RDP Wrapper を活用した Kimsuky グループの持続的な脅威

AhnLab SEcurity intelligence Center(ASEC)は、過去に「PebbleDash と RDP Wrapper を悪用した Kimsuky グループの最新の攻撃事例の解析」 [1](韓国語にて提供)レポートを通じて PebbleDash バックドアと、自主製作した RDP Wrapper を活用する Kimsuky グループの攻撃事例を公開した。Kimsuky グループは最近も同じタイプの攻撃を持続的に遂行しており、ここでは追加で確認されたマルウェアを整理する。

1. 概要

攻撃者はスピアフィッシング攻撃により不正なコマンドが含まれたショートカット(*.LNK)ファイルを配布しており、ファイル名に名前や会社名が含まれていることから、具体的な攻撃対象の情報を把握しているものと思われる。

ショートカットマルウェアはドキュメントファイルに偽装するため、PDF や Excel、Word などの Office ドキュメントアイコンの形をしている。これを実行すると PowerShell または Mshta が実行され、外部から追加のペイロードをダウンロードして実行する。感染システムを操作するために最終的に実行されるマルウェアには、PebbleDash や RDP Wrapper がある。攻撃者は最近も PebbleDash や RDP Wrapper を製作して配布しているが、以前の攻撃事例と比較したとき、これといった違いは見られない。

図1. PebbleDash ドロッパーをインストールする PowerShell プロセス

参考に、RDP Wrapper はリモートデスクトップ機能をサポートするオープンソースユーティリティであり、Windows OS はすべてのバージョンでリモートデスクトップに対応しているわけではないため、このような環境では RDP Wrapper をインストールしてリモートデスクトップを有効にできる。攻撃者は自主製作した RDP Wrapper を使用しているが、ファイル検知を回避するための目的で Export 関数を以下のように多数生成しているものと推定される。

図2. 自主製作した RDP Wrapper の Export 関数

攻撃者は PebbleDash と RDP Wrapper によって感染システムを操作できるが、Proxy や KeyLogger、情報窃取型マルウェアなど、様々なマルウェアをさらに活用している。以下では、以前のレポート以降に追加で確認されたタイプを取り上げる。

2. Proxy

RDP サービスを有効にしてユーザーアカウントを追加したとしても、感染システムがプライベートネットワーク内に存在する場合、外部からの RDP 接続は不可能である。これを補完するため、攻撃者は感染システムと外部ネットワークを仲介する Proxy マルウェアをインストールし、外部から RDP でアクセスできる。

以前の攻撃では、大きく分けて3つのタイプの Proxy ツールが使用された。1つ目のタイプは、「MYLPROJECT」という名前の Mutex を生成することが特徴であり、Launcher とともに確認された。Launcher は、「C:\Programdata\USOShared2\version.ini」のようにハードコーディングされたパスに位置する設定ファイルを読み込み、これをもとに特定のパスに位置する Proxy ツールを実行した。2つ目のタイプの Proxy ツールは、「LPROXYMUTEX」という名前の Mutex を生成することが特徴であり、このほかは一般的な Proxy と同様である。最後に3つ目のタイプは Github に公開されており、Go 言語で開発された revsocks である。

最近確認された Proxy ツールは、以下のような Mutex を使用し、引数でアドレスを受け取り動作する。

図3. 過去のタイプと類似している Proxy ツール

3. KeyLogger

Kimsuky グループは、キーロガーを担当する PowerShell スクリプトを使用することもあるが、実行ファイル形式のキーロガーをインストールすることもある。以前の事例では、主に「%LOCALAPPDATA%\CursorCach.tmp」、「%LOCALAPPDATA%\CursorCache.db」パスにユーザーのキー入力を保存していたが、最近確認されたタイプは「C:\Programdata\joeLog.txt」、「C:\Programdata\jLog.txt」パスに保存することが特徴である。

図4. キーロガーファイル

4. Web ブラウザ情報窃取(forceCopy)

以前の事例では、Chromium ベースの Web ブラウザと Internet Explorer に保存されたユーザーの資格情報を窃取するインフォスティーラーマルウェアが使用され、最近も同じタイプのマルウェアが追加で確認された。

Kimsuky グループは、以前の事例で Web ブラウザに保存された資格情報を直接窃取する代わりに、「Local State」ファイルから Key 値のみを抽出するツールを使用することもあった。これは、セキュリティ製品を回避するための目的であると推定され、その後 Web ブラウザに保存された資格情報を窃取する過程で抽出した Key を利用した。

最近確認されたタイプは、「forceCopy」という名前でインストールされ、ファイルをコピーするのに使用するツールである。最初の引数でコピーするファイルのパス、2番目の引数で保存するファイルのパスを渡される。当該マルウェアの特徴は、ReadFile() のような API でファイルを直接読み込む代わりに NTFS Parser ライブラリを利用してファイルを読み込むという点である。

図5. マルウェアに含まれた NTFS Parser ライブラリ

マルウェアがインストールされたパスは、すべて Web ブラウザのインストールパスである。これは、攻撃者が特定の環境における制限を回避し、資格情報が保存されている Web ブラウザの設定ファイルを窃取するための目的であると推定され、以前の事例と同じくセキュリティ製品を回避するための目的である可能性もある。

5. Loader、Injector

過去の事例との違いを挙げるとすると、Injector および Loader マルウェアが確認されている点である。最終的にメモリ上で動作するマルウェアは確認されていないが、Loader は「%SystemDirectory%\wbemback.dat」パスのファイルをメモリ上でロードし、Injector はインジェクション対象プロセスなどの情報を引数で渡されて動作する。

このような実行ファイル形式のマルウェアのほかにも、PowerShell スクリプトのうち ReflectiveLoader も確認された。難読化されているが、これはオープンソース PowerShell スクリプトの「Invoke-ReflectivePEInjection.ps1」であり、他の PowerShell スクリプトマルウェアとともに「%ALLUSERSPROFILE%\USOShared\Prosd\」パスにインストールされている。

図6. ReflectiveLoader PowerShell スクリプト

6. 結論

Kimsuky グループは、2024年に攻撃方式に変化があったが、それは初期侵入過程でスピアフィッシング攻撃を利用した LNK マルウェアが頻繁に使用される点は同じでも、その後バックドアをインストールする方式ではなく、RDP Wrapper や Proxy のようなツールを活用して感染システムを遠隔操作する傾向が増加しているという点である。

Kimsuky 攻撃グループは、韓国国内のユーザーを対象に継続的にスピアフィッシング攻撃を行っている。主に電子メールの添付ファイルとしてドキュメントファイルに偽装したマルウェアを配布する方式であり、ユーザーがこれを実行した場合、現在使用中のシステムの操作権限が奪われる場合がある。ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧を控える必要がある。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払う必要がある。

ファイル検知
Backdoor/Win.PebbleDash.C5719351 (2025.01.20.02)
Trojan/Win.Rdpwrap.C5704469 (2024.12.10.02)
Trojan/Win.Rdpwrap.C5708551 (2024.12.21.00)
Trojan/Win.Rdpwrap.C5710893 (2024.12.27.00)
Trojan/Win.Rdpwrap.C5716647 (2025.01.12.03)
Trojan/Win.Rdpwrap.C5719870 (2025.01.21.03)
Trojan/Win.Rdpwrap.C5720371 (2025.01.23.00)
Trojan/Win.KeyLogger.C5687683 (2024.10.27.03)
Trojan/Win.KeyLogger.C5705213 (2024.12.12.01)
Trojan/Win.KeyLogger.C5705571 (2024.12.13.00)
Trojan/Win.Injecter.C5705214 (2024.12.12.01)
Trojan/Win.UACMe.C5705215 (2024.12.12.01)
Trojan/Win.Loader.C5716648 (2025.01.12.03)
Infostealer/Win.Browser.R641029 (2024.03.23.00)
Malware/Gen.Generic.C2950389 (2019.01.22.01)
Trojan/Win.Agent.C5687684 (2024.10.27.03)
Trojan/PowerShell.Loader (2025.01.31.02)
Trojan/PowerShell.Launcher (2025.01.31.02)
Trojan/PowerShell.KeyLogger (2025.01.31.02)

IOC 関連情報

MD5

04e5f813da28b5975d0b6445f687bc48

26d96d40e4c8aed03d80740e1d5a4559

2ea71ff410088bbe79f28e7588a6fb47

3211ef223177310021e174c928f96bab

5565b337bfba78970b73ae65b95f2c4f

追加 IoC は ATIP で提供しています。

IP

216[.]219[.]87[.]41

74[.]50[.]94[.]175