2024年10月9日

株式会社Doctor Web Pacific

Doctor Webのウイルスアナリストは、仮想通貨のマイニングと窃盗を行うマルウェアを拡散させる大規模なキャンペーンを確認しました。このキャンペーンでは、オフィスプログラムやゲームチャット、オンライントレードボットを装ってユーザーのコンピューターにトロイの木馬を侵入させています。

ユーザーから提供されたクラウドテレメトリの定期的な分析を行う過程で、Doctor WebウイルスラボのスペシャリストによってWindowsコンポーネント(StartMenuExperienceHost.exe、同じ名前を持つ正規のプロセスはスタートメニューを管理するものです)に偽装したプログラムの疑わしいアクティビティが検出されました。このプログラムはリモートネットワークホストと通信し、コマンドラインインタープリタcmd.exeを直ちに起動させるための着信接続を待ちます。

システムコンポーネントに偽装していたのはNcatネットワークユーティリティです。その正規の使用目的は、コマンドラインからネットワーク経由でデータを転送するというものです。この発見により、Dr.Webによって未然に防がれた、コンピューターをマルウェアに感染させようという試みを含むセキュリティイベントの一連の流れを再現することが可能となりました。

感染源は攻撃者によってGitHub上に作成された不正なWebページ(これはGitHubのルールで禁止されています)や動画の下にマルウェアを含んだリンクが記載されたYoutubeページです。ユーザーがリンクをクリックするとパスワード保護された自己解凍型アーカイブがダウンロードされます。アーカイブは暗号化されているため、アンチウイルスソフトウェアによって自動的にはスキャンされません。ダウンロードページ上でハッカーによって提供されるパスワードを入力すると、次の一時ファイルがコンピューター上の %ALLUSERSPROFILE%\jedist フォルダ内に展開されます。

• UnRar.exe - RARアーカイブを解凍するアプリケーション
• WaR.rar - RARアーカイブ
• Iun.bat - Uun.batスクリプトを実行するタスクを作成し、コンピューターの再起動を開始して、自身を削除するスクリプト
• Uun.bat - WaR.rarを解凍してそこに含まれるShellExt.dllファイルとUTShellExt.dllファイルを実行し、Iun.batによって作成されたタスクとjedistフォルダをそのコンテンツごと削除する難読化されたスクリプト

ShellExt.dllファイルはAutoIt言語インタープリタで、それ自体は悪意のあるものではありません。しかしながら、これは本物のファイル名ではありません。攻撃者はアーカイバ機能をWindowsの右クリックメニューに組み込むためのWinRARライブラリに偽装させるために、ファイル名をAutoIt3.exeからShellExt.dllに変えています。起動されると、インタープリタはUTShellExt.dllファイルをロードします。このファイルはUninstall Toolユーティリティのものであり、それ自体は完全に正規のもので有効なデジタル署名も持っていますが、攻撃者はこれに悪意のあるAutoItスクリプトを追加しています。このスクリプトは実行されると、高度に難読化された複数のファイルを含んだ自身のペイロードを解凍します。

AutoItはWindows操作を自動化するスクリプトとユーティリティを作成するためのプログラミング言語です。その使いやすさと幅広い機能によりさまざまなカテゴリーのユーザーに人気がありますが、その中にはマルウェア作成者も含まれています。一部のアンチウイルスプログラムはコンパイルされたAutoItスクリプトをすべて悪意のあるものとして検出します。

UTShellExt.dllファイルは次の動作を実行します。

1. プロセスリストをスキャンして、実行中のデバッグソフトウェアを検索します。スクリプトには約50の異なるデバッグユーティリティの名前が含まれており、このリストに含まれているプロセスが1つでも検出された場合、スクリプトは終了します。
2. デバッグソフトウェアが検出されなかった場合、攻撃を続行するために必要なファイルが侵害されたシステム上で展開されます。一部のファイルはネットワーク通信を実行するために必要な「クリーン」なファイルですが、残りのファイルは悪意のある動作を実行します。
3. Ncatを使用したネットワークアクセスを取得してBATおよびDLL ファイルを実行するためのシステムイベントを作成します。IFEOテクニックを使用してレジストリを改変することで、 システム上に長く居座ることができるようにします。

   Image File Execution Options(IFEO : イメージファイル実行オプション)はWindowsがソフトウェア開発者向けに提供している機能で、アプリケーション起動時に自動的にデバッガを起動させることを可能にするものです。一方で、システム上での足がかりを得るためにこのIFEOテクニックが攻撃者によって悪用される場合があります。その際、攻撃者はデバッガへのパスを悪意のあるファイルへのパスに置き換え、正規のアプリケーションが起動されるたびに悪意のあるアプリケーションも同時に起動するようにします。今回のケースでは、ハッカーはWindowsサービス、ならびにGoogle ChromeとMicrosoft Edgeの更新プロセス(MoUsoCoreWorker.exe、svchost.exe、TrustedInstaller.exe、GoogleUpdate.exe、MicrosoftEdgeUpdate.exe)を「ハイジャック」していました。

4. 手順2で作成したフォルダとファイルを削除・変更する権限を取り消します。
5. Windowsリカバリーサービスを無効にします。
6. 侵害したコンピューターの仕様や名前、OSバージョン、インストールされているアンチウイルスに関する情報を、Telegramボットを使用して攻撃者に送信します。

仮想通貨の密かなマイニングと窃盗はそれぞれDeviceId.dllファイルと7zxa.dllファイルによって実行されます。いずれのファイルもプロセスハロウイング(Process Hollowing)手法を用いてそれぞれのペイロードをexplorer.exe(Windows Explorer)プロセス内に挿入します。DeviceId.dllファイルは.NETフレームワークの一部として提供される正規のライブラリですが、 SilentCryptoMiner マイナーを実行する悪意のあるAutoItスクリプトが埋め込まれています。このマイナーは多様な構成と密かに仮想通貨をマイニングする機能に加え、リモートコントロール機能も備えています。

7zxa.dllライブラリはアーカイバ7-Zipの正規のライブラリですが、クリッパーが含まれています。この種のマルウェアはクリップボード内のデータを監視する目的で使用され、それらのデータを置き換えたり攻撃者に送信したりすることができます。今回のケースでは、クリッパーはウォレットアドレスであることを示す文字列が入力されるのを待ち、それらのアドレスを攻撃者の指定したアドレスに置き換えます。本記事掲載時点で、このクリッパーによって6000ドル相当を超える仮想通貨が盗まれています。

プロセスハロウイング手法は、正規プロセスをサスペンド(一時停止)状態で起動させ、そのメモリ内のコードを悪意のあるコードで上書きしたのちに、プロセス実行を再開させるというものです。その結果として、同じ名前を持つ複数のプロセスのコピーが存在することになります。今回のケースでは、ユーザーのシステム上で3つのexplorer.exeプロセスが確認されました。通常このプロセスは1つのコピーしか存在しないため、このこと自体が疑わしい兆候となります。

このマルウェアキャンペーンにより、合計で2万8000人を超えるユーザーが被害を受けています。その多くがロシア国民となっており、そのほかベラルーシ、ウズベキスタン、カザフスタン、ウクライナ、キルギスタン、トルコでも多数の感染が確認されています。今回のケースでは、ユーザーのコンピューターはポピュラーなプログラムの海賊版をインストールすることで侵害されています。したがって、このようなインシデントを防ぐための推奨事項として、ソフトウェアは公式サイトからダウンロードする、オープンソースの代替品を使用する、高性能なアンチウイルスソフトウェアをインストールするといったことが挙げられます。Dr.Webユーザーは確実に保護されており、この脅威による被害を受けることはありません。

Trojan.AutoIt.1443の詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語