脅威リサーチ

BitRATに感染させるために利用されるNFTルアー(おとり)

投稿者 Shunichi Imano, James Slaughter, および Fred Gutierrez | 2022年3月11日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             侵害されたマシンが脅威アクターの制御下に置かれる
深刻度:            

ブロックチェーンは何年も前に発明されましたが、ビットコインの登場によってデジタルムーブメントの時流に乗りました。しかし、デジタル通貨はこのテクノロジーの唯一の応用例ではありません。2021年には、NFT(Non-fungible token:非代替性トークン)という言葉が一般に認知されました。NFTは、ブロックチェーンを使用してデジタルコンテンツ(アート作品、音楽、収集品、ビデオゲーム内のアイテムなど)の真正性と所有権を証明するデジタルトークンです。

NFTが最初に大きな注目を集めたのは、2021年の3月のことでした。この月に、「Beeple」というデジタルアーティストによる「Everydays – The First 5000 Days」というデジタルアート作品がオークションにかけられて、6,900万ドルという史上最高値で落札されたのです。その後、同じ月に今度は、当時Twitter社のCEOであったジャック・ドーシー氏が初めて投稿したツイートのNFTに290万ドルという値が付きました。さらにNFTは、10年前に発表されて人気を博してきたインターネットミームの「Nyan Cat(ニャン・キャット)」に新たな生命を吹き込みました。作者は、このGIFをリマスターしたものをNFTとして10イーサリアム(59万ドル)で販売しました。

唯一無二の資産を占有することは、所有欲そして価格を大きく高める傾向があります。そして予想どおり、オンライン犯罪者はこの行動を悪用しようと待ち構えています。

FortiGuard Labsは最近、NFT関連の情報を含んでいるように見える不自然なExcelスプレッドシートに遭遇しました。しかし見かけとは裏腹に、このスプレッドシートは、気付かれないようにBitRATマルウェアをダウンロードしてインストールします。このブログでは、この攻撃の仕組みをご説明します。

不自然なExcelマクロファイル(XLSM)と標的

この不正なExcelファイルの出所は明らかになっていません。しかし、このファイルからは、そのソースと標的に関するいくつかの手がかりが得られます。1つ目に、このXLSMの名前は「NFT_Items.xlsm」です。2つ目に、このファイルは2つのワークブックからなり、そのうちの1つはヘブライ語で記述されています。このワークブックには、NFTを扱う正規のDiscordルームのように見えるものが含まれています。さらに、NFTの名前、見込まれる投資利益の予想額(誇大、堅実、50 / 50)、および販売量も含まれています。最後に、多くの最近の類似攻撃と同様に、この攻撃では悪意のあるファイルのホスティング場所としてDiscordが悪用されます。これらの事項から、次のように結論付けるための十分な証拠が得られます。すなわち、攻撃者はイスラエルにいるNFT愛好家にメッセージを送信して、不正なXLSMをダウンロードして開かせようとした可能性が高いです。

図1:不正なXLSMファイル「NFT_Item.xlsm」

このXLSMには不正なマクロが含まれており、ユーザーはこのファイルを開いたときに、このマクロを有効にするように求められます。このXLSMファイルが開かれて、このマクロが有効化されると、このXLSMはバッチファイルをドロップします。次にこのXLSMは、PowerShellスクリプトを使用して、NFTEXE.exeという別のファイルをDiscordからダウンロードします。

図2:NFT_Item.xlsx内の不正なマクロ

図3:NFT_Item.xlsx内の不正なマクロによってドロップされたWindowsバッチファイル

図4:図3のバッチファイルによって実行されるデコード済みPowerShellスクリプト

ダウンロードされたNFTEXE.exeは.NET実行ファイルであり、「ipconfig /renew」の実行を試みてから、NFTEXE.pngというさらに別のファイルをDiscordからダウンロードします。画像ファイルに偽装されたNFTEXE.pngは、すべての文字列が反転された純粋なデータです(図5を参照)。

図5:NFTEXE.png内の反転された文字列

「ipconfig/renew」を実行する目的は、マルウェアの分析を妨害することです。具体的には、「ipconfig/renew」がクラウド環境で実行されている場合は、アナリストへの接続を切断することで、NFTEXE.pngがダウンロードされないようにします。

次にNFTEXE.exeは、これらの文字列を反転して、次のステージのファイル「Nnkngxzwxiuztittiqgz.dll」を作成します。.NET DLLがコンパイルされたのは、2022年の1月2日と示されています。不正なXLSMがパブリックオンラインスキャンサービス上で公開されたのは、1月3日であったため、このXLSMファイルはコンパイルのすぐ後に配布されたことになります。

NFTEXE.exeは、C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Adobe\Cloud.exeというファイルとして自己コピーします。このファイルはシステムが始動されるたびに実行されて、常駐します。NFTEXE.exeは、正規のWindowsファイルであるMSBuild.exeもC:\Users\[username]\AppData\Local内にコピーして、このファイルを実行します。次にNFTEXE.exeは、Nnkngxzwxiuztittiqgz.dllを使用して実行中のMSBuild.exeに不正なペイロードを注入します。

BitRAT

FortiGuard Labsの分析では、このペイロードはBitRATであると特定しました。BitRATは、2020年8月にハッキングフォーラムで初めて販売されたリモートアクセス型トロイの木馬(RAT:Remote Access Trojan)です。

FortiGuard Labsが分析したBitRATサンプルの特徴の1つは、このサンプルではHVNC(Hidden Virtual Network Computing)が使用されることです。HVNCを利用することで、攻撃者は侵害対象マシンにリモートアクセスできます。BitRATは、TinyNukeという別のマルウェアからHVNCのコードを借用していることが分かっています。TinyNukeのソースコードは2017年に漏洩しました。このBitRATサンプルに含まれていたもう1つの注目すべきものは、「AVE_MARIA」という文字列です。この文字列は、HVNCクライアントが認証を受けるためにCSサーバーと通信する際に、トラフィックヘッダー値として使用されます。このトラフィックヘッダー値が「AVE_MARIA」でない場合は、HVNCの通信は実行されないように設計されています。

追加の文字列が解読された後、分析時にさらなるBitRATの機能が明らかになりました。たとえば、BitRATはUAC(ユーザーアカウント制御)とWindows Defenderを回避できることを確認できました。UACは、Windows Vistaで初めて導入されたWindowsセキュリティ機能であり、オペレーティングシステムへの無許可変更を防止するのに役立ちます。Windows Defenderは、Windows XPで初めて公開されたMicrosoft Windowsのアンチマルウェアコンポーネントです。さらにこの亜種は、画面の監視やWebカメラの利用(装備されている場合)も可能であることが分かりました。

図6:さらなるBitRATの機能

文字列の解読後に、BitRATがDDoS機能を得るためにSlowlorisを利用していることも明らかになりました。

図7:Slowloris DDOS

他のBitRAT機能としては、以下が挙げられます。

  • 侵害対象マシンにインストールされているブラウザやアプリケーションからの認証情報の窃取
  • Monero暗号通貨のマイニング
  • キーストロークのロギング
  • 侵害対象マシンへの追加ファイルのアップロードとダウンロード
  • マイクを通じたリアルタイムの盗聴

盗んだ情報を隠すために、このBitRAT亜種は収集したデータ(キーストロークやクリップボードデータなど)を、Base64でマジョリティエンコード(majority encoding)されたADS(代替データストリーム)ファイルに格納します。

図8:C:\Users\REM\AppData\Local:11-01-22というADSファイルに書き込み中のBitRAT

上記のファイル名から推測できるとおり、新しいファイルが毎日作成されて、現在日付の名前が付けられます。

図9:ADSログファイルの内容

このBitRAT亜種の接続先であるC2サーバー(205[.]185[.]118[.]52)は、FranTech Solutionsに属しています。FranTech Solutionsは、防弾ホスティングサービスプロバイダーと呼ばれているホスティングプロバイダーです。防弾ホスティングサービスは、どちらもコンテンツを保管するために使用されるという点で、通常のWebホスティングサービスとよく似ています。違いは、防弾ホスティングサービスでは、違法コンテンツ(マルウェア、C2、エクスプロイトキット、偽のショッピングサイトなど)もホスティングされることです。さらに防弾ホスティングサービスは、告訴や運用停止要請に抵抗する傾向が強いです。

結論

この攻撃では、悪意のあるXLSMファイルを開くように被害者を誘導するために、NFTが利用されました。このファイルを開くと、BitRATに感染して、被害者のデータとマシンがリスクにさらされます。

NFTは新たなインターネット現象であり、一部の人々には正規の投資 / 利殖手段と見られています。どのような投資にもリスクが伴いますが、特定のリスクはお金が人手に渡る前に回避できます。攻撃者は、魅力的で流行のアイテムをルアー(おとり)として利用しがちであることに注意してください。NFTがますます普及するにつれて、悪意のあるファイルを開いたり不正なリンクをクリックしたりするように被害者を誘導するために、NFTが悪用されるようになるでしょう。信頼できないサイトや不審なサイトからダウンロードされたファイルを開かないなどの一般的なセキュリティ対策を講じることで、脅威アクターがユーザーの財産や貴重なデータにアクセスすることを防止できます。

フォーティネットのソリューション

FortiGuardアンチウイルスサービスでは、この脅威をMSIL/Agent.JWX!tr.dldrおよびVBA/Agent.XC!trとして検知してブロックします。

FortiEDRは、ダウンロードされたNFTEXE.exeをその振る舞いに基づいて不正なものとして検知します。

すべてのネットワークIOC(Indicators of Compromise:侵害指標)は、Webフィルタリングクライアントによりブロックされます。

IOC(Indicators of Compromise:侵害指標)

サンプルSHA-256:
  • 88ef347ad571f74cf1a450d5dad85a097bb29ab9b416357501cdc4c00388f796
  • 342a5102bc7eedb62d5192f7142ccc7413dc825a3703e818cf32094638ebd17a
ネットワークIOC:
  • hxxps://cdn[.]discordapp.com/attachments/923977279179202600/927289948825079828/NFT_LIST.xlsm
  • hxxps://cdn[.]discordapp.com/attachments/927290851930013766/927291495604699167/NFT_LIST.xlsm
  •  hxxps://cdn[.]discordapp.com/attachments/923858595353874472/928279600659234826/NFTEXE.EXE
  • 205[.]185[.]118[.]52