AhnLab SEcurity intelligence Center(ASEC)は、ViperSoftX の攻撃者が韓国国内のユーザーを対象に持続的にマルウェアを配布していることを確認した。ViperSoftX は、感染システムに常駐しながら攻撃者のコマンドを実行または、仮想通貨関連の情報を窃取する機能を担うマルウェアである。ASEC は、2024年5月に ViperSoftX の攻撃者の攻撃事例を分析して公開したが、この事例ではリモート操作型マルウェアである Quasar RAT と、ディープラーニング方式のオープンソース OCR エンジンである Tesseract を悪用する TesseractStealer の配布事例を扱った。[1]
ViperSoftX 공격자는 다양한 파워쉘 스크립트를 감염 시스템에 설치하며 이를 악용해 추가 페이로드를 다운로드한다. 공격자의 명령을 전달받아 다양한 악성 행위를 수행할 수 있으며 주로 원격 제어 목적으로 Quasar RAT을 설치하거나 암호 화폐 지갑 주소 탈취와 같은 기능을 담당하는 악성코드들을 유포한다. 최근에는 Quasar RAT 외에도 PureCrypter, PureHVNC와 같은 다운로더 및 원격 제어 악성코드들을 설치하는 것이 특징이다.
ViperSoftX の攻撃者は、様々な PowerShell スクリプトを感染システムにインストールし、これを悪用して追加のペイロードをダウンロードする。攻撃者のコマンドを受け取り、様々な不正な振る舞いを実行することができ、主にリモート操作の目的で Quasar RAT をインストールしたり、仮想通貨のウォレットアドレスの窃取のような機能を担うマルウェアの配布を行う。近年には Quasar RAT の他にも PureCrypter、PureHVNC のような Downloader およびリモート操作型マルウェアをインストールすることが特徴である。
図1. フローチャート
1. マルウェアの配布
2020年に Fortinet 社によって初めて公開された ViperSoftX は、主に正常なソフトウェアのクラックや Keygen に偽装して配布された。[2] これは、2022年に Avast 社と [3] 2023年に TrendMicro 社で [4] 公開したレポートでも同じである。その他にも、2024年に Trellix 社ではトレントを通じて eBook に偽装して配布された事例を公開した。[5]
正常なソフトウェアのクラックや Keygen のような違法コピープログラムに偽装してマルウェアを配布する方式は、様々な攻撃者によって使用されている。実際の攻撃事例でも、不正なメールの添付ファイルや、不適切に管理されているサービスを対象とする攻撃とともに、代表的な初期侵入方式の一つである。ViperSoftX は、韓国国内を対象とする攻撃者ではないが、違法コピープログラムに偽装した方式を使用しているため、多くの被害者が全世界に存在しており、それにより韓国国内でも多数の感染事例が確認されている。
2. 持続性の維持
ViperSoftX は、感染システムにタスクスケジューラを登録し、定期的に不正な PowerShell スクリプトを実行させる。登録される形式は、現在までに少なくとも二つの方式が確認された。1つ目は、不正なスクリプトが挿入したファイルを復号化して実行する形式である。タスクスケジューラに登録されたジョブには VBS コマンドが登録され、実質的に PowerShell コマンドが実行されるが、特定のパスに位置するファイルのオフセット 0x1F843C から 0x1A6 バイトを読み込んで Base64 で復号化して実行する機能を担う。このファイルはログファイルに偽装しているが、実際のオフセット 0x1F843C を見ると、以下のように Base64 で暗号化された PowerShell スクリプトを確認することができる。このように復号化されて実行される PowerShell コマンドは、Downloader である。
図2. Base64 で暗号化された PowerShell スクリプト
2つ目は、%SystemDirectory% パスに位置する PowerShell スクリプトを実行するジョブである。この PowerShell スクリプトは難読化されており、「HKLM\SOFTWARE\HPgs6ZtP670 / xr417LXh」のようにレジストリに登録されている値を読み込んで PowerShell コマンドで実行する機能を担い、レジストリに保存されている PowerShell コマンドもまた、Downloader である。
3. PowerShell Downloader
攻撃に使用されるマルウェアのほとんどは PowerShell スクリプトであり、Downloader 機能を担うケースが多い。特定のアドレスからマルウェアをダウンロードする単純なタイプだけでなく、感染システムの GUID を計算し、C&C サーバーと通信しながらダウンロードした PowerShell コマンドを実行するスクリプトも存在する。
図3. PowerShell Downloader
この他にも、DNS を悪用するタイプの Downloader は、TXT レコードを活用する。例えば、「wmail-blog[.]com」のように以下のような項目を組み合わせてドメインアドレスを取得した後、そのアドレスに対する TXT レコードを問い合わせる。
- $a : “wmail”, “fairu”, “bideo”, “privatproxy”, “ahoravideo”
- $b : “endpoint”, “blog”, “chat”, “cdn”, “schnellvpn”
- $c : “com”, “xyz”
図4. TXT レコード応答
C&C サーバーでは、応答として暗号化されたデータを送信する。ダウンローダーは C&C サーバーからダウンロードしたペイロードを Base64 で復号化し、再び DFC() 関数を利用して AES 復号化の後、最終成果物である PowerShell コマンドを実行する。分析時点基準で復号化された PowerShell スクリプトは、ViperSoftX PowerShell スクリプトをインストールするダウンローダーである。
4. ViperSoftX
ViperSoftX スクリプトは、C&C サーバーと通信しながら収集した情報を送信や、コマンドを受け取り結果を送信する PowerShell スクリプトである。C&C サーバーに送信するデータは HTTP ヘッダーの「X-User-Agent」と「X-get」または「X-notify」項目を通じて送信される。「X-User-Agent」にはシステムから収集した情報が含まれているが、解析時点基準のバージョンは「O_143」である。「X-get」項目は初回接続時に使用され、「X-notify」には送信するデータが含まれる。
| 順序 | データ |
|---|---|
| 1 | バージョン (“O_143”) |
| 2 | guid (新しく生成) |
| 3 | コンピュータ名 |
| 4 | ユーザー名 |
| 5 | Windows バージョン |
| 6 | アーキテクチャ |
| 7 | AntiVirus 情報 |
表1. X-User-Agent 項目
4.1. Clipboard 保護
1つ目の機能は、現在クリップボードを保護する機能であり、これは他の ClipBanker 系から保護するためのものと推定される。まず %TEMP% パスに「ClipboardProtect.ps1」ファイルを作成したあと、実行するが、作成されたスクリプトは現在実行中のプロセスをチェックする。もし、実行中のプログラムの中で「Windows」、「System32」、「Program Files」のようなパスに存在しない上、正常な証明書で署名されていない場合、リストに追加する。
その後、クリップボードをモニタリングしながらチェックするが、クリップボードの変更が発生した場合、現在アクティブなウィンドウのプロセスをチェックし、上記のリストに含まれるかどうかを確認する。システムパスに存在しない上、証明書で署名されていないプロセス、すなわち疑わしいプロセスでクリップボードの変更振る舞いが発生した場合、そのプロセスを強制終了する。
4.2. Windows モニタリング(仮想通貨ウォレットプログラム)
そして、現在の Windows タイトルをチェックしながら仮想通貨のウォレットと関連したプログラムの実行有無をチェックし、マッチする場合 C&C サーバーに送信する。
4.3. Clipboard モニタリング(BIP39 復旧テキストおよび仮想通貨のウォレットアドレス)
ViperSoftX はクリップボードをモニタリングし、仮想通貨のウォレット復旧に使用される復旧テキスト、すなわち BIP39 復旧テキストのコピー有無をチェックする。Github から復旧テキストをダウンロードした後、定期的にクリップボードをモニタリングし、その復旧テキストに含まれる場合は C&C サーバーに送信する。このほかにも、クリップボードに含まれた内容が仮想通貨のウォレットアドレスに対する正規表現にマッチする場合、同様に窃取する。
- 正規表現対象のウォレットアドレス:BTC、BCH、BNB、ETH、XMR、XRP、DOGE、DASH、ADA、XTZ、SOL、ATOM、KAVA、ZEC、ZIL、USDT
4.4. システム情報の送信(Web ブラウザ拡張、インストールされたプログラム)
Web ブラウザの拡張プログラムとインストールされたプログラムの一覧を取得し、C&C サーバーに送信する。
- 対象の Web ブラウザ:Chrome、Edge、Brave、Opera、Opera GX、Firefox、Vivaldi、Chrome Beta、Chrome Canary、Firefox Developer
4.5. コマンドの実行
ViperSoftX には情報窃取機能のほかにも、コマンドを実行する機能が存在する。PowerShell コマンドを実行するだけでなく、実行ファイルをダウンロードして実行する機能もサポートする。
図5. ViperSoftX がサポートするコマンド
| コマンド | 機能 |
|---|---|
| Cmd | PowerShell コマンドの実行 |
| DwnlExe | 実行ファイルのダウンロードおよび実行 |
| SelfRemove | 終了 |
| RestartClient | 終了 |
表2. ViperSoftX がサポートするコマンド
5. 追加ペイロード
5.1. Quasar RAT
Quasar RAT은 닷넷으로 개발된 오픈 소스 RAT 악성코드로서 원격 제어 기능들뿐만 아니라 키로깅, 계정 정보 수집 기능들을 제공하여 사용자 환경의 정보를 탈취할 수 있다. ViperSoftX는 과거부터 Quasar RAT을 자주 사용하고 있으며 현재 기준으로도 PureCrypter, PureHVNC와 함께 가장 많이 사용하는 악성코드이다.
Quasar RAT は .NET で開発されたオープンソース RAT マルウェアであり、リモートコントロール機能だけでなく、キーロガー、アカウント情報の収集機能を提供し、ユーザー環境の情報を窃取することができる。ViperSoftX は過去から Quasar RAT を頻繁に使用しており、現在時点でも PureCrypter、PureHVNC と共に最も多く使用されているマルウェアである。
5.2. PureCrypter、PureHVNC
近年、Quasar RAT だけでなく .NET で開発された商用パッカーである PureCrypter とリモート操作マルウェアである PureHVNC が共に配布されている。PureCrypter は追加のペイロードをダウンロードし、実行可能なローダーであり、インジェクション、解析妨害手法など様々な機能をサポートする。PureHVNC は同じ開発者が共に販売中であり、感染システムを操作するための様々な機能をサポートする。
図6. PureHVNC
5.3. ClipBanker
ClipBanker マルウェアは、クリップボードを定期的にモニタリングし、文字列がコピーされた場合、正規表現をもとに仮想通貨のウォレットアドレスであるかをチェックする。仮想通貨のウォレットアドレスがコピーされたものと判断される場合には、攻撃者の仮想通貨のウォレットアドレスに変更する。これは、一般的に仮想通貨のウォレットアドレスが一定のフォーマットを備えているが、長くランダムな文字列のために覚えにくいため、ユーザーがコピー&ペーストする方式を利用するためである。
6. 結論
ViperSoftX 攻撃者は数年前から仮想通貨ユーザーを攻撃しており、最近まで活発にマルウェアを配布している。攻撃者は、仮想通貨と関連した情報を窃取したり、取引に混線を引き起こすために様々なマルウェアを活用している。ViperSoftXに感染した場合、攻撃者によって操作権が奪われ、本文で言及された情報だけでなく、さらに多くのユーザー情報が窃取される可能性がある。
ユーザーは、公式ホームページ以外の疑わしい Web サイトや資料共有サイトからダウンロードしたソフトウェアをインストールする振る舞いに注意する必要がある。そして、OS およびインストールされたソフトウェアの最新セキュリティパッチを適用し、V3 製品を最新バージョンに維持して、既知の攻撃を遮断する必要がある。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。