Cisco Japan Blog

データとソーシャルメディアのアカウントを狙う CoralRaider

2 min read



  • Cisco Talos は、ベトナムを拠点とし、金銭目的で活動していると思われる新たな攻撃グループ「CoralRaider」を発見しました。遅くとも 2023 年から活動しており、アジアおよび東南アジア諸国を標的にしています。
  • CoralRaider の主な標的は、ログイン情報、金融取引に関するデータ、ビジネスアカウントや広告アカウントなどのソーシャルメディア アカウントです。
  • Talos が分析した攻撃では、カスタマイズ版の QuasarRAT 亜種である RotBot と、XClient スティーラー(情報窃取マルウェア)がペイロードとして使用されていました。
  • CoralRaider はデッドドロップ手法を使用し、正規のサービスを悪用して C2 構成ファイルと、Windows Forfiles.exe や FoDHelper.exe といった、あまり見かけない環境寄生型バイナリ(LoLBin)をホストしています。

CoralRaider はベトナムに拠点を置いている可能性が高い

Telegram C2 ボットチャネルでのメッセージ、ボットの名前や PDB 文字列、ペイロードのバイナリにハードコードされている文字列にベトナム語が含まれていることから、CoralRaider 攻撃グループはベトナムに拠点を置いている可能性が高いと Talos は考えています。同グループが使用する IP アドレスの所在地は、ベトナムのハノイです。

分析を行ったところ、CoralRaider は Telegram ボットを C2 として使用して被害者のデータを漏洩させていることが判明しました。この発見によって情報収集が可能となり、誰がどのような攻撃活動を行っているのかについて、重要な痕跡がいくつか見つかりました。

攻撃者は、2 つの Telegram ボットを使用していました。1 つはデバッグ用の「デバッグ」ボット、もう 1 つは被害者のデータを受信する「オンライン」ボットです。ただし、「デバッグ」ボットのデスクトップ画像には、「オンライン」ボットと同様のデスクトップと Telegram が表示されていました。つまり、攻撃者はボットのテスト中に自身の環境にも感染させた可能性があります。

Telegram ボット上の攻撃者のデスクトップ画像を分析したところ、「Kiém tien tử Facebook」、「Mua Bán Scan MINI」、「Mua Bán Scan Meta」という、ベトナム語の名前の Telegram グループが見つかりました。これらの Telegram グループを監視していたら、被害者のデータの取引をはじめ、さまざまな活動が行われている闇市場だということがわかりました。

さらに、「デバッグボット」の画像から、Windows デバイス ID(HWID)と、CoralRaider のものである可能性が高い、ベトナムのハノイにある IP アドレス(118[.]71[.]64[.]18)が特定されました。

Talos の調査では他にも 2 つの画像が見つかっており、同グループの OneDrive 上にフォルダがいくつか保存されていることがわかりました。フォルダの 1 つには「Bot Export Chiến」というベトナム語の名前が付けられています。これは、CoralRaider のローダーコンポーネントの PDB 文字列内で確認されたフォルダ名の 1 つと同じです。PDB 文字列内のこのフォルダのパスを軸に調査を行い、他のいくつかの PDB 文字列にも似たようなパスがあり、ベトナム語の部分が違っていることを突き止めました。これらの PDB 文字列を基に、発見されたサンプルを分析したところ、RotBot という同じローダーファミリに属していることがわかりました。ローダーバイナリの PDB 文字列内のベトナム語名は、CoralRaider がベトナム発祥のグループであるという Talos の見解を補強するものです。

D:\ROT\ROT\Build rot Export\2024\Bot Export Khuê\14.225.210.XX-Khue-Ver 2.0\GPT\bin\Debug\spoolsv.pdb
D:\ROT\ROT\Build rot Export\2024\Bot Export Trứ\149.248.79.205 – NetFrame 4.5 Run Dll – 2024\ChromeCrashServices\obj\Debug\FirefoxCrashSevices.pdb
D:\ROT\ROT\Build rot Export\2024\Bot Export Trứ\139.99.23.9-NetFrame4.5-Ver2.0-Trứ\GPT\bin\Debug\spoolsv.pdb
D:\ROT\ROT\Build rot Export\2024\Bot Export Chiến\14.225.210.XX-Chiến -Ver 2.0\GPT\bin\Debug\spoolsv.pdb
D:\ROT\ROT\Build rot Export\2024\Bot Export Trứ\139.99.23.9-NetFrame4.5-Ver2.0-Trứ\GPT\bin\Debug\SkypeApp.pdb
D:\ROT\ROT\Build rot Export\2024\Bot Export Chiến\14.225.210.XX-Chiến -Ver 2.0\GPT\bin\Debug\spoolsv.pdb
D:\ROT\ROT\ROT Ver 5.5\Source\Encrypted\Ver 4.8 – Client Netframe 4.5\XClient\bin\Debug\AI.pdb

Talos が分析したもう 1 つの画像は、被害者のデータが含まれている可能性がある Excel スプレッドシートです。秘密保持のため画像は編集されています。このスプレッドシートにはベトナム語のタブがいくつかあり、日本語に翻訳すると、「従業員給与計算表」、「広告費」、「コピー購入 Web サイト」、「PayPal 関連」、「使用可」となります。このスプレッドシートには複数のバージョンが存在するようです。最初のバージョンは 2023 年 5 月 10 日に作成されています。また、攻撃グループはスプレッドシートにアクセスする際に「daloia krag」という表示名で Microsoft Office 365 アカウントにログインしていることもわかりました。CoralRaider はこのアカウントを使用して活動しているようです。

CoralRaider のペイロードである XClient スティーラーを分析したところ、さらにいくつかの痕跡が確認されました。CoralRaider は、XClient スティーラーの情報窃取関数の一部にベトナム語をハードコードしていました。スティーラーは、窃取した被害者の情報をハードコードされているベトナム語にマッピングし、被害マシンの一時フォルダにあるテキストファイルに書き込んでから、外部への情報漏洩を行います。Talos が確認した関数の 1 つは、被害者の Facebook 広告アカウントの情報を窃取する目的で使用されており、アカウントの権限、しきい値、支払額、タイムゾーン、作成日などがベトナム語で関数にハードコードされています。

攻撃

Talos は、CoralRaider がインド、中国、韓国、バングラデシュ、パキスタン、インドネシア、ベトナムなどのアジアおよび東南アジア諸国を標的にしたマルウェア攻撃を行っていることを確認しました。

最初の攻撃経路は Windows ショートカットファイルです。被害者に LNK ファイルを送りつけるためにどのような方法を使ったかはまだわかっていません。以下は、分析中に確認されたショートカットファイルのファイル名の一部です。

  • 자세한 비디오 및 이미지.lnk
  • 設計內容+我的名片.lnk
  • run-dwnl-restart.lnk
  • index-write-upd.lnk
  • finals.lnk
  • manual.pdf.lnk
  • LoanDocs.lnk
  • DoctorReferral.lnk
  • your-award.pdf.lnk
  • Research.pdf.lnk
  • start-of-proccess.lnk
  • lan-onlineupd.lnk
  • refcount.lnk

Windows ショートカットファイルのメタデータから、以下の注目すべき一意のドライブシリアル番号も見つかっています。

  • A0B4-2B36
  • FA4C-C31D
  • 94AA-CEFB
  • 46F7-AF3B

ユーザーが悪意のある Windows ショートカットファイルを開くと攻撃が始まり、攻撃者が管理するダウンロードサーバーから HTML アプリケーションファイル(HTA)がダウンロードされ実行されます。HTA ファイルは、埋め込まれている難読化された Visual Basic スクリプトを実行します。悪意のある Visual Basic スクリプトには PowerShell スクリプトが埋め込まれており、メモリ内で実行されます。この PowerShell スクリプトが、他の 3 つの PowerShell スクリプトを復号して順次実行します。3 つのスクリプトの実行内容は、仮想マシン対策と分析回避のためのチェック、ユーザーアクセス制御のバイパス、被害マシンでの Windows とアプリケーションの通知の無効化です。そして最後に、RotBot がダウンロードされ実行されます。

QuasarRAT クライアントの亜種である RotBot は、初期実行段階で、被害マシン上でいくつかの検出回避チェックを行い、システムの偵察を実行します。次に、攻撃者が管理していると思われる正規のドメイン上のホストに接続し、RotBot が C2 に接続するための構成ファイルをダウンロードします。CoralRaider は、この攻撃で Telegram ボットを C2 チャネルとして使用しています。

RotBot は Telegram C2 に接続した後、リソースからペイロード(XClient スティーラー)を標的のメモリにロードし、プラグインプログラムを実行します。XClient スティーラープラグインは、被害マシン上で仮想マシン対策およびウイルス対策ソフトウェアのチェックを行います。Cookie、保存されているログイン情報、金融取引情報(クレジットカードの詳細など)をはじめとするブラウザデータを収集する機能を備えています。また、ソーシャルメディア(Facebook、Instagram、TikTok のビジネス広告、YouTube など)のアカウントから被害者のデータを収集します。さらに、被害マシン上の Telegram デスクトップと Discord のアプリケーションデータも収集します。スティーラープラグインには、被害者のデスクトップのスクリーンショットをキャプチャし、被害マシンの一時フォルダに PNG ファイルとして保存する機能があります。この PNG ファイルを使用して、ブラウザやソーシャルメディア アカウントから収集した被害者のデータをスティーラープラグインがテキストファイルにダンプし、ZIP アーカイブを作成します。PNG ファイルと ZIP ファイルは、攻撃者の Telegram ボット C2 に送信されます。

感染フロー図。

RotBot がペイロードをロードして実行

リモートアクセスツール(RAT)である RotBot(コンパイル日は 2024 年 1 月 9 日)がダウンロードされ、プリンタ サブシステム アプリケーション「spoolsv.exe」を装って被害マシンで実行されます。RotBot は、この攻撃用にカスタマイズおよびコンパイルされた QuasarRAT クライアントの亜種です。

RotBot は、最初に実行されたときに、被害マシンの IP アドレス、自律システム番号(ASN)、実行中のプロセスなど、いくつかのチェックを被害マシンで実行します。このチェックの目的は、検出の回避です。また、被害マシン上のシステムデータの偵察を行い、次のレジストリキーを変更して、被害マシンにインターネットプロキシを設定します。

Software\Microsoft\Windows\CurrentVersion\Internet

設定される値は以下のとおりです。

ProxyServer = 127.0.0.1:80

ProxyEnable = 1

この攻撃で発見された RotBot は、バイナリにハードコードされている文字列を使用して、感染マーカーとなるミューテックスを被害マシンに作成することが確認されています。

RotBot は、リソースから XClient スティーラーモジュールをロードして実行し、ダウンロードした構成ファイルの構成パラメータを Telegram C2 ボットに使用します。

XClient スティーラーの狙いは被害者のソーシャルメディア アカウント

この攻撃で分析した XClient スティーラーのサンプルは、2024 年 1 月 7 日にコンパイルされた .Net 実行ファイルです。広範な情報窃取機能が備わっており、プラグインモジュールやさまざまなモジュールを使用してリモート管理タスクを実行するようになっています。

XClient スティーラーには、検出回避に役立つ 3 つの主要な機能があります。まず、被害マシンが VMware または VirtualBox で実行されている場合、仮想環境の回避が行われます。また、sbieDll.dll という DLL が被害マシンのファイルシステムに存在するかどうかをチェックし、Sandboxie 環境で実行されているかどうかを検出します。XClient スティーラーは、AVG、Avast、Kaspersky といったウイルス対策ソフトウェアが被害マシン上で実行されているかどうかもチェックします。

すべてのチェック機能をバイパスした後、XClient スティーラーは被害マシンのスクリーンショットをキャプチャし、それを被害者の一時ユーザー プロファイル フォルダに拡張子「.png」で保存してから、URL「/sendPhoto」を介して C2 に送信します。

XClient スティーラーは、被害者のソーシャルメディア Web アプリケーションのログイン情報、ブラウザデータ、金融取引情報(クレジットカードの詳細など)を窃取します。このスティーラーが狙うのは Chrome、Microsoft Edge、Opera、Brave、CocCoc、Firefox のブラウザデータファイルで、各ブラウザのインストールパス(絶対パス)を使用してアクセスします。スティーラーは、ブラウザデータベースの内容を抽出し、被害者のプロファイルのローカル一時フォルダにあるテキストファイルに保存します。

XClient スティーラーは、被害者の Facebook アカウントからさまざまな Facebook データをハイジャックして窃取します。また、被害者から窃取した Facebook の Cookie と被害者のユーザー名を含むカスタム HTTP ヘッダーメタデータを設定し、以下の URL を介して Facebook API にリクエストを送信します。

XClient スティーラーは被害者の Facebook がビジネスアカウントか広告アカウントかをチェックし、正規表現を使用して access_token、assetID、paymentAccountID を検索します。また、Facebook のグラフ API を使用して、次の表に示すように、被害者のアカウントから広範な情報のリストを収集しようとします。

エンティティ 値のプレースホルダ
facebook_pages verification_status, fan_count, followers_count, is_owned, name, is_published,is_promotable, parent_page, promotion_eligible, has_transitioned_to_new_page_experience, picture, roles
Adaccounts, businesses name, permitted_roles, can_use_extended_credit, primary_page, wo_factor_type, client_ad_accounts, verification_status, id, created_time, is_disabled_for_integrity_reasons, sharing_eligibility_status, allow_page_management_in_www, timezone_id, timezone_offset_hours_utc
owned_ad_accounts id, currency, timezone_offset_hours_utc, timezone_name,adtrust_dsl
Business_users name, account_status, account_id, owner_business, created_time, next_bill_date, currency, timezone_name, timezone_offset_hours_utc, business_country_code, disable_reason, adspaymentcycle{threshold_amount}, has_extended_credit, adtrust_dsl, funding_source_details, balance, is_prepay_account, owner

XClient スティーラーは、被害者の Facebook ビジネスアカウントと広告アカウントから金融取引情報も収集します。

支払いに関連したエンティティ 値のプレースホルダ
pm_credit_card display_string, exp_month, exp_year, is_verified
payment_method_direct_debits address, can_verify, display_string, s_awaiting, is_pending,

status

payment_method_paypal email_address
payment_method_tokens Current_balance, original_balance, time_expire, type
amount_spent, userpermissions user, role

XClient スティーラーは、グラフ API を使用して、被害者のアカウントの友達リストの詳細と画像を取得します。

XClient スティーラーは、URL を介して被害者の Instagram アカウントと YouTube アカウントも狙い、さまざまな情報を収集します。たとえば、ユーザー名、badge_count、appID、accountSectionListRenderer、コンテンツ、タイトル、データ、アクション、getMultiPageMenuAction、メニュー、multiPageMenuRenderer、セクション、hasChannel などです。スティーラーは、被害マシン上の Telegram デスクトップと Discord のアプリケーションデータを収集します。また、被害者の TikTok ビジネスアカウントからデータを収集し、ビジネス広告をチェックします。

以下に、XClient スティーラーが Facebook、Instagram、YouTube アカウントから被害者の情報を取得するために攻撃で使用している、ハードコードされた HTTP リクエストのヘッダーメタデータをまとめています。

Facebook
  • sec-ch-ua-mobile: ?0
  • sec-ch-ua-platform: \”Windows\”
  • sec-fetch-dest: document
  • sec-fetch-mode: navigate
  • sec-fetch-site: none
  • sec-fetch-user: ?1
  • upgrade-insecure-requests: 1
  • user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
  • sec-ch-ua: \”Not?A_Brand\”;v=\”8\”, \”Chromium\”;v=\”108\”, \”Google Chrome\”;v=\”108\”
  • sec-ch-ua-mobile: ?0
Instagram
  • Sec-Ch-Prefers-Color-Scheme: light
  • Sec-Ch-Ua: “Google Chrome”; v = “113”, “Chromium”; v = “113”, “Not-A.Brand”; v = “24”
  • Sec-Ch-Ua-Full-Version-List: “Google Chrome”; v = “113.0.5672.127”, “Chromium”; v = “113.0.5672.127”, “Not-A.Brand”; v = “24.0.0.0”
  • Sec-Ch-Ua-Mobile: ?0
  • Sec-Ch-Ua-Platform: “Windows”
  • Sec-Ch-Ua-Platform-Version: “10.0.0”
  • Sec-Fetch-Dest: document
  • Sec-Fetch-Mode: navigate
  • Sec-Fetch-Site: none
  • Sec-Fetch-User: ?1
  • Upgrade-Insecure-Requests: 1
  • User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36(KHTML, like Gecko) Chrome / 113.0.0.0 Safari / 537.36
YouTube
  • content-type: application/json
  • sec-ch-ua: “Google Chrome”;v=”113″, “Chromium”;v=”113″, “Not-A.Brand”;v=”24″
  • sec-ch-ua-arch: “x86”
  • sec-ch-ua-bitness: “64”
  • sec-ch-ua-full-version: “113.0.5672.127”
  • sec-ch-ua-full-version-list: “Google Chrome”;v=”113.0.5672.127″, “Chromium”;v=”113.0.5672.127″, “Not-A.Brand”;v=”24.0.0.0″
  • sec-ch-ua-mobile: ?0
  • sec-ch-ua-model: “”
  • sec-ch-ua-platform: “Windows”
  • sec-ch-ua-platform-version: “10.0.0”
  • sec-ch-ua-wow64: ?0
  • sec-fetch-dest: empty
  • sec-fetch-mode: same-origin
  • user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
  • x-goog-authuser: 0
  • x-origin: https://www.youtube.com
  • x-youtube-bootstrap-logged-in: true
  • x-youtube-client-name: 1

最後に、XClient スティーラーは被害者のソーシャルメディアデータを収集してローカル ユーザー プロファイルの一時フォルダにあるテキストファイルに保存し、ZIP アーカイブを作成します。ZIP ファイルは、URL「/sendDocument」を介して Telegram C2 に送信されていました。

この攻撃に関する Talos の調査で焦点を当てたのは、ベトナム発祥の新たな攻撃グループと、同グループが使用するペイロードを発見し、情報を公開することでした。今回使用された攻撃チェーンコンポーネントのその他の技術的な詳細情報は、QiAnXin 脅威インテリジェンスセンターの研究者らが公開したレポートpopup_iconで確認できます。

カバレッジ

Cisco Secure Endpoint(旧 AMP for Endpoints)は、この記事で説明したマルウェアの実行を阻止するのに最適です。Cisco Secure Endpoint の無料トライアルはこちらからお申し込みください。

Cisco Secure Web Appliance の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

Cisco Secure Email(旧 E メールセキュリティ)は、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。Cisco Secure Email の無料トライアルはこちらからお申し込みください。

Threat Defense Virtual適応型セキュリティアプライアンスMeraki MX など、Cisco Secure Firewall(旧次世代ファイアウォールおよび Firepower NGFW)アプライアンスは、この脅威に関連する悪意のあるアクティビティを検出できます。

Cisco Secure Malware Analytics(Threat Grid)は、悪意のあるバイナリを特定し、シスコのすべてのセキュリティ製品に保護機能を組み込みます。

Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。Umbrella の無料トライアルはこちらからpopup_iconお申し込みください。

Cisco Secure Web Appliance(旧 Web セキュリティアプライアンス)は、危険性のあるサイトを自動的にブロックし、ユーザーがアクセスする前に疑わしいサイトを検査します。

特定の環境および脅威データに対する追加の保護機能は、Firewall Management Center から入手できます。

Cisco Duopopup_icon は、ユーザーに多要素認証を提供し、承認されたユーザーのみがネットワークにアクセスできるようにします。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.orgpopup_icon で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。この脅威の Snort SID は 63192 です。

ClamAV 検出もこの脅威に有効です。

Lnk.Downloader.CoralRaider-10024620-0

Html.Downloader.CoralRaider-10025101-0

Win.Trojan.RotBot-10024631-0

Win.Infostealer.XClient-10025106-2

IOC(侵入の痕跡)

この脅威に関連する IOC は、こちらpopup_iconをご覧ください。

 

本稿は 2024 年 04 月 04 日にTalos Grouppopup_icon のブログに投稿された「CoralRaider targets victims’ data and social media accountspopup_icon」の抄訳です。

 

Tags:
コメントを書く