1. 概要
AhnLab Security intelligence Center(ASEC)では、2019年から流行していたボットネットによって、最近まで NiceRAT マルウェアがインストールされる状況を確認した。ボットネットとはマルウェアに感染し攻撃者により操作される集団であり、過去には攻撃者がボットネットを主に利用した DDoS 攻撃を実行し、Nitol のような DDoS 攻撃に使われるマルウェアを、ボットネットを構成する主要なマルウェアとして注目した。しかし最近では NanoCore や Emotet のように、データ流出、さらなるマルウェアのインストールのような機能を実行するマルウェアも、ボットネットの構築に多数利用されている。
2. ボットネットの構築方式
ボットネットとは上記で説明したように攻撃者により操作される集団であるため、広範囲に拡散するケースが多い。攻撃者はそのために韓国国内のファイル共有サイトやブログを通じて、Windows、Office のライセンス認証ツールやゲームのフリーサーバーを装ってマルウェアを配布しており、これらの配布方式は数年前から使用され続けてきた。[1]
[図1]はゲームのフリーサーバーに偽装して NanoCore マルウェアを生成するマルウェアの実行時に確認できる画面である。このマルウェアが実行されると %SystemRoot%\rip\lineage1\exploekr.exe パスに NanoCore マルウェアが生成され、実行された NanoCore マルウェアは IAMP Service、SMTP Service の名前でタスクスケジューラー登録を実行する。
上記で取り上げたように、ボットネットは Windows のライセンス認証ツールに偽装したマルウェアによって構築されることもある。AhnLab Security intelligence Center(ASEC)は個人のブログを通じて配布される NanoCore マルウェアを確認しており、ブログの掲載時点を基準として、最近まで接続とダウンロードが可能なことを確認できる。
3. ボットネットによる追加マルウェアのインストール
AhnLab Security intelligence Center(ASEC)は、過去のブログで Nitol マルウェアによって Amadey Bot マルウェアが配布された事例を紹介したことがある。[2] この事例において Nitol マルウェアが配布されて以来1 年を超えた時点でも Amadey Bot の配布に使われたことが確認できるが、今回紹介する NiceRAT マルウェアも長期間にわたり存在するボットネットによりインストールされたことを確認できる。
[図2]は NiceRAT をインストールする異なるハッシュのマルウェアを示す当社 ASD(AhnLab Smart Defense)インフラのログである。NiceRAT マルウェアをインストールするプロセスは主にボットネットを構成する NanoCore マルウェアであり、[図1]のように類似する C&C サーバーと通信することが確認できる。
| Name | C&C サーバー |
| svvss.exe | gandigod.ddns[.]net:3255 |
| system245.exe | gandigod.ddns[.]net:5407 |
| coremm.exe | gandigod1.ddns[.]net:3255 |
| ixpoer.exe | gandigod1.ddns[.]net:3255 |
一般的に追加でマルウェアをダウンロードする場合、配布の時点から長期間経過している場合は C&C サーバーが遮断されており、ダウンローダー機能を実行できないケースが多い。しかし、ボットネット型マルウェアの場合、長期間が経過しても定期的にさらなるマルウェアをインストールする事例を確認することができる。[図3]は NiceRAT マルウェアをインストールする NanoCore マルウェアである。このマルウェアは2019年から最近まで、NiceRAT マルウェアだけでなく Nitol マルウェアも活発にインストールしていることがわかる。
[図3] NiceRAT マルウェアをインストールする NanoCore
[図4] Nitol マルウェアをインストールする NanoCore
4. NiceRAT
NiceRAT はプログラミング言語 Python で作成されたオープンソースベースのプログラムである。
[図5] NiceRAT の Github アドレス
NiceRAT は持続性維持のためにアンチデバッグの検知、仮想マシンの検知、スタートアッププログラム登録のような機能を実行する。また、hxxps://api.ipify[.]org にアクセスして当該システムの IP 情報を収集し、位置情報の収集に活用する。
[図6] システム情報の収集
その後、システム情報、ブラウザ情報、暗号通貨情報を収集して攻撃者に収集された情報を流出し、Discord を C&C サーバーとして活用して通信を行う特徴がある。
- C&C サーバー: hxxps://discord[.]com/api/webhooks/1241518194691280966/tDcIZkMJSrBlrb0PjY98f6vjRIpIa489tkwC5M9GdJFAzOG4-yLh99uzd7gvAG5ZYa3G
[図7] 窃取対象の暗号通貨ウォレット
[図8] 収集、保存されたユーザー情報
[図9] 攻撃者サーバーに収集したファイルをアップロードするコード
5. 結論
韓国国内のユーザーを対象としたクラックに偽装したマルウェアの配布は、攻撃者のボットネット構築に利用されてきた。クラックプログラムはその特性上、最初の配布者ではなく一般ユーザーたちの情報共有を通じて拡散するケースも多く、一般的に配布過程でアンチウイルスプログラムを無効にする必要を説明するため、検知が難しいことが特徴である。その結果、攻撃者はかなり前に構築したボットネットを通じて、最近まで新たなマルウェアを容易にインストールする事例が増え続けている。
ユーザーは、データ共有サイト、ブログのようなルートでダウンロードしたクラックプログラムを実行する際は注意する必要がある。また、すでに感染しているシステムの場合、V3 製品をインストールして、主にボットネット型マルウェアが登録されているタスクスケジューラーに対して処置を行い、継続的なマルウェアへの感染を防がなければならない。
AhnLab V3 製品群では、本文で紹介したタイプの不正なファイルに対して以下のように検知している。
[ファイル検知]
– Backdoor/Win.NiceRAT.C5626512(2024.05.27.02)
– Backdoor/Win32.Nitol.R156318 (2015.07.05.04)
– Backdoor/Win.NiceRAT.C5625917(2024.05.26.03)
– Trojan/Win.Nanobot.C5210720(2022.07.19.00)
– Backdoor/Win.AsyncRAT.C5625919(2024.05.26.03)
– Trojan/Win.Generic.R628608 (2023.12.22.01)
– Trojan/Win.Generic.C4748805(2021.11.02.01)
– Trojan/Win.NanoCore.C5627471(2024.05.29.00)
– Dropper/Win.NANOCORE.C3020440(2024.05.26.03)
– Trojan/Win32.Agent.C3452224(2019.08.31.01)
– Backdoor/Win.NanoCore.C5625916(2024.05.26.03)
– Backdoor/Win.NanoCore.C5625920(2024.05.26.03)
– Trojan/Win32.Rbot.R171937(2016.01.11.07)
– Malware/Win32.Generic.C2999777(2019.02.07.04)
– Backdoor/Win.NanoCore.C5625923 (2024.05.26.03)
– Malware/Gen.Generic.C2901177(2018.12.23.01)
– Trojan/Win32.Generic.C2812697(2018.11.07.01)
– Trojan/Win32.Generic.C2812698(2018.11.07.01)
– Backdoor/Win.Nitol.C5625921(2024.05.26.03)
– Trojan/Win32.Agent.C2116237(2017.09.03.09)
– Dropper/Win32.Agent.C2457947(2018.04.10.06)
[IOC]
MD5
– 5b72efdb6a374d4c35ab8ac88e519c9c (NiceRAT)
– 16014adaf287779265e33c698287046a (Nitol)
– 1c51a104abd02ad2b0b850ab37d44bde (NiceRAT)
– 4b44c4b3ab34a7946987fe7a601de5d6 (AsyncRAT)
– 8cf502f9a053a7f65dc83651c21ea9de (NanoCore)
– 00287b8dfdc58c4b413a29042e32d86b (AsyncRAT)
– 06e5bcc514f78794ba83779ea4c30841 (NanoCore)
– 99df897a57e5d7dc8ecd11b73ee24726 (Dropper)
– ba34c7a913b0fa18e434d6a96d612a2c (NanoCore)
– 6fcdf8ef4c409addf1ebf785440f32ee (NanoCore)
– 691f894f028994a2553b2438ea011c34 (NanoCore)
– fb5b169d0844dd9b6228599f313cf983 (Nitol)
– 76e232928e26a1929efe0302cce1cc88 (Nitol)
– cfb73473df35a1fd6c3cd70d09ec8be3 (Nitol)
– 0ff5ecbe655b0b5781700195d2e8475e (NanoCore)
– df9ef2b14a8d4e5ddf8ac1e03909e0a4 (Dropper)
– 2800ebfde7f0a94f00494fc72a3f8149 (NanoCore)
– 28f08aa165f19b2efb9254f223512dee (Dropper)
– c5e49e44495d09a523173e9656a496fc (Nitol)
– d94d7d20f2c88aaf8f84f6e771878fa7 (Nitol)
– 061ea0f42ce0a6840c692f6ee36578af (NanoCore)
– a62bfe438f822cf369e434528325ed74 (Dropper)
– d387a15e4e0586d112b36ea75fe4d772 (NanoCore)
– 7b4fe1a72a25163098827e9def8f497e (Nitol)
– 58678eb1df7e8bf574e67573a2beddaa (NanoCore)
– fc1333bdce23896e343f0fe6e9a30db8 (Dropper)
– 20e2e1c6900aacb6ba529d148545c283 (NanoCore)
C&C
– hxxps://discord[.]com/api/webhooks/1242723656166146119/stYCi_haHIy8MpHXGkrMX0f_bp4-yAEIlnWaINtua0M_sgvcXVRXo77MzCFOIPUe8xT7
– gandigod.ddns[.]net:8080
– hxxps://discord[.]com/api/webhooks/1241518194691280966/tDcIZkMJSrBlrb0PjY98f6vjRIpIa489tkwC5M9GdJFAzOG4-yLh99uzd7gvAG5ZYa3G
– gandigod.ddns[.]net:3255
– gandigod.ddns[.]net:54984
– gandigod.ddns[.]net:5407
– gandigod1.ddns[.]net:2000
– gandigod.codns[.]com:2000
– gandigod.codns[.]com:5407
– gandigod.codns[.]com:7481
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: Uncategorized