AhnLab SEcurity intelligence Center(ASEC)は、最近、RMM(Remote Monitoring and Management)ツールである LogMeIn Resolve(GoTo Resolve)と PDQ Connect を悪用した攻撃事例を確認した。初期の配布過程は不明だが、正常なプログラムに偽装した Web サイトからダウンロードされ、インストールされた。その後、情報窃取機能を含むさらなるマルウェアを同時にインストールすることが特徴である。
1. 配布方式
LogMeIn の初期配布方式は不明だが、正常なプログラムに偽装して配布したものと推定される。攻撃に使用された LogMeIn は、以下のように無料ユーティリティなど様々な名前でインストールされた。
| Microsoft.exe chatgpt.exe OpenAI.exe notepad++.exe 7-zip.exe winrar.exe Videolan.exe divine.exe module_required.exe windows12_installer.exe |
ユーザーは、現在の基準では不明な経路で Web ページに接続した後、以下のようなダウンロードページで LogMeIn Resolve をインストールしたものと見られる。この Web サイトは、それぞれ Notepad++、7-zip などの無料ユーティリティのホームページのダウンロードページに偽装しているが、実際には攻撃者の LogMeIn Resolve がダウンロードされる。
図 1. 偽装したユーティリティのダウンロードページ
2. LogMeIn
LogMeIn は Resolve はリモートサポートおよびパッチ管理、モニタリングなどの機能をサポートする RMM ツールである。バックドアや RAT のようなマルウェアではなく、インストールされたシステムに対するリモート操作が可能で、正常な目的で組織が使用することもあるツールであるため、他の RMM ツールのように様々な攻撃者がこれを悪用している。これは、セキュリティ製品の検知を回避するための意図的な目的なのだが、ファイアウォールや AntiVirus のようなセキュリティ製品では、一般的なマルウェアとは異なり、このようなツールを単純に検知して遮断することに限界が存在するためである。
LogMeIn Resolve の場合、内部にある設定ファイルに管理者または攻撃者の情報が含まれている。一般的に「CompanyId」項目が当該 LogMeIn Resolve のインストーラーを作成した管理者または攻撃者に関する ID であり、これによってどのような攻撃者であるかを区分できるものと考えられる。 [1]
図2. LogMeIn Resolve の設定データ
現在、韓国国内で確認された LogMeIn Resolve を悪用した攻撃キャンペーンにおいて「CompanyId」はすべて3つが使用された。
- 攻撃者の CompanyId – 1 : 8347338797131280000
- 攻撃者の CompanyId – 2 : 1995653637248070000
- 攻撃者の CompanyId – 3 : 4586548334491120000
ユーザーが正常なユーティリティに偽装した LogMeIn をインストールすると、LogMeIn のインフラに登録され、攻撃者によって操作権を奪われる可能性がある。攻撃者は LogMeIn を悪用し PowerShell コマンドを実行して、バックドアマルウェアである PatoRAT をインストールした。
図3. LogMeIn Resolve を利用してマルウェアインストールログ
3. PDQ Connect
参考に、PatoRAT は LogMeIn Resolve だけでなく、PDQ Connect によってもインストールされることがあった。PDQ Connect も LogMeIn Resolve と同様に、ソフトウェアパッケージの配布、パッチ管理、インベントリ、リモートコントロールなどの機能を提供する RMM ツールである。攻撃者は LogMeIn Resolve と同様に PDQ Connect を悪用して PowerShell コマンドを実行し、これによって PatoRAT をインストールした。
図4. PDQ Connect を利用してマルウェアをインストールしたログ
4. PatoRAT
攻撃者が LogMeIn Resolve と PDQ Connect を悪用してインストールした最終的なマルウェアは PatoRAT である。PatoRAT は Delphi で開発され、遠隔操作、情報窃取などの機能をサポートするバックドアである。デバッグログのような内部文字列はポルトガル語で記述されているのが特徴である。ここでは ClientID を基に当該マルウェアを PatoRAT と分類する。
図5. バイナリに含まれているポルトガル語
設定データはリソースの RCDATA 領域に「APPCONFIG」という項目に 1 バイト XOR 暗号化されており、キーは 0xAA 値である。復号化すると clientTag、ミューテックス名、C&C サーバーアドレスリストおよびフラグ値が保存される。
図6. リソース領域に保存された設定データ
PatoRAT が実行されると以下のように C&C サーバーにシステムの基本情報を送信する。
| 項目 | 情報 |
|---|---|
| Packet identify id | 感染システム ID (CPU、環境変数、コンピュータ名、ボリュームシリアル番号等の情報の組み合わせ) |
| country | Locale 情報 |
| ComputerName | コンピュータ名 |
| user | ユーザー名 |
| os | OS 情報 |
| version | 1.6.1 |
| performance Memoria | メモリ使用量 |
| activeWindow | 活性ウィンドウ |
| Screens MonitorsResolutions | 解像度 |
| privileges | マルウェア実行権限 |
| clientTag | 「patolino」または「secondfloor」 |
| SDK | SDK インストールの有無 |
Table 1. 送信情報
以降 C&C サーバーのコマンドに応じて以下のようなコマンドをサポートすることができる。
| 分類 | コマンド |
|---|---|
| リモート操作 | マウス操作、ダウンロードおよび実行、PowerShell コマンド実行、クリップボード操作、アップデート、終了、再起動 |
| 画面操作 | HVNC、リモートデスクトップ |
| 情報収集 | キーロガー、スクリーンキャプチャ、Web ブラウザの資格情報情報の窃取 |
| その他 | localtonet インストール(ポートフォワーディング推定)、QR コードスキャニング、プラグインサポート等 |
Table 2. サポートコマンド
6. 結論
近年、 LogMeIn Resolve と PDQ Connect を通じてバックドアマルウェアをインストールする攻撃事例が発生している。LogMeIn Resolve は正常なユーティリティに偽装したページを通じてインストールされており、攻撃者は RMM ツールである LogMeIn Resolve を通じて PatoRAT バックドアマルウェアをインストールした。ユーザーはユーティリティをダウンロードする際、公式 HP を必ず確認しなければならず、ダウンロードされたファイルのバージョン情報や証明書をチェックして、意図したインストーラーが合っているかどうかを確認することができる。また、OS およびセキュリティ製品を最新バージョンにアップデートして、既知の脅威から保護しなければならない。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: Uncategorized