SoftEther VPN をインストールする韓国国内 ERP サーバーを対象とする攻撃事例の解析

AhnLab SEcurity intelligence Center(ASEC)は最近、韓国企業の ERP サーバーを攻撃して VPN サーバーをインストールする攻撃事例を確認した。攻撃者は、初期侵入過程で MS-SQL サービスを攻撃し、その後は Web シェルをインストールして持続性を維持し、感染システムをコントロールした。ここまでのプロセスが終了したあとは、感染システムを VPN サーバーとして活用するため、最終的に SoftEther VPN サービスをインストールしたことが特徴である。

1. Proxy および VPN サービス

Proxy および VPN は中継サーバーを介して通信を行う技術であり、ユーザーがインターネットによって外部と通信する際、これらを活用することでプライバシーやセキュリティの強化や、地理的制限の回避を行うことができる。これらの要素は攻撃者にとっても利点となり得るため、攻撃者は攻撃の過程で様々な Proxy、VPN ツールを使用することもある。APT グループやランサムウェアグループなど、攻撃対象の内部ネットワークまで掌握することを目標とする攻撃者の場合、FRP [1]、HTran [2] などの様々なツールを攻撃プロセスにおいて使用する。

もちろん、既知のツール以外にも自らマルウェアを製作する事例も存在する。例えば、SystemBC は Socks5 プロキシ機能に対応する Proxy Bot である。仮に攻撃者が SystemBC を組織の内部ネットワークにアクセス可能なシステムにインストールすることができた場合、それによって外部に位置する攻撃者が SystemBC を経由して内部ネットワークへのアクセスが可能となる。[3]

別の事例に Bunitu がある。Malwarebytes 社によれば、攻撃者は malvertising キャンペーンを通じて多くのシステムを感染させ、Proxy Bot である Bunitu をインストールし、その後 VPN 業者にこれを販売した。すなわち、VPN 業者は Bunitu がインストールされた感染システムを中継サーバーとして、VPN サービスをユーザーに提供することとなった。[4](外部サイト、英語にて提供)

攻撃事例の中には Proxy ツールやマルウェアを活用する事例も多いが、VPN サービスをインストールする事例も存在する。VPN ツールの一例として、オープンソースである SoftEther VPN がよく攻撃に使用される傾向がある。例として、Microsoft 社のレポートにおいて GALLIUM 攻撃者は、攻撃対象のネットワークに SoftEther VPN サーバーをインストールすることにより、これを経由して内部ネットワークにアクセスできるようにした。[5](外部サイト、英語にて提供) もちろん、このほかにも Kaspersky 社が公開した ToddyCat 攻撃者の攻撃事例や[6](外部サイト、英語にて提供) Mandiant 社が公開した UNC3500 の攻撃プロセスでも SoftEther VPN をインストールした事例が知られている。[7](外部サイト、英語にて提供)

2. 攻撃事例の解析

最近、韓国企業の ERP サーバーを対象とする攻撃事例が確認されており、初期には不適切に管理されている MS-SQL サーバーを攻撃して侵入したものと推定される。攻撃者は以下のようなコマンドを利用し、ネットワークを探索してさらなる攻撃が可能かどうかを判断した。

参考に、攻撃者がインストールを試みた「vmtoolsd1.exe」は正常なファイルと推定されるが、これは最近でも同じパス上に Microsoft の VisualStudio Code プログラムをダウンロードしたためである。すなわちこれは、最終的に攻撃を実行する前に追加ペイロードをダウンロードできるかどうかをテストするためのプロセスであると推定できる。

攻撃者は、テストが完了したあと以下のようなコマンドを利用して Web シェルをインストールするが、「bashupload.com」が使われていることが特徴である。ダウンロードに成功したあとはこれを削除するためファイルは確保できなかったが、その後 Web サーバープロセスによってコマンドが実行されたログが確認された点から、Web シェルのインストールに成功したものと見られる。

Web シェルをインストールしたあとは、これを利用してコマンドを実行した。確認されたコマンドのほとんどは、システムに存在する資格情報を窃取するためのものである。

ここまでのプロセスが完了すると、以下のような Batch ファイルをダウンロードして実行する。Batch ファイルはダウンローダーマルウェアであり、SoftEther VPN サーバーを「sqlwrite1.exe」という名前でインストールする機能を実行する。参考に、「hamcore.se2」はインストールプロセスに必要なデータファイルであり、「vpn_server.config」ファイルは設定ファイルである。

参考に、攻撃者は攻撃対象となった ERP サーバーを単に VPN サーバーとして利用することが目的ではなかったものと思われる。攻撃者が使用した設定ファイルは、単独で VPN サービスを提供するサーバーとしての役割ではなく、別の VPN サーバーに接続する「カスケード接続(Cascade Connection)」方式で動作する。すなわち、攻撃者はセキュリティやプライバシーを強化し、実際の C&C サーバーに対する追跡を妨害するための C&C インフラの構築のために利用するものと推定される。

3. 結論

最近、韓国国内の ERP サーバーを攻撃して VPN サーバーを構築する攻撃事例が確認された。初期侵入の方法は、不適切にアカウント情報を管理している MS-SQL サーバーを対象としたものと推定される。

管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護する必要がある。そして、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。これらの処置が先行されていない場合、攻撃者およびマルウェアによって感染状態が継続する場合がある。

ファイル検知
– Downloader/BAT.Agent.SC199990 (2024.06.08.00)
– Data/BIN.Config (2024.06.10.02)

振る舞い検知
– CredentialAccess/MDP.Mimikatz.M4367
– Execution/MDP.Powershell.M4624
– Execution/MDP.Certutil.M4771

IoC
MD5
– aac76af38bfd374e83aef1326a9ea8ad : Downloader Batch (tun02.bat)
– ef340716a83879736e486f331d84a7c6 : SoftEther Config (vpn_server.config)

C&C サーバー
– 45.76.53[.]110:443 : VPN サーバー

Download アドレス
– hxxp://45.77.44[.]127/vmtoolsd.exe
– hxxp://116.202.251[.]4/vmtoolsd.exe
– hxxp://167.99.75[.]170/vmtoolsd.exe
– hxxps://bashupload[.]com/-nsU2/1.txt
– hxxp://167.99.75[.]170/tun02.bat
– hxxp://167.99.75[.]170/dns003/hamcore.se2
– hxxp://167.99.75[.]170/dns003/sqlwritel.exe
– hxxp://167.99.75[.]170/tun02/vpn_server.config

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。