キメラ退治の英雄ベレロフォンも驚愕：巧みに人間になりすましサイトの人気度を高めるトロイの木馬ChimeraWire

2025年12月10日

序論

Doctor Webのエキスパートは、アフィリエイトプログラムの1つを解析中にクリッカー機能を備えたユニークなマルウェアを発見しました。Trojan.ChimeraWireと名づけられたこのマルウェアはWebサイトやWebアプリケーションの管理を自動化するオープンソースプロジェクトzlsgoとRodをベースにしたもので、Microsoft Windows搭載コンピューターを標的としています。

このTrojan.ChimeraWireを使用することで、サイバー犯罪者はユーザーによる操作を装ってWebサイト内のユーザー行動を向上させ、そのサイトが検索エンジンでの検索結果に表示される順位を人為的に引き上げることができます。そのために、このマルウェアは検索エンジンGoogleとBing内で目的のサイトを探してそれらを開き、そのサイト上でユーザーの操作を模倣してリンクをクリックします。Trojan.ChimeraWireはすべての悪意のある動作を、特定のドメインからダウンロードしてWebSocketプロトコル経由のデバッグモードで起動させたGoogle Chromeブラウザ内にて実行します。

Trojan.ChimeraWireは複数の悪意のあるダウンローダを通じてコンピューターに侵入します。これらのダウンローダはDLL検索順序ハイジャッキング脆弱性の悪用をベースとするさまざまな権限昇格手法や、検出を回避するためのアンチデバッグ手法を用います。Doctor Webのアンチウイルスラボでは、これらのマルウェアが関与する感染チェーンを少なくとも2つ追跡しています。そのうちの1つでは悪意のあるスクリプトPython.Downloader.208が中心的役割を担い、もう1つのチェーンではTrojan.DownLoader48.61444が中心となっています。このTrojan.DownLoader48.61444の動作原理は悪意のあるスクリプトPython.Downloader.208のものとほぼ同じであり、実質的にその代替として使用されています。

本稿では、Trojan.ChimeraWireの特徴と、このトロイの木馬をユーザーのデバイス上に送り込むために用いられる悪意のあるアプリについて解説します。

1つ目の感染チェーン

１つ目の感染チェーンを示す図

１つ目の感染チェーンはTrojan.DownLoader48.54600から始まります。このマルウェアはそれが人工的な環境で動作しているかどうかを検証し、仮想マシンやデバッグモードの徴候を検知すると動作を終了します。そのような徴候がない場合はC2サーバーからZIPアーカイブpython3.zipをダウンロードします。これには悪意のあるスクリプトPython.Downloader.208と、その動作に必要な追加のファイル（Trojan.Starter.8377である悪意のあるライブラリISCSIEXE.dllなど）がいくつか含まれており、Trojan.DownLoader48.54600はこのアーカイブを解凍してスクリプトを実行します。このスクリプトPython.Downloader.208はC2サーバーから次の段階を受信するダウンローダで、感染の第2段階を担います。

Python.Downloader.208の動作は実行時の権限によって異なります。管理者権限なしで実行された場合はその権限を取得しようと試みます。そのために、Python.Downloader.208と一緒に抽出されたTrojan.Starter.8377がディレクトリ%LOCALAPPDATA%\Microsoft\WindowsAppsにコピーされ、さらにスクリプトruns.vbsが作成されます。このスクリプトは後にPython.Downloader.208を再度実行するために使用されます。

次に、Python.Downloader.208はシステムアプリ%SystemRoot%\SysWOW64\iscsicpl.exeを起動させます。このアプリにはDLL検索順序ハイジャッキング脆弱性が存在するため、正規のWindowsコンポーネントと同じ名前を持つトロイの木馬ライブラリISCSIEXE.dllが自動的に読み込まれます。

続けて、Trojan.Starter.8377がVBSスクリプトruns.vbsを実行し、このスクリプトがPython.Downloader.208を今度は管理者権限で実行します。

必要な権限で実行されると、Python.Downloader.208はパスワード保護されたアーカイブonedrive.zipをC2サーバーからダウンロードします。このアーカイブには次の感染段階であるTrojan.DownLoader48.54318がライブラリUpdateRingSettings.dllとして含まれているほか、その動作に必要な追加のファイル（Windowsに組み込まれたOneDriveの一部であり有効なデジタル署名を持った正規アプリOneDrivePatcher.exeなど）も格納されています。

Python.Downloader.208はアーカイブを解凍すると、アプリOneDrivePatcher.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成します。次にPython.Downloader.208はこのアプリを起動しますが、このアプリもDLL検索順序ハイジャッキング脆弱性を持つため、OneDriveのコンポーネントと同じ名前が付いた悪意のあるライブラリUpdateRingSettings.dll（Trojan.DownLoader48.54318）が自動的に読み込まれます。

Trojan.DownLoader48.54318はコントロールを掌握すると自身が人工的な環境で実行されているかどうかをチェックし、仮想マシンやデバッグモードで動作している徴候を検知すると動作を終了します。

そのような徴候が検知されなかった場合、Trojan.DownLoader48.54318はC2サーバーからペイロードとその復号化に使用するキーをダウンロードします。

復号化されたペイロードはシェルコードと実行ファイルを含んだZLIBコンテナで、Trojan.DownLoader48.54318は復号化の後このコンテナを解凍しようとします。解凍に失敗した場合、トロイの木馬は自身を削除し、アクティブなプロセスを終了します。解凍に成功した場合はコントロールがシェルコードに受け渡され、このシェルコードが一緒に含まれている実行ファイルを解凍します。このファイルが感染の最終段階、すなわち最終的な目的であるトロイの木馬Trojan.ChimeraWireです。

2つ目の感染チェーン

2つ目の感染チェーンはマルウェアTrojan.DownLoader48.61444から始まります。このマルウェアは起動されると管理者権限を持っているかどうかをチェックし、持っていない場合は取得しようとします。Trojan.DownLoader48.61444はセキュリティシステムをすり抜けるためにMasquerade PEB手法を使用しており、正規のプロセスexplorer.exeに偽装しています。

次に、システムライブラリ%SystemRoot%\System32\ATL.dllのコピーにパッチを適用します。そのために、Trojan.DownLoader48.61444はそのコンテンツを読み取り、復号化されたバイトコードとトロイの木馬ファイルへのパスをそこに追加します。そうして改変したコピーをファイルdropperとして、元々置かれていた同じディレクトリに保存します。その後、サービス%SystemRoot%\System32\wbemと改変したライブラリのWindowsシェルCOMオブジェクトを初期化します。初期化に成功すると、Trojan.DownLoader48.61444はCMSTPLUA COMインターフェースを使用して、一部の古いCOMインターフェースによくある脆弱性を悪用することで管理者権限を取得しようと試みます。

成功すると、改変されたライブラリdropperがATL.dllファイルとしてディレクトリ%SystemRoot%\System32\wbemにコピーされます。その後、Trojan.DownLoader48.61444はWindows Management InstrumentationWmiMgmt.mscを起動します。その結果、システムアプリmmc.exeに存在するDLL検索順序ハイジャッキング脆弱性が悪用され、パッチの適用されたライブラリ%SystemRoot%\System32\wbem\ATL.dllが自動的に読み込まれます。そしてこのライブラリがTrojan.DownLoader48.61444を再度、今度は管理者権限で実行します。

管理者権限がない場合のTrojan.DownLoader48.61444の動作を示す図

管理者権限で実行されると、Trojan.DownLoader48.61444はC2サーバーからペイロードをダウンロードするための複数のPowerShellスクリプトを実行します。ダウンロードされるオブジェクトの 1 つが ZIP アーカイブone.zipで、これには1つ目の感染チェーンでダウンロードされるアーカイブonedrive.zipと同じファイル（正規アプリOneDrivePatcher.exeと、Trojan.DownLoader48.54318である悪意のあるライブラリUpdateRingSettings.dll）が含まれています。

Trojan.DownLoader48.61444はアーカイブを解凍し、 OneDrivePatcher.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成した後、このアプリを起動します。1つ目の感染チェーン同様、OneDrivePatcher.exeに存在するDLL検索順序ハイジャッキング脆弱性が悪用され、トロイの木馬ライブラリUpdateRingSettings.dllが自動的に読み込まれます。その後のシナリオは1つ目の感染チェーンと同じです。

同時に、Trojan.DownLoader48.61444は2つ目のZIPアーカイブtwo.zipもダウンロードします。これには悪意のあるスクリプトPython.Downloader.208（update.py）と、その実行に必要なファイルが含まれています。そのうちの1つがGuardian.exeで、これは名前を変更されたPythonコンソールインタープリタpythonw.exeです。

アーカイブを解凍すると、Trojan.DownLoader48.61444はGuardian.exeがシステム起動時に実行されるようにするタスクをシステムスケジューラに作成します。さらに、このアプリを介して悪意のあるスクリプトPython.Downloader.208を直接実行します。

1つ目の感染チェーンと同じプロセスを部分的に採用することで、脅威アクターは標的システムにTrojan.ChimeraWireがダウンロードされる確率を高めようと目論んだものとみられます。

管理者権限を取得したTrojan.DownLoader48.61444の動作を示す図

Trojan.ChimeraWire

Trojan.ChimeraWireという名前は、異なる動物の身体的特徴をあわせ持つ神話上の怪物「chimera（キメラ）」と「wire（ワイヤー）」を組み合わせたものです。「chimera」は攻撃者が複数の手法（異なるプログラミング言語で書かれたダウンローダ型トロイの木馬の使用、アンチデバッグ技術の使用、感染プロセスにおける権限昇格）を用いるというそのハイブリッドな特徴を表しています。さらに、このトロイの木馬がさまざまなフレームワーク、プラグイン、そして密かにトラフィックをコントロールするための正規ソフトウェアを組み合わせたものであるという事実も反映しています。2つ目の単語「wire」はここに関わってきます。これはトロイの木馬が目に見えないところで悪意のあるネットワーク操作を実行するということを示しています。

Trojan.ChimeraWireは標的のコンピューターに侵入するとサードパーティサイトからアーカイブchrome-win.zipをダウンロードします。このアーカイブにはWindows用のGoogle Chromeブラウザが含まれています。ここで注意したいのは、このサイトにはLinuxやmacOSなどの他のOS向けGoogle Chromeビルド（さまざまなハードウェアプラットフォーム用のものを含む）を含んだアーカイブも置かれているという点です。

トロイの木馬が必要なアーカイブをダウンロードする、さまざまなGoogle Chromeビルドを提供するサイト

ブラウザがダウンロードされると、Trojan.ChimeraWireはそこにCAPTCHAを自動で解決するよう設計されたアドオンNopeCHAとBusterを密かにインストールします。これらのアドオンはトロイの木馬が動作中に使用します。

次に、ブラウザをデバッグモードでウィンドウを表示せずに起動します。これにより、ユーザーに気づかれることなく悪意のある動作を実行することが可能になります。その後、自動的に選択されたデバッグポートとの接続がWebSocketプロトコル経由で確立されます。

続けて、トロイの木馬はタスクの受信へと進みます。C2サーバーにリクエストを送信し、応答としてBase64文字列を受け取ります。この文字列にはAES-GCMアルゴリズムで暗号化されたJSON形式での設定が含まれています。

トロイの木馬がC2サーバーから受信する設定の例

この設定には、以下のタスクとそれに関連するパラメータが含まれています。

• 対象とする検索エンジン（GoogleとBingに対応）
• 対象の検索エンジン内でサイトを検索し、それらを開くためのキーフレーズ
• Webページ連続遷移の最大回数
• Webページ上で自動クリックを実行するためのランダム分布
• ページの読み込み待機時間
• 対象ドメイン

実際のユーザー操作をより高度に模倣し、途切れのないアクティビティを監視するシステムをすり抜けるために、この設定には作業セッションと作業セッションの間で一時停止するためのパラメータも含まれています。

ユーザーのマウスクリックを模倣

Trojan.ChimeraWireは次のタイプのクリックを実行することができます。

• 検索結果をナビゲートするためのクリック
• 見つかった目的のリンクを新しいバックグラウンドタブで開くためのクリック

まず初めに、Trojan.ChimeraWireは対象とする検索エンジンを使用して、設定内で指定されているドメインとキーフレーズでWebサイトを検索します。次に、検索結果に表示されたサイトを開き、ハイパーリンクを定義するHTML要素をすべて見つけ出します。トロイの木馬はこれらの要素をデータ配列にしてシャッフルし、そこに含まれるすべてのオブジェクトがWebページに表示された結果と異なる順番になるように並べ替えます。これは、クリック順序を追跡するWebサイトのボット対策機能を回避する目的で行われます。

続けて、Trojan.ChimeraWireは見つけたリンクとそこに含まれる文字列が設定内のテンプレートと一致するかどうかをチェックし、一致した数を計算します。トロイの木馬のその後の動作はこの一致数に応じて異なります。

ページ上で十分な数の一致するリンクが見つかった場合、Trojan.ChimeraWireはそのページをスキャンし、検出されたリンクを関連度の高い順に並べ替えます（キーフレーズに最も一致するものが最初にくるように）。その後、1つないしは複数の一致するリンクがクリックされます。

指定されたテンプレートとの十分な数の一致がない場合や、まったく一致がない場合、Trojan.ChimeraWireは実際の人間の行動を可能な限りそっくりに模倣する確率的行動モデルのアルゴリズムを使用し、設定内に含まれているパラメータと重み付け分布に基づいて開くリンクの数を決定します。たとえば、分布が["1:90", "2:10"]の場合、トロイの木馬は90%の確率で1つのリンクをクリックし、20%の確率で2つのリンクをクリックします。つまり、リンクが1つクリックされる可能性が極めて高いということになります。Trojan.ChimeraWireは先の工程で作成したデータ配列の中からリンクをランダムに選択してクリックを実行します。

トロイの木馬が検索結果からリンクを開いてそのWebページ上でクリックを実行するたびに、指定されたタスクに応じて前のブラウザタブに戻るかまたは次のタブに進みます。そしてこの動作が、対象となるサイトでのクリック数の上限に達するまで繰り返されます。

以下は、トロイの木馬がC2サーバーから受信したタスクで操作するように指示されていたWebサイトの例です。

トロイの木馬ChimeraWireならびにそのダウンロードに関与するマルウェアに関する詳細な技術的情報については、本調査レポートのPDFバージョンまたはDoctor Webウイルスライブラリを参照してください。

Trojan.ChimeraWireの詳細 ※英語 Trojan.DownLoader48.54600の詳細 ※英語 Trojan.Starter.8377の詳細 ※英語 Python.Downloader.208の詳細 ※英語 Trojan.DownLoader48.54318の詳細 ※英語 Trojan.DownLoader48.61444の詳細 ※英語

結論

現在のところ、Trojan.ChimeraWireの実行する悪意のあるアクティビティは、要するにWebサイトの人気度を高めることを目的としたクリック操作だけという比較的単純なものにとどまっています。しかしながら、このトロイの木馬がベースとするツールには、実際のユーザーによる操作を装った自動アクションなどといったより広範なタスクの実行を可能とする機能が備わっています。たとえば、悪意のある脅威アクターはTrojan.ChimeraWireを使用して、広告目的のアンケートを実施するものなどあらゆるサイトのWebフォームに自動入力することができます。さらに、サイバースパイ活動やさまざまなデータベース（メールアドレス、電話番号などの）を構築するためのデータ自動収集を目的に、Webページの内容を読み取ったりそれらのスクリーンショットを撮ったりすることも可能です。

したがって、将来的にはこうした機能が完全に実装されたTrojan.ChimeraWireの新たなバージョンが登場するものと考えられます。Doctor Webではこのトロイの木馬の進化を引き続き監視していきます。

MITRE ATT&CK®

Indicators of compromise（セキュリティ侵害インジケーター）