LummaC2 は情報窃取型マルウェアであり、SEO ポイズニング手法を使用した配布サイト、Youtube、LinkedIn などで Crack、Keygen、ゲームハックなどの違法プログラムに偽装して活発に配布されているマルウェアである。また、最近では Notion、Slack、Capcut などのホームページに偽装して検索エンジンの広告に表示させる方法で配布された履歴がある。
マルウェアの実行方式においても、変形が発生し続けている。現在は単独の EXE 形式ファイルでの配布や、DLL-SideLoading 手法を用いて不正な DLL とこれを実行する正常な EXE を同時に圧縮した形式で配布されている。
このように活発な変化を続けている LummaC2 の最近の変形において、ゲームプラットフォーム「Steam」を C2 ドメインの取得目的で悪用していることを確認した。従来はすべての C2 情報がマルウェアのサンプル内部に存在していたが、現在は正常なサイトを悪用して攻撃者が好きなタイミング、任意のドメインで C2 を変更できるようになっている。
このような方式は過去 Vidar マルウェアが使用していたものであり、Vidar は Steam を始めとして Tiktok、Mastodon、Telegram など、複数の正常なプラットフォームを悪用して C2 情報を取得する方式を使用した履歴がある。これらの内容に関する詳しい情報は、以下のブログで確認できる。
- 参考リンク:様々なプラットフォームを悪用する Vidar Stealer
ユーザー数が多い正常なドメインであるため警戒心を解かせることができ、所有する C2 が無力化した場合は別の C2 に容易に変更が可能になるため、攻撃の成功率を高めることができるものと思われる。
LummaC2 マルウェアは、実行すると内部の暗号化された文字列を復号化し、C2 ドメイン情報を取得する。Base64 と独自のアルゴリズムを使用して暗号化されており、1サンプルあたり8~10個程度の C2 ドメインを所有している。
サンプル自体が保持している C2 がすべて接続不可能な場合、Steam 接続ルーチンに移行する。Steam URL は C2 ドメインとは異なり実行コード形式で保存されており、復号化アルゴリズムにも違いがある。
| hxxps://steamcommunity.com/profiles/76561199724331900 |
Steam URL は、攻撃者が開設したものと推定される Steam アカウントのプロフィールページである。 該当ページに接続し「actual_persona_name」タグを解析して文字列を取得したあと、シーザー暗号方式で復号化して C2 ドメインを取得する。平文で構成された Vidar の Steam ページとは異なる部分である。
| cptyqzcnpotcpnezcjho.dsza → reinforcedirectorywd.shop |
同じ配布方式で発生したサンプルは、現在までに1つの Steam アカウントページを使用しており、そこから取得される C2 ドメインには変化がないが、攻撃者の意図に応じていつでも変更される場合がある。
上記のような振る舞いのあと、実際の C2 接続時には暗号化された設定 JSON ファイルをダウンロードして復号化する。当該の設定内容に従い不正な振る舞いを実行するが、現在の C2 の設定ではウォレットプログラム情報、ブラウザ保存情報、パスワード保存プログラム情報、ユーザーディレクトリの txt ファイル、メッセンジャープログラム情報、FTP プログラム情報、VPN プログラム情報、リモートプログラム情報、メモプログラム情報、メールプログラム情報、ブラウザ拡張プラグイン(仮想通貨ウォレット)情報を窃取し、C2 に転送する振る舞いを行う。
当該設定データをもとに抽出した窃取対象プログラムの一覧は以下の通りである。
▶窃取対象プログラム
[Application]
Wallets/Ethereum
Wallets/Exodus
Wallets/Ledger Live
Wallets/Atomic
Wallets/Coinomi
Wallets/Authy Desktop
Wallets/Bitcoin core
Wallets/Binance
Wallets/JAXX New Version
Wallets/Electrum
Wallets/Electrum-LTC
Wallets/ElectronCash
Wallets/Guarda
Wallets/DashCore
Wallets/Wasabi
Wallets/Daedalus
Chrome
Chrome Beta
Opera
Opera Neon
Opera GX Stable
Edge
Brave
EpicPrivacyBrowser
Vivaldi
Maxthon
Iridium
AVG Secure Browser
QQBrowser
360Browser
ZiNiao Browser
CentBrowser
Chedot
CocCoc
Mozilla Firefox
Waterfox
Pale Moon
Applications/KeePass
Applications/1Password
Applications/Bitwarden
Applications/NordPass
Important Files/Profile (ユーザーディレクトリ下位の seed、pass、ledger、trezor、metamask、bitcoin、words、wallet が含まれた TXT ファイル)
Important Files/Desktop (デスクトップ画面下位の TXT ファイル)
Applications/Telegram
Applications/Telegram
Applications/Telegram
Applications/FileZilla
Applications/TotalCommander
Applications/AnyClient
Applications/3D-FTP
Applications/SmartFTP
Applications/FTPGetter
Applications/FTPbox
Applications/FTPInfo
Applications/FTPRush
Applications/FTP Commander Deluxe
Applications/FTP Manager Lite
Applications/Auto FTP Manager
Applications/OpenVPN
Applications/NordVPN
Applications/ProtonVPN
Applications/AnyDesk
Applications/Azure
Applications/Azure
Applications/Azure
Notes (MicrosoftStickyNotes)
Notes/Notezilla
Mail Clients/TheBat
Mail Clients/Pegasus
Mail Clients/Mailbird
Mail Clients/EmClient
[Browser Extention]
MetaMask
1Password
Braavos
Argent X
Coinhub
Leap Wallet
Safepal
LastPass
Ronin Wallet
Evernote
MultiversX Wallet
ForniterWallet
Fluvi Wallet
Glass Wallet
Morphis Wallet
XVerse Wallet
Compas Wallet
Havah Wallet
Sui Wallet
Venom Wallet
MetaMask
Trust Wallet
TronLink
Ronin Wallet
OKX
Binance Chain Wallet
Yoroi
Nifty
Math
Coinbase
Guarda
EQUA
Jaxx Liberty
BitApp
iWlt
EnKrypt
Wombat
MEW CX
Guild
Saturn
NeoLine
Clover
Rabby
Pontem
Martian
Bitwarden
Nami
Petra
Sui
ExodusWeb3
Sub
PolkadotJS
Talisman
CryptoCom
Liquality
Terra Station
Keplr
Sollet
Auro
Polymesh
ICONex
Nabox
KHC
Temple
TezBox
DAppPlay
BitClip
Steem Keychain
Nash Extension
Hycon Lite Client
ZilPay
Coin98
Authenticator
Cyano
Byone
OneKey
Leaf
Solflare
Magic Eden
Backpack
Authy
EOS Authenticator
GAuth Authenticator
Trezor Password Manager
Phantom
UniSat
Rainbow
Bitget Wallet
MetaMask
このように、攻撃者は様々な方式で不正な振る舞いを試みているため、ユーザーの注意が必要である。正常なページにアクセスする振る舞いもまた、マルウェア感染の痕跡であることがある。信頼できないページからダウンロードしたファイルを実行する際は注意し、違法プログラムの使用は避ける必要がある。
[ファイル検知]
– Infostealer/Win.LummaC2.C5651462
– Infostealer/Win.LummaC2.C5649883
[IoC 情報]
– MD5
9a8cf58306ed35513e896e573c2a470f (RegisterIdr.dll)
f88602927fbdea9d9fa84f2415676a3c (exe)
– 関連データファイル
5aa70336af6cdb81bd09749c1b484f70 (workstudy.ics)
9434678b82702b4b2a639ccc5304a527 (paseo.ini)
– C2
hxxps://sicillyosopzv.shop/api
hxxps://unseaffarignsk.shop/api
hxxps://shepherdlyopzc.shop/api
hxxps://upknittsoappz.shop/api
hxxps://liernessfornicsa.shop/api
hxxps://outpointsozp.shop/api
hxxps://callosallsaospz.shop/api
hxxps://lariatedzugspd.shop/api
hxxps://indexterityszcoxp.shop/api
hxxps://steamcommunity.com/profiles/76561199724331900
hxxps://reinforcedirectorywd.shop/api
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報