Notion インストーラに偽装して配布されている SectopRAT(ArechClient2)

Notion はプロジェクトの管理および記録機能を提供するコラボレーションツールであり、世界的に多くのユーザーがいる。このように有名なプログラムは、多くの攻撃者の悪用の対象になることもあるが、正常なプログラムに偽装した Web ページを製作し、代わりにマルウェアをアップロードする方式を使用できるためである。

そのため、ユーザーが Google のような検索エンジンでこれをダウンロードする時、実際にはマルウェアをダウンロードすることがある。実際、過去に AhnLab SEcurity intelligence Center(ASEC)でも「Notion インストーラに偽装した MSIX マルウェアの拡散」ブログにて Notion に偽装して LummaC2 をインストールする事例を公開したことがある。

1.Notion インストーラに偽装

ASEC では最近、Notion に偽装した別の攻撃事例を確認しており、今回確認された事例では LummaC2 の他にも SectopRAT マルウェアが配布されることもあった。現在ダウンロードページには接続できないが、マルウェアは「hxxps://notlon[.]be/Notion 4.3.4.exe」のアドレスからダウンロードされた。一見すると、アドレスに「notion」文字列が含まれているように見えるが、攻撃者は「I」ではなく「l」を使用して、ユーザーが正常な notion のホームページであると認知するように偽装した。

マルウェアは内部に Notion だけでなく、ダウンローダー機能を担当する DLL を含んでいる。インストーラが実行されると、他のファイルと一緒に不正な DLL がインストールされたあと、インストーラにロードされて動作するが、C&C サーバーに接続して追加ペイロードをダウンロードする機能を担当する。

図1.ダウンローダー機能を担当する DLL

これを利用してインストールされるマルウェアのほとんどは「decrypted.exe」という名前でインストールされ、初期にはインフォスティーラーマルウェアである LummaC2 が大半を占めていた。しかし、最近では LummaC2 の代わりに SectopRAT がインストールされた事例が確認された。

図2.プロセスツリー

2.SectopRAT

SectopRAT は ArechClient2 とも呼ばれ、C&C サーバーからコマンドを受け取り不正な振る舞いを実行できる RAT マルウェアだが、感染システムの情報を窃取する機能が一緒に含まれている。

図3.SectopRAT の設定データ

SectopRAT の特徴の1つは、RedLine と類似したルーチンが確認されるという点である。RedLine はインフォスティーラーマルウェアであり、感染システムでユーザーの Web ブラウザ、FTP、VPN、Telegram、Discord、スクリーンキャプチャ、ユーザーファイル等、多数の情報を窃取する。他にも、C&C サーバーから受け取ったコマンドを実行する機能も含まれている。すなわち、SectopRAT と RedLine は、遠隔操作や情報窃取等、実質的に類似するマルウェアであり、作成過程でも同じコードが使用されている。

図4.RedLine と類似したルーチン

SectopRAT も Web ブラウザに保存されたパスワードや Cookie、AutoFill データを窃取するが、仮想通貨のウォレットファイルもまたその対象である。そして、C&C サーバーと通信して受け取ったコマンドを実行することができる。

図5.C&C サーバーとの通信

3.結論

最近、Notion のような有名なソフトウェアに偽装してマルウェアを配布する事例が増加している。攻撃者は情報窃取および遠隔操作機能を含んだマルウェアをインストールして、感染システムからユーザーの情報を窃取し、操作権限を奪うことができる。ユーザーが検索エンジンを使用してダウンロードする場合は、その Web ページが実際の公式ホームページであるかを確認する必要がある。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。