AhnLab SEcurity intelligence Center(ASEC)は最近、特定されていない攻撃者が韓国国内の ERP ソリューションを悪用し、攻撃を遂行している状況を確認した。攻撃者は、システムに侵入したあと企業内のシステムを掌握するために韓国国内の特定の ERP ソリューションのアップデートサーバーを攻撃したものと推定される。また、別の攻撃事例では脆弱な Web サーバーを攻撃してマルウェアを配布していた。攻撃対象となったのは、韓国国内の防衛産業企業、製造業などが確認されている。
確認されたマルウェアの中には、既存の ERP ソリューションのアップデートプログラムに不正なルーチンが挿入された形式が存在するが、このような手法は2017年に Andariel グループが HotCroissan バックドアをインストールするために使用していた事例と類似している。製作者はマルウェアを開発する過程で Xct という文字列を使用しており、ここでは最終的に使用されたバックドアを Xctdoor として分類する。
1. 過去の Andariel の攻撃事例
Rifdoor は Lazarus グループのサブグループとして知られている Andariel が使用するバックドアであり、2015年11月に初めて発見され、2016年初頭まで活動が確認された。[1](韓国語にて提供) その後2017年以降は Rifdoor の変種が攻撃に使用されたが、これは2020年、アメリカの CISA と[2](外部サイト、英語にて提供) VMware 社の Carbon Black が公開した[3](外部サイト、英語にて提供) Lazarus グループの HotCroissant と同じである。Carbon Black は Rifdoor と HotCroissant との類似性と相違点を詳しくまとめており、ここでは Rifdoor の変種を HotCroissant として分類する。
HotCroissant を利用した攻撃事例の中には、2017年に韓国の ERP ソリューションを悪用してマルウェアを配布した事例が存在する。攻撃者はアップデートプログラム「ClientUpdater.exe」に、不正なルーチンを挿入した。これは、攻撃者が特定の組織に侵入したあと ERP のアップデートサーバーを攻撃し、内部拡散を目的として悪用したものと推定される。
アップデートプログラムに挿入されたルーチンは、以下のように外部から追加のペイロードをダウンロードして実行する機能を担う。当該アドレスからダウンロードされたマルウェアは、2017年度から攻撃に使われていた HotCroissant バックドアであった。
図1. ERP アップデートプログラムに挿入されたダウンローダーのルーチン
2. 最新の攻撃事例 – ERP
2024年5月にも類似する攻撃事例が確認された。過去の「ClientUpdater.exe」にダウンローダーのルーチンが挿入されたものとは異なり、今回は単純に Regsvr32.exe プロセスを利用して特定パスの DLL を実行するルーチンが挿入されていた。
図2. ERP アップデートプログラムに挿入された実行ルーチン
初期のインストールプロセスは未確認だが、確認された DLL がシステム内の情報を窃取して攻撃者のコマンドを実行できるマルウェアであることから、過去と同様、特定の ERP のアップデートサーバーが攻撃を受けたものと思われる。
最終的にインストールされた DLL マルウェアは、攻撃者が開発の過程で使用した「XctMain」のようなキーワードに基づき、ここでは Xctdoor として分類する。Xctdoor は Regsvr32.exe プロセスを通じて実行できるよう DLL フォーマットであり、Go 言語で開発された。
Regsvr32.exe プロセスにより実行されると、自身を「taskhost.exe」、「taskhostex.exe」、「taskhostw.exe」、「explorer.exe」のようなプロセスにインジェクションする。その後、自身を「%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge.Current_8wekyb3d8bbwe\Settings\roaming.dat」パスにコピーして、再起動後も動作するようスタートアッププログラムフォルダーにショートカットファイルを生成する。ショートカットファイルである「MicrosoftEdge.lnk」は「roaming.dat」を直接実行する形式ではなく、Regsvr32.exe を利用して同じパス上の「settings.lock」ファイルを実行する。
「settings.lock」はインジェクターマルウェアであり、攻撃者が製作した際に使用した名前に従い、XcLoader として分類する。XcLoader は、単純に同じパス上の「roaming.dat」ファイルをエクスプローラー、すなわち explorer.exe にインジェクションする機能を担当する。
図3. XcLoder のインジェクションルーチン
参考に、Go 言語で開発された XcLoader は今回の攻撃で初めて確認され、最初は C 言語で開発された XcLoader が攻撃に使われた。今回の攻撃でも、Go 言語で開発された XcLoader に加えて C 言語で開発された XcLoader が同時に確認されている。当該タイプについては、次の項目で整理する。
最終的に実行される Xctdoor は C&C サーバーにユーザー名、コンピュータ名、マルウェアの PID などの基本情報を転送したあと、コマンドを受け取って実行できるバックドアマルウェアである。もちろん、これ以外にもスクリーンショットキャプチャ、キーロガー、クリップボードロガー、ドライブ情報を転送する情報窃取機能も備えている。
図4. Xctdoor がサポートする機能
Xctdoor は HTTP プロトコルを利用して C&C サーバーと通信するが、パケットの暗号化にはメルセンヌ・ツイスタ(mt19937)アルゴリズムと Base64 アルゴリズムが使われている。
図5. Xctdoor の C&C 通信パケット
3. 最新の攻撃事例 – Web サーバー
2024年3月には Web サーバーを攻撃して XcLoader をインストールする事例が確認された。攻撃対象が2013年に開発されたバージョン8.5の Windows IIS Web サーバーであることから、不適切な設定や脆弱性攻撃を通じてマルウェアを配布したものと推定される。
図6. Web サーバーを攻撃して XcLoader をインストールするログ
IIS サーバーで実行されたコマンドから、マルウェアのインストールと関連する振る舞い以外にも、システムの情報を照会するなどの振る舞いが確認できる。これは、一般的に Web サーバーに Web シェルをインストールし、これを利用してコマンドを実行する事例と類似しており、当該システムにも Web シェルがインストールされているものと推定できる。
| > ipconfig /all > ping 8.8.8.8 -n 2 > systeminfo > reg query “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\” > powershell -Command “Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table -AutoSize” |
攻撃に使われた XcLoader は Go 言語で開発されたタイプと同様に、同じパス上に位置する「roaming.dat」ファイルを読み込んで復号化したあと、プロセスにインジェクションする機能を担う。相違点を挙げると、2024年5月の事例では「roaming.dat」ファイルが PE 形式だが、当該事例では暗号化されたファイルである点だ。XcLoader は主にエクスプローラープロセスをインジェクション対象とするが、「sihost.exe」プロセスを選択するケースも存在する。
この攻撃に使用された XcLoader の特徴といえば、以下のように特定パスにログを書き込む点である。このパスは Web サーバーと関連する具体的なパスと思われる。すなわち、すでに攻撃者により Web サーバーが掌握されていることを意味する。
図7. マルウェアが振る舞いをログに記録するパス
参考に、攻撃が発生したシステムのうち一つからは、以降 Ngrok のログも確認された。Ngrok はトンネリングプログラムであり、外部から NAT 環境内部に存在するシステムに接続できるように公開するツールである。一般的に、攻撃者が感染システムに RDP で接続し遠隔操作を行うためにインストールするケースが多く、Kimsuky グループの攻撃事例で頻繁に確認されている。
| update tcp 3389 –authtoken 2gX7z8V0maCIrjdsYA1jaDF9wSz_4RyHTgn7eAnYhSBxjis9J |
4. 結論
ASEC では、高度化した知能的持続脅威(Advanced Persistent Threat:APT)をモニタリングしており、最近韓国国内の ERP ソリューションを悪用した攻撃事例を確認した。攻撃者は、過去に Andariel グループが使用したものと類似した方法で組織内部にマルウェアを拡散させるため、ERP ソリューションを悪用した。
最近の攻撃は2024年5月、防衛産業企業を対象とした事例が確認されたが、同様の攻撃は過去から行われていた。2024年3月には韓国国内メーカーの Web サーバーを攻撃して XcLoader をインストールする事例が確認された。XcLoader は Xcdoor を正常なプロセスにインジェクションする機能を担う、インジェクターマルウェアである。Xcdoor はスクリーンキャプチャ、キーロガー、クリップボードロガー、ドライブ情報などの感染システム内の情報を窃取し、攻撃者のコマンドを実行できるバックドア型のマルウェアである。攻撃者は、このマルウェアを通じて感染システムの操作権限を奪い、情報を窃取することができるものと思われる。
ユーザーは、出どころが不明なメールの添付ファイルや Web ページからダウンロードした実行ファイルには特に注意する必要があり、企業のセキュリティ担当者は資産管理プログラムのモニタリングを強化し、プログラムのセキュリティ脆弱性が見つかった場合はパッチを適用する必要がある。また、OS およびインターネットブラウザ等のプログラムの最新パッチや V3 を最新バージョンにアップデートし、このようなマルウェアの感染を事前に遮断できるよう注意を払わなければならない。
ファイル検知
– Trojan/Win.XcLoader.C5642132 (2024.06.19.00)
– Trojan/Win.XcLoader.C5641779 (2024.06.17.02)
– Trojan/Win.XcLoader.C5641780 (2024.06.17.02)
– Backdoor/Win.Xctdoor.C5626572 (2024.05.27.03)
– Trojan/Win.Launcher.C5626571 (2024.05.29.00)
– Trojan/Win.Injector.R642750 (2024.04.03.01)
– Backdoor/Win.Xctdoor.C5622753 (2024.05.18.00)
– Trojan/Win.Injector.C5622750 (2024.05.17.02)
– Trojan/Win.Agent.C5622754 (2024.05.29.00)
– Trojan/Win.Injector.C5607331 (2024.04.03.01)
– Trojan/Win32.Rifdoor.R214775 (2017.12.06.00)
– Trojan/Win32.Andaridown.R216669 (2017.12.27.09)
振る舞い検知
– Execution/MDP.Ngrok.M4615
IoC
MD5
– 235e02eba12286e74e886b6c99e46fb7 : 改ざんされた ERP アップデートプログラム – 過去事例 (ClientUpdater.exe)
– 396bee51c7485c3a0d3b044a9ceb6487 : HotCroissant – 過去事例 (***Kor.exe)
– ab8675b4943bc25a51da66565cfc8ac8 : 改ざんされた ERP アップデートプログラム – 最新事例 (ClientUpdater.exe)
– f24627f46ec64cae7a6fa9ee312c43d7 : 改ざんされた ERP アップデートプログラム – 最新事例 (ClientUpdater.exe)
– 6928fab25ac1255fbd8d6c1046653919 : XcLoader (XcExecutor.exe)
– 9a580aaaa3e79b6f19a2c70e89b016e3 : XcLoader (icsvcext.dll)
– a42ae44761ce3294ce0775fe384d97b6 : XcLoader (icsvcext.dll)
– d852c3d06ef63ea6c6a21b0d1cdf14d4 : XcLoader (icsvcext.dll)
– 2e325935b2d1d0a82e63ff2876482956 : XcLoader (settings.lock)
– 4f5e5a392b8a3e0cb32320ed1e8d0604 : XcLoader (test.exe)
– 54d5be3a4eb0e31c0ba7cb88f0a8e720 : XcLoader (test.exe)
– b43a7dcfe53a981831ae763a9a5450fd : XcLoader (test.exe)
– e554b1be8bab11e979c75e2c2453bc6a : XcLoader (test.exe)
– 41d5d25de0ca0fdc54c24c484f9f8f55 : XcLoader (settings.lock)
– b96b98dede8a64373b539f94042bdb41 : XcLoader (settings.lock)
– 375f1cc32b6493662a78720c7d905bc3 : XcLoader (settings.lock)
– d938201644aac3421df7a3128aa88a53 : XcLoader (onedrive.dll)
– d787a33d76552019becfef0a4af78a11 : XcLoader (onedrive.dll)
– 09a5069c9cc87af39bbb6356af2c1a36 : XcLoader (onedrive.dll)
– ad96a8f22faab8b9c361cfccc381cd28 : Xctdoor (******.***.Common.RegEx.dll)
– 9bbde4484821335d98b41b44f93276e8 : Xctdoor (******.***.Common.RegEx.dll)
– 11465d02b0d7231730f3c4202b0400b8 : Xctdoor (******.***.Common.RegEx.dll)
C&C サーバーアドレス
– 195.50.242[.]110:8080 : HotCroissant
– hxxp://beebeep[.]info/index.php : Xctdoor
ダウンロードアドレス
– hxxp://www.jikji.pe[.]kr/xe/files/attach/binaries/102/663/image.gif : HotCroissant
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
The post 韓国企業を対象とする攻撃に使用されている Xctdoor マルウェア (Andariel) appeared first on ASECブログ.