アラビア語を基盤とする攻撃者による ViperSoftX マルウェアの配布状況

AhnLab SEcurity intelligence Center(ASEC)は、アラビア語を使用すると推定される攻撃者が2025年4月1日から、最近まで韓国国内を対象に多数の ViperSoftX マルウェアを配布している状況を確認した。ViperSoftX マルウェアは主に正常なソフトウェアのクラックプログラムやトレントで配布されるマルウェアである。ViperSoftX の主な特徴は PowerShell スクリプトで動作し、C&C サーバー通信プロセスで URI パスに「/api/」、「/api/v1」、「/api/v2」、「/api/v3/」のようなパラメータ情報を含み、C&C 後に追加のマルウェアをダウンロードするというものである。特に今回のマルウェア配布事例では、ViperSoftX の初回配布方式は確認されていないが、C&C 通信に使用された PowerShell および VBS コードにアラビア語のコメントが含まれているため、攻撃者がアラビア語を使用しているものと推定される。

自社 ASD(AhnLab Smart Defense) インフラによると、ViperSoftX でさらにダウンロードされたマルウェアには、VBS ダウンローダー、不正な PowerShell スクリプト、PureCrypter、Quasar RAT が確認された。

1. VBS ダウンローダー(ファイル名：vbs.vbs)

ViperSoftX は、攻撃者の C&C サーバーから PowerShell スクリプトおよびそのスクリプトを実行する VBS ファイルをダウンロードした後、VBS ファイルを実行する。

[表1] VBS ダウンローダー機能

[アラビア語の注釈情報]

• ‘ تحميل a.ps1 → a.ps1 ダウンロード
• ‘ تحميل run.vbs → run.vbs ダウンロード
• ‘ تشغيل run.vbs إذا كان موجود → run.vbs が存在すると実行

[図1] VBS ダウンローダー

2. run.vbs

この VBS ファイルは、以下のコマンドによって a.ps1 を実行する：

• powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File a.ps1

[図2] VBS Runner (run.vbs)

3. PowerShell ダウンローダー(ファイル名：a.ps1)

この PowerShell スクリプトは PureCrypter および Quasar RAT をダウンロードして実行し、検知を回避するため、 Windows Defender に例外パスを追加する。また、管理者権限で実行されるように設計されており、その後実行されるマルウェアも管理者権限を取得する。結果的に、このスクリプトの機能は管理者権限を確保およびセキュリティソフトウェアを回避してリモートでダウンロードしたマルウェアを実行する役割を遂行する。

[表2] PowerShell Downloader ダウンローダー機能

[アラビア語の注釈情報]

• تأكد من تشغيل السكربت كـ Administrator، لو مش كده يعيد تشغيل نفسه كأدمن → スクリプトを管理者権限で実行しているかどうかを確認。管理者権限ではない場合は、管理者権限で再実行。
• إعدادات عامة → 一般設定
• تأخير بسيط → 一時待機
• إضافة استثناءات لـ Windows Defender مباشرة → Windows Defender に例外パスを追加
• تأخير تاني → 再度待機
• تحميل وتشغيل الملف بصمت → 密かにファイルをダウンロードして実行
• حذف الملف القديم لو موجود → 既存のファイルがある場合は削除
• طريقة التحميل الأولى → 一番目のダウンロード方式

[図3] PowerShell スクリプトコード

[PowerShell によってダウンロードされたマルウェア情報]

1. PureCrypter

PureCrypter [1] は、2021年から販売されている商用 .NET Packer マルウェアであり、様々な初期感染ベクター(ダウンローダー、VBA マクロ、Loader)、インジェクション方式、対象設定、そして検知回避(Anti)手法等に対応する。今回の攻撃では PureCrypter がダウンローダーとして使用された。PureCrypter の主な特徴として、ネットワーク通信のために protobuf ライブラリを使用することである。これにより攻撃者は C&C サーバーと通信する際、コマンドや状況情報などをあらかじめ定義されたメッセージ構造でシリアライズして送信することができる。

[図4] PureCrypter の ProtoBuf ネームスペース

[図5] PureCrypter の C&C サーバー通信過程での CallStak(ProtoBuf クラス使用)

[発見されたファイルパス]

• %ALLUSERSPROFILE%\nvidia.exe
• %ALLUSERSPROFILE%\teamviewer.exe
• %ALLUSERSPROFILE%\temp.exe
• %ALLUSERSPROFILE%\words.exe

[C&C サーバーアドレス]

• 89.117.79[.]31:56005
• 89.117.79[.]31:56004
• 89.117.79[.]31:56003
• 65.109.29[.]234:7702

2. Quasar RAT

Quasar RAT は、.NET ベースのオープンソースリモートコントロールツール(RAT)であり、キーロガー、リモートコマンド実行、ファイルアップロード/ダウンロードなどの機能を提供する。攻撃者は、この RAT を活用し、感染システムをリモートで操作しようとしたものと推定される。

[図6] 確認された Quasar RAT のネームスペース(xClient 閼関)

[発見されたファイルパス]

• %ALLUSERSPROFILE%\winrar.exe
• %ALLUSERSPROFILE%\micro.exe

[C&C サーバーアドレス]

• 65.109.29.234

今回の分析を通じて AhnLab SEcurity Intelligence Center(ASEC)は、アラビア語を使用する攻撃者が 2025年4月1日から最近まで、韓国国内の不特定多数を対象に ViperSoftX マルウェアを配布していることを確認した。これまでに確認された ViperSoftX によってインストールされたマルウェアは PureCrypter、Quasar RAT であったが、他のマルウェアも同時にインストールされる可能性が存在する。そこで ASEC は、関連タイプのマルウェアに対してモニタリングおよび対応を続けている。ユーザーは、このようなマルウェアの感染を予防するために、不法なクラックプログラムやトレントサイトからソフトウェアをダウンロードせず、必ず公式配布先や正規品ソフトウェアを使用する必要がある。そして、アンチウイルスセキュリティ製品の最新パッチを維持しなければならない。