目次:
- イントロダクション
- 脅威プロファイル
- 感染連鎖
- キャンペーン1
- デコイの分析:
- テクニカル分析
- ROKRATマルウェアの指紋
- キャンペーン2
- デコイの分析
- テクニカル分析
- デコードされたtony31.datの詳細な分析
- 結論
- Seqrite 保護
- MITRE 攻撃:
- IoC
導入:
Seqrite Labsのセキュリティ研究者は最近、「Black Banshee」としても知られるAPTグループ「Kimsuky」が実行した2つの異なるキャンペーンを発見しました。このグループは、進化を続ける戦術を用いて韓国を積極的に標的としています。これらのキャンペーンでは、脅威アクターは韓国政府を題材にした2つの文書をルアーとして配信し、特に韓国の政府機関を標的としていました。
このブログでは、分析中に明らかになったキャンペーンの技術的な詳細を掘り下げていきます。まずは、LNK(ショートカット)ファイルが添付されたフィッシングメールから感染の様々な段階を検証します。このLNKファイルは、難読化されたVBA(Visual Basic for Applications)スクリプトをドロップするように設計されていました。スクリプトの難読化を解除したところ、このスクリプトがさらに1つのファイルをドロップすることが判明しました。2つはPDFファイル、もう1つはZIPファイルです。ZIPファイルには、1つのログファイル(1.logとXNUMX.log)、XNUMXつのVBAスクリプト(XNUMX.vba)、そしてXNUMXつのPowerShellスクリプト(XNUMX.psXNUMX)の計XNUMXつの悪意のあるファイルが含まれていました。どちらのキャンペーンにも、同じ悪意のあるファイルセットが使用されていました。
感染チェーン:
初期調査結果:
キャンペーン1:
最初のキャンペーンでは、減税と収入に関連する納税に関する文書を特定しましたが、この文書にも悪意のあるLNKファイルが添付されていました。この添付ファイルはその後、悪意のあるVBScriptを展開し、さらなる侵害を容易にしました。
当初の調査結果に基づき、攻撃者は同じ LNK ファイル コンテンツを含む別のドキュメントを利用していたことが判明しました。
キャンペーン2:
キャンペーン2では、韓国が性犯罪者の再犯防止を目的とした新たな政策を制定したことが判明しました。この取り組みでは、詳細な規則をまとめた文書が各家庭、保育園、幼稚園、そして郡区・村役場を含む様々な地方行政機関、そして近隣のコミュニティセンターに配布されました。しかし、サイバー犯罪者を含むハッカーが、この配布プロセスを悪用し、有害な添付ファイルを含む欺瞞メールを送信しています。これらのメールは、一般家庭の受信者や地方事務所の主要職員を標的にしています。
敵対者は、この情報と文書をファイル名を偽装して電子メールで配布することで、この情報と文書の配布を悪用した。 성범죄자 신상정보 고지.pdf.lnk (性犯罪者個人情報通知.pdf.lnk)。この添付ファイルには、受信者にサイバーセキュリティ上の脅威となる悪意のあるLNKファイルが含まれています。
テクニカル分析と方法論:
キャンペーン1と2:
キャンペーン28からは2f68822fcece38c72310e911c007ef8f8bd711fd2080844f666f7b371f9e1e1.lnkというファイルをダウンロードし、メールで共有されたキャンペーン2(Sex Offender Personal Information Notification.pdf.lnk)からは「성범죄자 신상정보 고지.pdf.lnk」というファイルをダウンロードしました。このLNKファイルの解析中に、以下のスナップショットに示すように、外部のC2サーバーから追加ファイルを取得していることが判明しました。
ファイルは上記の URL からダウンロードされ、以下に示すように Temp フォルダーに保存されました。
C2サーバーからダウンロードされたファイルは、難読化されたVBScriptのようです。DEがスクリプトを難読化すると、PDFファイルとZIPファイルのXNUMXつの追加ファイルが見つかりました。
ファイルの最初のセクションは Base64 文字列でエンコードされています。
デコード後、1 つの PDF ファイルが見つかりました。
VBScriptの64番目の部分もBaseXNUMXでエンコードされています。デコードすると、ZIPファイルが見つかりました。
Zip ファイルには以下の数のファイルが含まれています。
ZIPアーカイブ内には、VBScript、PowerShellスクリプト、そしてBase64でエンコードされたXNUMXつのテキストファイルというXNUMXつのファイルが確認されました。これらのエンコードされたテキストファイルには難読化されたデータが含まれており、さらに解析を進めることで、マルウェアの機能と目的に関する重要な情報が得られる可能性があります。以下の図は、XNUMXつのテキストファイルのエンコードされた内容を示しています。これらのファイルは、今後デコード・分析され、攻撃チェーンの次の段階を解明することになります。
1.vbsファイルは高度な難読化技術を採用しており、chr()関数とCLng()関数を用いて動的に文字を構築し、実行時にコマンドを実行します。この戦略により、シグネチャベースの検出メカニズムが効果的に回避され、スクリプトは実行中に検出を回避できます。
スクリプトの終了時に、連結された文字が完全なコマンドを形成し、その後実行されます。このコマンドは、1.ps1 PowerShellスクリプトを呼び出し、1.logを引数として渡してさらに処理を進めるように設計されていると考えられます。
VBScript の難読化を解除しようとしたところ、次のコマンド ライン実行が見つかりました。これにより、PowerShell スクリプトがトリガーされ、さらに処理が行われます。
1.vbs ファイルを実行すると、以下のスナップショットに示すように、1.ps1 ファイルの呼び出しがトリガーされました。
1.ps1 スクリプトには、64.log ファイルから Base1 でエンコードされたデータをデコードし、結果のスクリプトを実行するように設計された関数が含まれています。
1.ps1 スクリプトは、侵入先ホストから BIOS シリアル番号(固有のシステム識別子)を取得します。このシリアル番号はその後、システムの一時フォルダ内に専用ディレクトリを作成するために使用され、攻撃関連ファイルが侵入先マシン固有の場所に保存されます(上記のスナップショットを参照)。
VM対応サンプルとして、このスクリプトは仮想マシン環境内で実行されているかどうかを確認します。仮想マシンを検出すると、攻撃に関連する1つのファイル(1.vbs、1.ps1、XNUMX.log、およびシリアル番号にちなんで命名されたディレクトリに保存されているすべてのペイロードファイル)をすべて削除し、図に示すように実行を停止します。
このスクリプトには、マルウェアの動作のその後の段階を定義する11個の関数が含まれており、データの窃取、暗号通貨ウォレット情報の窃取、コマンドアンドコントロール(C2)通信の確立などが含まれます。これらの関数は攻撃実行に不可欠であり、マルウェアの目的達成を容易にし、脅威アクターとの継続的な通信を確保します。
1 つのログ ファイルから取得された悪意のある関数のリスト:
- ファイルをアップロードする ():
アップロード関数は、データを1MB単位のチャンクでサーバーに送信することでデータを盗み出します。これにより、大容量ファイルを効率的に処理できます。スクリプトはサーバーからの応答を待機し、HTTPステータスコード「200」を受信すると、次の処理に進みます。応答が異なる場合、スクリプトは処理を終了します。各チャンクはHTTP POSTリクエストを介して送信され、関数は各アップロード処理の成功を確認してから処理を続行します。
- GetExWFile():
その GetExWFile この関数は、暗号通貨ウォレットの拡張子を含む定義済みのハッシュテーブルを反復処理します。一致するものが見つかった場合、その拡張子にリンクされた「.ldb」ファイルと「.log」ファイルを特定し、それらを抽出します。これらのファイルは、指定された宛先フォルダ(「.ldb」と「.log」)に転送されます。 $ストアパス 変数に保存します.
- GetBrowserData():
このスクリプトは、Edge、Firefox、Chrome、Naver Whaleのいずれかのブラウザがアクティブに実行されているかどうかを確認し、Cookie、ログイン認証情報、ブックマーク、ウェブデータなどのユーザープロファイルデータを抽出します。この情報を収集する前に、スクリプトはブラウザのプロセスを終了し、アクセスが中断されないようにします。次に、特定されたブラウザごとに、インストールされている拡張機能とキャッシュファイル(webcacheV01.datなど)のデータを取得します。一部のブラウザでは、暗号化されたキーのロックを解除する復号操作も実行し、機密情報を抽出します。抽出された情報は、復号されたマスター暗号化キーと共に保存されます。
- ファイルをダウンロード ():
ダウンロード ファイル機能は、C2 コマンドに基づいて任意のファイルをダウンロードします。
- タスク登録():
「1.log」および「1.vbs」ファイルの永続性を作成します。
- 送信 ():
send() 関数は、収集したすべての情報を「init.zip」というZIPファイルに圧縮した後、サーバーにアップロードします。その後、ZIPファイルの名前を「init.dat」に変更し、アップロード後にシステムからすべてのバックアップファイルを削除します。
関数の実行フローは、攻撃内で複数のアクションが実行されるシーケンスに従います。これらの関数の2つは、キーロギングアクティビティを実行するXNUMX.logファイルを呼び出す別のPowerShellコマンドをトリガーします。
上記は2.logファイルのデコードされた内容です。このファイルには、キーの押下検出、ウィンドウタイトルの取得、キーボード状態の管理に必要なWindows API関数をインポートするスクリプトが含まれています。このスクリプトは、クリップボードの監視、キーストロークのログ記録、ウィンドウタイトルの記録などのアクションを実行します。
結論
観察されているように、脅威アクターは、時間のかかる複数のコンポーネントを相互に連携させた手法を用いて、回避能力を高めています。他のスティーラーとは異なり、このスティーラーは主にネットワーク関連情報に狙いを定めており、これは積極的な偵察に利用できる可能性があります。このスティーラーはユーザーの機密データを標的とするため、今日のデジタル環境においては、Seqrite Antivirusのような信頼できるセキュリティソリューションで身を守ることが不可欠です。Seqrite Labでは、感染の様々な段階でこのようなスティーラーを検知する機能と、最新の脅威からの保護を提供しています。
Seqrite 保護:
- トロイの木馬.49424.SL
- トロイの木馬.49422.C
マイター攻撃&CK:
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシングアタッチメント |
| 実行 | T1059.001
T1059.005 |
コマンドおよびスクリプト インタープリター: PowerShell
コマンドおよびスクリプトインタープリター:Visual Basic |
| 固執 | T1547.001 | 起動またはログオン自動起動実行:レジストリ実行キー/スタートアップフォルダ |
| 防衛回避 | T1140 | ファイルまたは情報の難読化/デコード |
| クレデンシャルアクセス | T1555.003 | パスワード ストアからの資格情報: Web ブラウザからの資格情報 |
| プーケットの魅力 | T1082 | システム情報の発見 |
| 収集 | T1056.001 | 入力キャプチャ:キーロガー |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル |
| exfiltration | T1041 | C2チャネルを介した浸透 |
IoC:
| MD5 | ファイル名 |
| 1119A977A925CA17B554DCED2CBABD8 | *.lnk |
| 64677CAE14A2EC4D393A81548417B61B | 1.ログ |
| F0F63808E17994E91FD397E3A54A80CB | 2.ログ |
| A3353EA094F45915408065D03AE157C4 | prevenue.hta |
| CE4549607E46E656D8E019624D5036C1 | 1.vbs |
| 1B90EFF0B4F54DA72B19195489C3AF6C | *.lnk |
| 1D64508B384E928046887DD9CB32C2AC | 성범죄자 신상정보 고지.pdf.lnk |
C2
- hxxps[:]//cdn[.]グリッチ[.]グローバル/
- hxxp[:]//srvdown[.]ddns.net
著者
ディキシット・パンチャル
カルティック・ジヴァニ
ソウメン・ビルマ
