RAT マルウェアをインストールする MySQL サーバーを対象とする攻撃事例

AhnLab SEcurity intelligence Center(ASEC)は、不適切に管理されているサービスを対象とする攻撃をモニタリングしており、MySQL サーバーが 近年までも攻撃対象になり続けていることを確認した。攻撃者は、外部に露出した不特定多数のシステムを攻撃するものと考えられ、これにより韓国国内でも多数のシステムがマルウェアに感染している。

攻撃に使用されるマルウェアは、Gh0stRAT の変種が大部分を占めているが、過去の ASEC ブログで公開したように AsyncRAT や[1] Ddostf DDoS Bot マルウェアをインストールした事例も確認されている。[2] 近年、には XWorm や HpLoader、そして正常な遠隔操作ツールである Zoho ManageEngine が悪用されている。遠隔操作ツールである Zoho Assist は、複数のランサムウェアの攻撃者が悪用した事例が存在するが、近年、には Zoho 社の ManageEngine が悪用されているという点が特徴である。

1. MySQL サーバーを対象とする攻撃

MySQL は代表的なデータベースサーバーであり、企業やユーザー環境で大量のデータを管理する機能を提供する。一般的に Windows 環境ではデータベースサービスのために主に MS-SQL をインストールし、Linux 環境では MySQL、PostgreSQL などのデータベースサービスが使用される。しかし、MySQL のような DBMS は Windows 環境にも対応しているため、MS-SQL サーバーほどではないが Windows 環境にインストールされた事例も一定数存在する。これにより、Windows 環境で動作している MySQL サーバーを対象とする攻撃も確認され続けている。

攻撃者は、MS-SQL サーバーを対象とする攻撃と同様にスキャンによって MySQL サーバーが使用する 3306/TCP ポートが公開されている攻撃対象を探し、総当たり攻撃や辞書攻撃を実行する。不適切にアカウント情報を管理しているシステムの場合、管理者アカウントの資格情報を確保することができ、さらには感染システムに対する操作権を奪い、追加のペイロードをインストールすることができる。

図1. MySQL サーバーのプロセスによるマルウェアインストールログ

2. UDF マルウェア

UDF(User Defined Function)は、ユーザーが希望する機能を DLL に実装したものであり、攻撃者は不正なコマンドが含まれた UDF ライブラリ、すなわち DLL を感染システムにアップロードした後、MySQL サーバーにロードさせる。その後、定義したコマンドを実行する方式で感染システムに不正なコマンドを伝達することができるが、これは MS-SQL サーバーの CLR SqlShell と類似している。

実際の攻撃対象システムの感染ログを見ると、感染システムにはマルウェアたちだけでなく、不正な UDF DLL が同時にインストールされていることが確認される。すなわち、攻撃者は不適切に管理されている MySQL サーバーを攻撃する過程で UDF マルウェアをツールとして使用している。

最も単純な形態の UDF マルウェアは、引数で伝達されたコマンドを実行する機能のみ存在するが、以下のように引数で伝達された URL からファイルをダウンロードし、実行する機能をサポートするケースも存在する。その他にも、UDF DLL 自体が Stager のように C&C サーバーから伝達されたペイロードをメモリ上で実行するタイプもある。このタイプは C&C サーバーに接続した後、「mylogin」を送信するが、現在基準の C&C サーバーとの接続が不可能なため、どのマルウェアが動作しているかはわからない。

図2. 様々な機能を担う UDF マルウェア

3. Gh0stRAT

MySQL サーバーを対象とする攻撃事例で確認されるマルウェアのうち、大半は UDF と Gh0stRAT の変種である。目を引く点は MS-SQL サーバーを対象とする攻撃で使用される Gh0stCringe や [3] HiddenGh0st [4] のようなタイプが MySQL サーバーを対象とする攻撃事例でもともに確認されるという点である。

近年、攻撃事例で使用された Gh0stRAT の変種は、内部で UACMe の特定コマンドを抽出して製作した権限昇格ツールを含んでいることが特徴であり、スクリーンをキャプチャーして次のパスに保存する。

– スクリーンショット保存パス : %ALLUSERSPROFILE%\quickScreenShot\[Date]\[Date+Time].jpg

図3. Gh0st RAT クラス名

4. XWorm

XWorm は、2022 年に初めて確認された RAT マルウェアであり、最初は Malware as a Service (MaaS) 形式で販売された。しかし、クラックされたバージョンが公開されて以降、様々な攻撃者によって使用されている。実際に ASEC ブログでも、Webhard でシングルゲームに偽装して配布した事例や、[5] 国税庁偽装および海外の有名配送業者の詐称等、スパムメールを通じて配布される多数の事例を公開したことがある。 [6] [7]

XWorm は RAT マルウェアであるため、ファイル、プロセス操作、コマンド実行のようなリモート操作機能に対応している。それ以外にも、資格情報の収集、DDoS 攻撃、USB を通じた伝播、仮想通貨のウォレットアドレスに対するクリップボードハイジャック等、様々な機能を提供することが特徴である。

図4. 攻撃に使用された XWorm の設定データ

5. HpLoader

別の攻撃では、UDF ライブラリがインストールされた後、Downloader がインストールされた。解析時点では接続が不可能であり、どのペイロードをダウンロードするのかは不明だが、同じタイプが過去に Gh0stRAT をダウンロードしていた状況が存在する。このタイプは、2023年5月に初めて確認されて以来、現在も使用されており、C&C サーバーと初回通信時に「hp_socket」文字列を送信することが特徴である。

図5. 攻撃に使用された HpLoader

6. Zoho ManageEngine

近年、攻撃者はセキュリティ製品による検知を回避するため、商用遠隔操作ツールを悪用しており、それによりバックドアマルウェアをインストールしなくても遠隔操作ソフトウェアを通じて感染システムを操作することができる。代表的なものに、Zoho 社の Zoho Assist があり、ランサムウェアや APT 攻撃者が感染システムを操作するための目的で悪用した事例が存在する。今回確認された攻撃事例は、Zoho Assist ではなく ManageEndpoint 製品が悪用されていることが特徴である。MySQL サーバーを通じてインストールされた Dropper は、内部に UEMS(Unified Endpoint Management System)Agent のインストールファイルとインストールスクリプトを含んでおり、それぞれ「C:\PerfLogs\Install.bat」、「C:\PerfLogs\Server_Agent.exe」にインストールする。その後、インストールスクリプトを利用して感染システムに Agent を Silent モードでインストールする。

Zoho クラウドを活用する Zoho Assist と違い、攻撃者は UEMS 製品を On-premise 方式でインストールされるものと見られる。実際の UEMS Agent インストール過程で確認される遠隔操作サーバーのアドレスは MySQL サーバーが Dropper をダウンロードするアドレス「hxxp://star.zcnet[.]net:7766/Server.exe」と同じドメインである。

図6. Zoho ManageEngine UEMS Agent のサーバーアドレス

すなわち、攻撃者は管理サーバーを構築したあと、Agent を感染システムに配布したが、インストールされた Agent は攻撃者のサーバーに接続され、その後、攻撃者によって操作が奪われる可能性がある。

7. 結論

Windows 環境にインストールされた MySQL サーバーを対象とする持続的な攻撃事例が確認され続けている。攻撃者は、感染システムの操作権を奪うために UDF マルウェアだけでなく、Gh0stRAT、XWorm、HpLoader、Zoho ManageEngine などの様々なマルウェアをインストールし、正常なソフトウェアを悪用している。

管理者は、必須の場合でない限り外部への MySQL ポートの公開を制限し、セキュリティ機器を活用してアクセス IP を制限する必要がある。そして、アカウント/パスワードポリシーを強化し、MySQL サーバーの権限を最小限にする。最後に、MySQL および OS を最新バージョンにパッチを適用し、既知の脆弱性攻撃から保護する必要がある。