サイバーリーズンのNocturnusチームは、良く知られたRATであるnjRatを使用して複数のハッキングツールをトロイの木馬化している攻撃を調査しています。この攻撃は、最終的に、標的マシンに対する完全なアクセス権を攻撃者に提供します。その攻撃の背後にいる脅威アクターは、各種のハッキングツールを内部に組み込んだマルウェアをポストしており、複数のWebサイト上でそれらのツールを使ったクラッキングを行っています。

ファイルがダウンロードされオープンされると、攻撃者は、被害者のマシンを完全に乗っ取ることが可能となります。この記事では、攻撃者のTTPとIoCに関する分析を紹介します。この攻撃の調査中に、我々は、数100件ものトロイの木馬化されたファイルと、脅威アクターのインフラストラクチャに関する多くの情報を確認しています。

主なポイント

  • 広まる攻撃:当社では、njRatトロイの木馬を使用して犠牲者のマシンを乗っ取ろうとするハッキング攻撃が広く行われているのを確認しています。この攻撃は、完全なアクセス権を脅威アクターに与えることにより、脅威アクターがDDoS攻撃の実施から機密データの窃盗に至るまであらゆることを行えるようにします。
  • ハッカーをおびき寄せる:このマルウェアは、各種のハッキングツールやその他のインストーラーをトロイの木馬へと変えることにより広まっています。脅威アクターは、他のハッカーをおびき寄せるために、悪意を持って改変したファイルを各種のフォーラムやWebサイトに投稿しています。
  • 脆弱性のあるWordPressを利用しているWebサイトを悪用:脅威アクターは、脆弱性のあるWordPressサイトをハッキングすることにより、悪意あるnjRatペイロードをホスティングしています。
  • 「マルウェア工場」:この攻撃の背後にいる脅威アクターは、ハッキングツールの新しい反復を毎日のように構築しているかのように感じられます。

マルウェア分析

いくつかの検知データを先週確認した際に、我々が監視している環境の1つで新しいnjRatを偶然見つけました。njRatは中東でよく利用されているマルウェアであり、これを使うとオペレーターは被害者のマシンを乗っ取ることにより、キーロギング、画面ショットの取得、ファイルの操作や流出、Webカメラやマイクを通じたビデオや音声のレコーディングなどが可能となります。

njRatは、ある程度広く行きわたっている脅威であり、かつよく使われるRATですが、この特定の感染は我々の目を引き付けました。


Cybereason Defense PlatformでのnjRatの初回検知

このプロセスは、正規のWindowsアプリケーション( explorer.exe)になりすますものとして出現します。ただし、そのハッシュをVirusTotalでチェックすると、そのサンプルは非常に新しく、作成から数時間しか経っていないように感じられます。

感染した環境では、njRatが2つのIPアドレスに接続を試みているように見えます。1つは我々にとって未知のサイト(capeturk.com、詳細については後述)であり、もう1つは、インドのオフィスサプライメーカーのWebサイト(anandpen.com)を乗っ取ったものでした。


マルウェアが接続したIPアドレスとホスト名

anandpen.comは、WordPressを使用しているハッキング済みのサイトであり、その内部のWordPressディレクトリの1つからマルウェアを提供します。これは、脆弱性のあるWordPressサイトをエクスプロイトする攻撃者が良く使う手口です。

この場合、ペイロードの1つが、anandpen.comドメイン上の /wp-includes/images/media/1/explorer.zip パスを通じて提供されます。

いくつかのYARAクエリを実行し、先述のIPアドレスに関連するVT上のすべてのサンプルを検索した結果、数10個の異なるサンプルが同一サーバー上でホスティングされていることを発見しました。各サンプルは異なる作成日を持っていましたが、それらはすべて同一サーバー上でホスティングされており、被害者のターゲッティングを積極的に行っていました。

上述したように、観測されたサンプル(我々が監視している環境で検知したものを含む)はすべて、svchost.exeやexplorer.exeのような正規のWindowsプロセス名を持っており、しかもそれらはすべて%AppData%内のサブディレクトリから実行されていました。明らかに何らかの悪事が行われていますが、当社の製品の導入前に当該ファイルは環境から破棄されたため、それらの実行の根本原因は不明でした。

根本原因の究明

Malopの調査時に、悪意あるexplorer.exeプロセスがホスト名7777.elitfilmizle[.]comと通信していることが明らかになります。


未署名のPEファイルの情報フィールドには、興味深い特性が含まれていました。


強調表示されている部分に同ファイルの企業名と製品名がある(Cybereason Defense Platformでの表示)

さらにこのファイルのバージョン情報を調査すると、より多くの不一致が明らかになります。


ハッシュd5f53d26615772ff3ca84d88604f2ddfに関する追加情報

比較のために、Windows 10 Pro build 1903に含まれている正規の署名済みexplorer.exe の製品情報フィールドを下記に示します。


正規の explorer.exeのハッシュ:4E196CEA0C9C46A7D656C67E52E8C7C7.

ファイル名はexplorer.exeですが、企業名が「Intel Corporation」であり、製品名が「Intel(R) Common Users Interface」となっています。これは明らかに間違っています。

さらに多くのヒント(日付に注意)が、当該ファイルのPDBパスに残されています。


There are a few interesting details in this PDB path:

  1. “03-02-2020” – この日付は、同一のプロジェクトに複数のバリアント(過去/未来のバージョン)が存在していることを暗示しています(さらに調査した結果、これらのバリアントを多数発見されました)。
  2. “TripleDES-Rijn-GZIPP” – これは、マルウェアのローダーがその本来の目的を隠すために使用した方法を指しています(詳細については後述)。

explorer.exeを調査すると、それが実際には.NETのPE実行可能ファイルであることが明らかになります。


より詳しく調査すると、このファイルは元々Visual Basicで書かれたものであることが判明しました。これはnjRatローダーの典型的な特徴です。


この実行可能ファイルがデコンパイルされると、何らかのクリプター(crypter)機能が利用可能となります(合法性を維持するために、同ファイルはC#へとデコンパイルされます)。


上記の画面ショット内にある3つの赤色の矢印は、先述したPDB内に現れる文字列に直接関係しています(“TripleDES-Rijn-GZIPP”)。これらの矢印は、ファイルの暗号化および圧縮(または難読化)方法を指しています。

すなわち、 TripleDESに続いてAES (Rijndael)で暗号化された後、圧縮が行われます。青色の矢印は、TripleDESおよびAES暗号化の両方で使用される鍵(“abc123456”)を指しています。

ローダーはペイロードをアンパックした後、オリジナルのローダーファイルを削除し、その実行を続けます。このマルウェアは、新規ディレクトリ%USER%\AppData\Roaming\Intel Corporation\Intel(R) Common User Interface\8.1.1.7800\ を作成した後、それをステージングディレクトリとして使用します。

njRatローダーは、このステージングディレクトリにファイルを投下し続け、最終的に、メインのnjRatペイロードをランダムな名前で投下します。同マルウェアは、このランダムなファイル名をexplorer.exeへと変更し、それを%AppData%\roamingへとコピーした後、そこで同ファイルを実行します。

実行後、この偽のexplorer.exe(njRatペイロード)は、netshコマンドを実行することにより、外部との通信を行います。これは、次のコマンドを使用してWindows Firewallを変更します。

netsh firewall add allowedprogram ‘C:\Users\user\AppData\Roaming\explorer.exe’ ‘explorer.exe’

njRatは複数のサーバーに接続することで、そのオペレーターからコマンドとファイルを受け取ります。

  • Capeturk.com – この攻撃で使用されるより新しいバージョンのnjRata用のレジストリ
  • Blog.capeturk.com – njRat用のC2
  • Anandpen.com – 攻撃者が使用する各種のnjRatのバージョンおよびその他のツール用のリポジトリ

注:anandpen.comは攻撃者によりハッキング済みのサイトです。これは、筆記具メーカーのWebサイトでありWordPressを利用しています。我々は同社と連絡を取り、同社にこのインシデントに関する情報を伝えましたが、我々はまだ同社からの応答を受け取っていません。

脅威インテリジェンス

現時点で、我々は、このnjRat攻撃がいかにして実行されるか、そしてそれがどのサーバーに接続するかを把握しましたが、ここでもう1つの疑問が残っています。すなわち「人々はどうやって感染するのか?」という疑問です。

環境を検査した結果、標的マシン上のさまざまなパスにハッキングおよび侵入ツールが維持されていることが判明しました。これらのハッシュをネットワーク上で調べることにより、我々は、すべてのハッキングツールが、それらと共に各種のクラックを導入していることを発見しました。これらのツールとクラックの両者はどちらも、このnjRatを通じて感染させられたものでした。

特定されたサーバーを、VTGraphを使ってVT上で見つかったハッシュと相互に関連付けることで、我々は、この攻撃に関連する多数のサンプルが存在していることを発見しました。


VTGraphによるサンプルとサーバー間の相互関連付け

この時点で、我々は、各種のハッキングツールをトロイの木馬化することで、ハッカーを標的としている攻撃が存在していることを理解します。残された疑問は、「これらのトロイの木馬化されたツールは一体どこからやって来るのか?」ということです。

システム上にあるファイルの1つが、SQLi Dumper用のkeygenでした。SQLi Dumperは、あらゆるタイプのSQLインジェクションおよびデータダンプの実行に使用されるツールです。


SQLi Dumper v8.2用の感染した複数のkeygenのうちの1つ

下記の画面ショットに示すように、このkeygenの製造元は[RTN]であると示されています。RTN は、各種のプログラムに対するクラックを開発しているグループであり、専用のWebサイトとフォーラムを保有しています。


RTNのWebサイトの画面ショット

重要:RTNのフォーラムは、本記事の執筆時点でアクセス不可になっていたため、我々はトロイの木馬化されたファイルが、RTNにより作成されたkeygenのオリジナルの作成者と何らかの関係があるかどうかは判定できませんでした。ただし、mediafireファイルをホスティングしているWebサイトには、トロイの木馬化されたファイルと、その他多くのクラックされたバージョンのツールが含まれていました。


MediaFireファイルシェア内にあるトロイの木馬化されたファイル

このファイルシェアにつながるページを検索した結果、Blogspot上でホスティングされているブログが見つかりました。このブログは、多くのクラックされたハッキングツールや、先述したようなトロイの木馬化されたツールを提供しており、上述したMediaFireファイルシェアにリンクされています。


上述したように、この攻撃は、数年間にわたって進行中であるように見受けられます。これまでに、我々は、各種のハッキングツールになりすましたサンプルや、Chrome Internetブラウザになりすましたサンプルを発見しています。「*.capeturk.com」サブドメインに関連付けられているサンプルは約700種存在しており、各種の脅威インテリジェンスリソースに毎日のように追加されるサンプルはさらに多く存在しています。

PDBの中間生成物

本記事の「マルウェア分析」セクションで説明したように、本マルウェアのサンプルに埋め込まれているPDBパスには、同マルウェアのパッキング方法に関する貴重な情報が含まれています(下記の例を参照)。これらの各例は、それぞれ異なるサンプルから取得したものです。

  1. C:\Users\pc\Desktop\25-8-2019\3 lop-GZip+poly Xor base64\GZip+poly Xor base64 builder\WindowsApplication2\obj\Release\WindowsApplication2.pdb
  2. C:\Users\pc\Downloads\Gen code PolyRSM RC4 Poly AES Gzip Builder 21-09-2018\PolyRSM RC4 Poly AES Gzip 26-07-2018\PolyRSM +RC4+ Poly AES +Gzip Builder 07-01-2015\obj\x86\Release\explorer.pdb
  3. C:\Users\pc\Desktop\xxxxx\ALL PolyRSM +RC4+ Poly AES +Gzip StrReverse 11-01-2019\PolyRSM +RC4+ Poly AES +Gzip Builder StrReverse 11-01-2019\obj\x86\Release\explorer.pdb
  4. C:\Users\pc\Desktop\03-02-2020\ZIP RC2 RC4\decode\WindowsApplication6\obj\Release\explorer.pdb
  5. C:\Users\pc\Desktop\03-02-2020\NEW 3DES ZIP 29-01-2020\decode\WindowsApplication6\obj\Release\taskhost.pdb

これらは、数100個のファイルのうちのわずか4つに過ぎません。個々の例は、それぞれ異なる日付を持つことにご注意ください。ごく最近の日付を持つものもあれば、数年前の日付を持つものもあります。これは、これらの悪意あるファイルのコンパイルが自動化されていることを示唆しています。

ドメイン

2018年6月まで、capeturk.com は、良く知られたゲームであるMinecraft専用の、トルコに置かれているゲーミングWebサイトであったと思われます。

2018年11月に、ドメインcapeturk.comが失効すると、同ドメインはベトナム在住の個人により登録されました。その後、同ドメインは、それが再登録された時期から、マルウェアに関連付けられるようになりましたが、このベトナム在住の個人がこのマルウェア攻撃と何らかの関係を持っているかどうかは不明です。

ただし、ベトナムに在住している何者かが、サンプルをVirusTotalへと送信することにより、同サンプルのテストを常に行っていると見られています。我々は、この個人がベトナムのドメイン所有者とつながりがあるとにらんでいます。


サンプルの1つを経由して表示されるVirusTotalの送信ページ

重要:送信情報に含まれているパス(強調表示した部分)と、同パスに含まれているwin7x64ユーザー名によれば、これは何らかのテストマシンであると思われます。また、このサンプルはベトナムから送信されています。

複数の攻撃と標的が存在?

capeturk.comのさまざまなサブドメインへと送信された各種のサンプル(詳細については本記事の「IoC」セクションを参照)を調べた結果、各サブドメインは、それぞれ異なるソフトウェアを標的とし、したがって異なる被害者を標的としているようです。

たとえば、blog.capeturk.comに関連付けられているサンプルはすべて、各種の侵入テストおよびハッキングツールを標的としており、それ以外のサブドメインは、Chromeインストーラー、Windowsアプリケーション、およびハッキングやテストとは何の関係もないその他のランダムなプログラムを標的としています。

たとえば、次のサンプルは、6666.elitfilmizle.comに接続するものであり、NVIDIAサービスになりすましたnjRatペイロードの一種です。

注意すべきもう1つの重要なことは、サブドメインに含まれている数字(6666や7777など)が、当該ホスト上で実行されているC2サーバー上のポート番号に対応していることです。

たとえば、6666.elitfilmizle.comはポート6666をその待ち受けポートとしており、7777.elitfilmizle.comは7777をその待ち受けポートとしているという具合です。

結論

この調査では、ほぼ毎日のようにコンパイルされ構築される約1000種類のnjRatサンプルを取り上げました。多くの個人は、この攻撃によりすでに感染してしまっていると仮定しても間違いではないでしょう(もっとも、現時点では感染者の正確な数は不明ですが)。

この攻撃は、最終的に、標的マシンに対する完全なアクセス権を脅威アクターに与えることにより、脅威アクターがDDoS攻撃の実施から機密データの窃盗に至るまで、同マシンを使用してあらゆることを行えるようにします。

この攻撃の背後にいる脅威アクターが複数のサーバーを利用しているのは明らかであり、その一部はハッキングされたWordPressブログサーバーであると見られています。その他のサーバーは、複数のホスト名やDNSデータなどから判断するならば、脅威グループにより所有されているインフラストラクチャであると思われます。

現時点で、我々は、このマルウェア攻撃が標的としているその他の被害者を突き止めることはできませんでした。ただし、トロイの木馬化されたハッキングツールにより標的とされた被害者のマシンが「7777サーバー」への接続を行うことは確定できました。我々は、今後もこの攻撃の監視を続け、何か進展があれば報告する予定です。

IoC(Indicators of Compromise:痕跡情報)

この攻撃のIoC(PDF)はこちらで確認いただけます。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」