃者は過去に Andariel グループが使用した DurianBeacon を最終的なペイロードとして使用したが、ほかにも過去に Kimsuky グループが使用していたマルウェアが同時に確認されたという点が特徴である。2024年2月からは SmallTiger と名付けられた別のマルウェアを使用している。
ユーザーは、出どころが不明なメールの添付ファイルや Web ページからダウンロードした実行ファイルには特に注意しなければならず、企業のセキュリティ担当者はセキュリティプログラムのモニタリングを強化し、プログラムのセキュリティ脆弱性が見つかった場合はパッチを適用する必要がある。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Data/BIN.Encoded (2024.05.07.02)
– Downloader/HTA.Agent.SC199444 (2024.05.02.00)
– Downloader/Win.SmallTiger.R648273 (2024.05.15.01)
– Downloader/Win.Agent.R648272 (2024.05.15.01)
– Downloader/Win.SmallTiger.R648174 (2024.05.14.01)
– Downloader/Win.SmallTiger.R647319 (2024.05.07.01)
– Downloader/Win.SmallTiger.R646830 (2024.05.01.03)
– Malware/Win.Agent.R628198 (2023.12.18.02)
– Dropper/Win.Agent.R626614 (2023.12.05.00)
– Trojan/Win.Agent.R626616 (2023.12.05.00)
– Trojan/Win.Agent.R626617 (2023.12.05.00)
– Backdoor/Win.Iedoor.R625563 (2023.11.27.03)
– Trojan/Win.Generic.R577010 (2023.05.15.02)
– Trojan/Win32.RL_Mimikatz.R290617 (2019.09.09.01)
– Trojan/Win32.RL_AgentTesla.C4181110 (2020.08.16.06)
– HackTool/Win.PassViewer.C5353355 (2023.01.08.03)
– Downloader/Win.Agent.C5617482 (2024.05.01.03)
– Downloader/Win.SmallTiger.C5617497 (2024.05.02.00)
– Downloader/Win.SmallTiger.C5617498 (2024.05.02.00)
– Trojan/Win.AndarDowner.C5619183 (2024.05.07.01)
– Downloader/Win.SmallTiger.C5621202 (2024.05.13.00)
– Downloader/Win.Agent.C5621403 (2024.05.13.02)
– Downloader/Win.Agent.C5621517 (2024.05.14.01)
– Downloader/Win.SmallTiger.C5623714 (2024.05.21.01)
– Downloader/Win.SmallTiger.C5623717 (2024.05.21.01)
– Downloader/Win.SmallTiger.C5623718 (2024.05.21.01)
– Infostealer/Win.Agent.C5623997 (2024.05.21.03)
振る舞い検知
– DefenseEvasion/MDP.Event.M1423
– Execution/MDP.Powershell.M1185
– InitialAccess/MDP.Powershell.M1197
– Execution/MDP.Ngrok.M4615
IoC
MD5
DurianBeacon 事例 #1
– 48d53985cefb9029feb349bcd514c444 : MultiRDP マルウェア (m.dat) – Kimsuky
– d6a38ffdbac241d69674fb142a420740 : MultiRDP マルウェア (m.dat) – Kimsuky
– 232046aff635f1a5d81e415ef64649b7 : Meterpreter (setting.dat) – Kimsuky
– e582bd909800e87952eb1f206a279e47 : Meterpreter (sevice.db) – Kimsuky
– 2a60348bd0fb2b5fadeb2a691c921370 : DurianBeacon ドロッパー (j******n.exe)
– 5e7acd7bf25dd7ef69bd76cbf7e96819 : DurianBeacon Loader (mozillasvcone.dll)
– 49070c554161628b85157423611fb764 : DurianBeacon Loader (c0FcEpj86LSNmZ5.dll)
– 2ab94919a1201f5fb4d2173405f3cfac : DurianBeacon – Encoded (mNyKQBP3vV4uX)
SmallTiger 事例 #1
– 88f7dd7c62cd5d24c2b837e006c01919 : SmallTiger (B**Print.dll)
– 0be7d0975d3d81403d16ba4c4c9c7bf8 : SmallTiger (B**Print.dll)
– 188f289206c3a945d670f29400d9f77f : SmallTiger (B**Print.dll)
– 9e1203bbd0b90461022b66d9e9197cc9 : SmallTiger (bfsvrc.exe)
– f873e1ffac39818f4dd86b17843f9351 : SmallTiger (B**Print.dll)
– ffb29b1cd4e0ffa1f96df9514711fefc : SmallTiger (1715874253290.exe)
– 2a66a7ada05eb52f1776838b3dce5d06 : WebBrowser Stealer (splmgr32.exe)
– 57445041f7a1e57da92e858fc3efeabe : WebBrowserPassView
SmallTiger 事例 #2
– 751229f1aed80d2a5097010118d11152 : SmallTiger ドロッパー (nav.html)
– 7327039d79843587b76af435e7ac27cd : SmallTiger ダウンローダー (j******n.exe)
– ee1db63be5d5ee0938d98e6a3d8094db : SmallTiger ダウンローダー (j******n.exe)
– fc8eb59d39dc5a3ee7cf231c76f2e606 : SmallTiger ダウンローダー (j******n.exe)
– 9c184826f3204461ae0a08dbc825473b : SmallTiger ダウンローダー (j******n.exe)
– 461024c289d60c40093b82eed59afff9 : SmallTiger ダウンローダー (j******n.exe)
– 0859f9666e0428447451c036a38057f6 : SmallTiger ダウンローダー (j******n.exe)
– 9283c404ec0e6f6e13780722f17e8acb : SmallTiger (printsys.dll)
– 2766fcf5fa81a2877864a07ef306cde4 : SmallTiger (printk.dll)
– 5e287812438655b76132a904e340c023 : SmallTiger (kiss)
– 2b8fabd12a20fd4a6b5b426dca916f68 : SmallTiger (kiss)
– 1210ff921922f2e27db4feae9fe63394 : SmallTiger (kiss)
– afe4a8291fb1d6a050a657b1d6d0f650 : SmallTiger (top.png)
– 383e179513166b4869992072829f0ffb : SmallTiger (top.png)
– e930b05efe23891d19bc354a4209be3e : Mimiktaz (bmsrec.exe)
– c08e276205ed88e7fecf8c0914453702 : AMSI Bypass (am.dll)
C&C サーバー
DurianBeacon 事例 #1
– 104.168.145[.]83:993 : Meterpreter – Kimsuky
– 38.110.1[.]69:993 : Meterpreter – Kimsuky
– www[.]yah00.o-r[.]kr:53 : DurianBeacon
SmallTiger 事例 #1
– www[.]aslark.kro[.]kr:1433 : SmallTiger
– www[.]aslark1.kro[.]kr:1433 : SmallTiger
– www[.]lazor.kro[.]kr:443 : SmallTiger
– www[.]devf.n-e[.]kr:443 : SmallTiger
– www[.]lazor.kro[.]kr:53 : SmallTiger
– www[.]lfgu.n-e[.]kr:53 : SmallTiger
– www[.]lazor.kro[.]kr:3306 : SmallTiger
– www[.]luvb.n-b[.]kr:3306 : SmallTiger
SmallTiger 事例 #2
– www[.]navver.o-r[.]kr:53 : SmallTiger
– w3.navver.o-r[.]kr:53 : SmallTiger
– www[.]kepir.p-e[.]kr:53 : SmallTiger
– www[.]kepir.p-e[.]kr:1521 : SmallTiger
Download アドレス
DurianBeacon 事例 #1
– hxxp://my.shoping.kro[.]kr/setting.dat : Meterpreter – Kimsuky
– hxxp://my.shoping.kro[.]kr/m.dat : MultiRDP – Kimsuky
– hxxp://my.shoping.kro[.]kr/ng.db : Ngrok – Kimsuky
– hxxp://91.228.218[.]7/ : 偽装ダウンローダー
– hxxp://38.110.1[.]69/ : 偽装ダウンローダー
– hxxp://www.yah00.o-r[.]kr/ : 偽装ダウンローダー
SmallTiger 事例 #2
– hxxp://www.navver.o-r[.]kr/ : 偽装ダウンローダー
– hxxp://w3.navver.o-r[.]kr/ : 偽装ダウンローダー
– hxxp://www.kepir.p-e[.]kr/ : 偽装ダウンローダー
– hxxp://kevinblog.ddns[.]net/ : 偽装ダウンローダー
– hxxp://104.36.229[.]179/ : 偽装ダウンローダー
– hxxp://www.navver.o-r[.]kr/nav.html : ドロッパースクリプト
– hxxp://w3.navver.o-r[.]kr/bbs.html : ドロッパースクリプト
– hxxps://raw.githubusercontent[.]com/phantom5201314/google/main/nav.html : SmallTiger ドロッパー
– hxxps://raw.githubusercontent[.]com/phantom5201314/google/main/kiss : SmallTiger
– hxxps://raw.githubusercontent[.]com/phantom5201314/google/main/top.png : SmallTiger
– hxxp://104.36.229[.]179/am.dll : AMSI Bypass
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: Uncategorized