Cisco Talos は、「MagicRAT」という新しいリモートアクセス型トロイの木馬(RAT)を発見しました。APT グループ Lazarus
MagicRAT が感染システムに展開されると、カスタムビルドのポートスキャナなどの追加のペイロードが起動されることを示す証拠も見つかりました。さらに、MagicRAT の C2 インフラストラクチャが、TigerRAT
MagicRAT の実際の展開が確認されたことから、カスタム版の新しいマルウェアをすばやく開発し、TigerRAT など既知のマルウェアと併用して世界中の組織を標的にしようとする Lazarus の狙いが見えてきます。
Cisco Talos は、これらの攻撃が北朝鮮の支援を受けた攻撃グループ Lazarus によって実行されたものと考えています(信頼性は中~高程度)。その根拠は、戦術、手法、手順(TTP)やマルウェアのインプラント、インフラストラクチャに、Lazarus による既知の攻撃との類似点があることです。
Talos は、MagicRAT を配布する C2 サーバーが、過去に報告された
一部の感染マシンでは、しばらくの間 MagicRAT が展開された後で削除され、続いて「VSingle」という別のカスタム開発のマルウェアがダウンロードおよび実行されたことが確認されました。VSingle については JPCERT が情報を公開しており、やはり Lazarus が展開しているインプラントだとされています。
MagicRAT は C++ プログラミング言語でプログラムされています。Qt フレームワークが使われており、32 ビット版および 64 ビット版の RAT にこのフレームワークが静的にリンクされています。Qt フレームワークは GUI を開発するためのプログラミングライブラリですが、この RAT には GUI は搭載されていません。コードを複雑にして人間による分析を難しくするために Qt フレームワークを使用しているというのが Talos の見解です。また、Qt フレームワークでプログラミングされたマルウェアの例は、あるとしても極めて稀です。そのため、機械学習やヒューリスティック分析による検出の信頼性も低くなります。
32 ビット版は、Microsoft Windows プラットフォームに対応するため、mingw/cygwin を使用して GCC v3.4 でコンパイルされています。一方 64 ビット版は、VisualC64 バージョン 7.14 でコンパイルされています。
RAT では、コード全体で Qt クラスが使用されています。構成は QSettings クラス
マルウェアの構成(作成者が定義した QSettings を含む)は、パス「\ProgramData\WindowsSoftwareToolkit」にあるファイル「visual.1991-06.com.microsoft_sd.kit」に保存されます。明らかに、オペレーティングシステムの一部と思い込ませることを狙ったファイル名とパスです。
以下の画像は、構成ファイルの例です。分析中に、構成ファイルの 3 つのセクションを特定しました。
分析したサンプルのすべてに、感染を登録したうえで感染したエンドポイントで実行するコマンドを受信するために使用される 3 つの C2 のエンコードされた URL が記載されていました。URL は、「windows」、「linux」、「mac」のキーを使用して構成ファイルに保存されています。値には「LR02DPt22R」というプレフィックスが付き、その後に base64 でエンコードされた URL が続きます。
MagicRAT には、感染マシン上にスケジュールされたタスクを作成するコマンドがハードコードされています。RAT 実行時にこのコマンドを実行し、自身の永続性を確立します。
| コマンド | 目的 |
| schtasks /create /tn “OneDrive AutoRemove” /tr “C:\Windows\System32\cmd.exe /c del /f /q C:/TEMP/[MagicRAT_file_name].exe” /sc daily /st 10:30:30 /ru SYSTEM | 特定の時間に開始されるようスケジュールされたタスク [T1053/005 |
| schtasks /create /tn “Microsoft\Windows\light Service Manager” /tr C:/TEMP/[MagicRAT_file_name].exe /sc onstart /ru SYSTEM | 別の時間に異なるパスで開始されるようスケジュールされたタスク [T1053/005 |
| %HOME%/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/OneNote.lnk | スタートアップフォルダに作成されたリンク [T1547/001 |
永続性を確立すると、RAT は C2 に接続します。
実行の初期ステージでは、MagicRAT は、攻撃者が操作しているシステムと環境を十分特定できる程度にシステムの偵察を行います。そのため、コマンド whoami、systeminfo、ipconfig /all を実行します。最後のコマンドの場合、ファイル「zero_dump.mix」を C2 にアップロードすると結果が返されます。
MagicRAT の機能はかなり単純で、感染したシステム上でリモートシェルを使用して任意のコマンドを実行する、エンドポイント上のファイルの名前変更、移動、削除を行うというものです。インプラントがスリープするタイミングを決める、C2 の URL を変更する、感染システムからインプラントを削除するという機能もあります。
MagicRAT の新しい亜種も発見しました。2022 年 4 月に生成され、実際に展開されています。このサンプルには、BAT ファイルを使用して感染したエンドポイントから自身を削除する機能が含まれています。
MagicRAT の新しいサンプルで使用されている C2 サーバーの 1 つである 64[.]188[.]27[.]73 では、GIF の URL を装った 2 つの別個のインプラントがホストされていました。これで、MagicRAT は C2 に要求を行い、GIF ファイル(実際には実行ファイル)をダウンロードできます。
MagicRAT の C2 で発見された GIF ファイルの 1 つは「pct.gif」という非常に単純なポートスキャナです。メインコードは下の画像のようなものです。
接続先の IP、ポート番号、ポートスキャンの出力の書き込みを指定する値(ディスク上のログファイルまたは標準出力)という 3 つの引数を取ります。接続に成功すると、実行ファイルは「Connection success!」という文字列を、標準出力か、現在のユーザーの一時ディレクトリにある「Ahnupdate.log」というログファイルのいずれかに書き込みます。
MagicRAT の C2 でホストされている 2 つめのインプラントは、TigerRAT
このインプラントは、任意のコマンド実行やファイル管理など、いくつかの RAT 機能で構成されています。インプラントの機能としては、次のようなものがあります。
実行できる任意のコマンドには、次のようなものがあります。
最新の TigerRAT バージョンには新機能が 1 つあり、次の機能セットを近々導入する予定があることも示唆されています。こうした機能の 1 つが「USB ダンプ」です。作成者は、Web カメラからのビデオキャプチャを実装する準備としてスケルトンコードも作成していますが、実装はまだされていません。
USB ダンプ機能により、次のことができるようになります。
以下の画像は、ファイル拡張子をチェックするために使用されるコードです。
さまざまな機能を削除してみたり追加してみたりと、通常 Lazarus のインプラントには機能が継ぎ接ぎされています。このことは、最新の TigerRAT サンプルからも明らかです。
Lazarus の最新バージョンでは、USB ダンプと Web カメラキャプチャ用のスケルトンコードといった新しい機能が追加された一方で、ポート転送機能は削除されています。また、TigerRAT の古い亜種(2020 ~ 2021 年に確認されたもの)は暗号化された文字列で構成されていましたが、最新の亜種はプレーンテキストの文字列で構成されています。
今回の脅威は、以下の製品で検出してブロックすることが可能です。
Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらから
Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。
Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。Threat Defense Virtual、適応型セキュリティアプライアンス、Meraki MX など、
Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。
Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらから
Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトをテストします。
特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。
Cisco Duo
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org
Cisco Secure Endpoint ユーザーは、Orbital Advanced Search
IOC リストは、こちら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[://]64[.]188[.]27[.]73/adm_bord/login_new_check[.]php
hxxp[://]gendoraduragonkgp126[.]com/board/index[.]php
hxxp[://]64[.]188[.]27[.]73/board/mfcom1.gif
hxxp[://]64[.]188[.]27[.]73/board/pct.gif
hxxp[://]64[.]188[.]27[.]73/board/logo_adm_org.gif
hxxp[://]64[.]188[.]27[.]73/board/tour_upt.html
193[.]56[.]28[.]251
52[.]202[.]193[.]124
64[.]188[.]27[.]73
151[.]106[.]2[.]139
66[.]154[.]102[.]91
本稿は 2022 年 09 月 07 日に Talos Group
のブログに投稿された「MagicRAT: Lazarus’ latest gateway into victim networks 」の抄訳です。