脅威リサーチ

RedLine Stealerの配布に利用された新型コロナウイルス感染症のオミクロン変異株に関連する誘導手口

投稿者 Shunichi Imano および Fred Gutierrez | 2022年1月27日

FortiGuard Labs Threat Research Report

影響を受けるプラットフォーム:  Windows
影響を受けるユーザー:      Windowsユーザー
影響:              感染したマシンの機密情報を含むさまざまなデータが盗まれる
深刻度:             中

前年同様、2021年は新型コロナウイルス感染症(COVID)で終わり、2022年も新型コロナウイルス感染症で始まりました。唯一の違いは、世界は現在、2021年4月に登場したデルタ変異株ではなく、新しいオミクロン変異株への対応に追われている点です。伝えられるところによれば、オミクロン変異株は、以前のものよりも致死率は低いが、感染率ははるかに高く、その結果、毎日増え続けるオミクロンの新規患者数が世界的な懸念となっています。このため、パンデミックに対する懸念が再び高まっています。残念ながら私たちのすべてが学んだように、脅威アクターは不幸と恐怖を利用することをためらいません。

FortiGuard Labs が最近発見した、「Omicron Stats.exe」という奇妙な名前のファイルは、Redline Stealerマルウェアの亜種であることが判明しました。このブログでは、Redline Stealerマルウェアについて、この亜種の新機能、中核機能、C2サーバーとの通信方法、組織が自らを保護する方法などについて紹介します。

RedLine Stealer

この新しいRedLine Stealerの亜種に関する具体的な説明に入る前に、RedLine Stealerについて一般的にわかっていることを確認しておきましょう。

RedLine Stealerが最初に報告されたのは、少なくとも2020年3月までさかのぼり、すぐにアンダーグランドのデジタル市場で販売される、人気の高い情報窃盗マルウェアの1つになりました。RedLine Stealerによって収集された情報は、ダークウェブ市場でユーザー認証情報1セットあたり10米ドルという低価格で販売されています。このマルウェアは、世界中が新型コロナウイルス感染症の患者の増加への対応に追われ、恐怖と不安の増大により人々の警戒心が低下していた矢先に出現しました。開発者は、この感染症をマルウェアに誘導する手段として利用しました。

CIAによると、オープンソースインテリジェンス(OSINT)とは、専門家や契約者しか入手できない情報源を含むこともありますが、「一般に公開されている資料から入手した」インテリジェンスのことです。FortiGuard Labsが収集 / 分析したグローバルなOSINT情報に基づき、現在のRedline Stealerには以下のような機能が含まれています。

通常、上記の情報窃盗マルウェアのいずれかに感染し、知らず知らずのうちにアカウントパスワードやブラウザの全情報を記録され、市場の運営者に送信された被害者が対象となります。この場合、一般に、各ユーザープロファイルには、オンライン決済ポータル、電子バンキングサービス、ファイル共有、またはソーシャルネットワークのプラットフォームなどのアカウントのログイン認証情報が含まれます。このため、感染したマシンにインストールされているブラウザ、ChromiumベースのブラウザやGeckoベースのブラウザ(Mozillaなど)を含むあらゆるブラウザから、以下の情報を収集しようとします。

  1. 保存されているシステム情報
    1. ログインとパスワード
    2. Cookies
    3. オートフィルフォーム
    4. ブラウザのユーザーエージェント詳細
    5. クレジットカード情報
    6. ブラウザ履歴
  2. インストールされているFTPクライアント
  3. インストールされているIMクライアント
  4. また、ファイルパスやファイル拡張子をもとに、サブフォルダ内の検索など、高度に設定可能な情報収集も行います
  5. Redline Stealerが機能しない国のブラックリストを設定します
  6. また、以下のマシン情報も収集します
    1. IP
    2. 都市
    3. 現在のユーザー名
    4. ハードウェアID
    5. キーボードのレイアウト
    6. スクリーンショット
    7. 画面解像度
    8. オペレーティングシステム
    9. UAC設定
    10. ユーザーエージェント
    11. ビデオカードやプロセッサなど、PCの部品に関する情報
    12. インストールされているアンチウイルスソリューション
    13. デスクトップ / ダウンロードなどの一般的なフォルダのデータ / ファイル
 
現在の亜種では、これらのすべての機能が引き続き実行されます。ただし、この新しいバージョンには、以下のような変更と改善がさらに加えられています。

RedLine Stealerの亜種(Omicron Stats.exe)の感染経路

この特殊な亜種の感染経路は特定できていませんが、Eメールで配布されていると考えられます。過去のRedLine Stealerの亜種は、新型コロナウイルス感染症という文言を題名に含んだEメールで配布され、被害者を誘導していたことが判明しています。今回の亜種のファイル名「Omicron Stats.exe」は、オミクロンの変異株が世界的に懸念されるようになった矢先、過去の亜種のパターンを踏襲して使用されています。また、このマルウェアは、被害者が開くように仕向けられた文書に埋め込まれていることから、この亜種の感染経路もEメールであると結論づけられました。

被害者の傾向

FortiGuard Labsが収集した情報によると、このRedLine Stealerの亜種の潜在的な被害者は、12ヵ国に広がっていることが判明しました。このことは、今回の攻撃が広範囲にわたるものであり、脅威アクターが特定の組織や個人を標的にしたものでないことがわかります。

機能

Omicron Stats.exeを実行すると、暗号モードECBとパディングモードPKCS7を使用してトリプルDESで暗号化されたリソースが解凍されます。その後、解凍されたリソースがvbc.exeに注入されます。次に、自身をC:\Users\[ユーザー名]\AppData\Roaming\chromedrlvers.exeにコピーし、以下のスケジュールタスクを作成して永続性を確立します。

schtasks /create /sc minute /mo 1 /tn "Nania" /tr
"'C:\Users\[Username]\AppData\Roaming\chromedrlvers.exe'" /f

その後、このマルウェアは、Windows Management Instrumentation(WMI)から以下のシステム情報を取得しようとします。

  • グラフィックカード名
  • BIOSの製造元、識別コード、シリアル番号、リリース日、バージョン
  • ディスクドライブの製造元、モデル、総ヘッド数、シグネチャ
  • ユニークID、プロセッサID、製造元、名前、最大クロック速度、マザーボード情報などのプロセッサ(CPU)情報
 
また、このマルウェアはbase64とxorキー「Margented」で文字列を復号化します。復号化された文字列は「freelancer.com」と207[.]32.217.89です。その後、コマンド&コントロール(C2)サーバー(207[.]32[.]217[.]89:14588)にアクセスします。固有のヘッダー「Authorization: ns1=d8cc092a9e22f3fc55d63aad32150529」を使用して自身を検証し、復号化されたID「freelancer.com」を使用して他のマルウェアやリサーチャーからの接続を防止します。

図1:RedLine Stealerの亜種の設定ファイル

マルウェアは、感染したマシンで以下の文字列を検索し、データ流出のための関連フォルダを探します。

  • wallet.dat(暗号通貨に関する情報)
  • wallet(暗号通貨に関する情報)
  • ログインデータ
  • Webデータ
  • Cookies
  • Opera GX Stable
  • Opera GX
図2:感染したマシンの暗号通貨ウォレットを検索するコード

また、マルウェアはデータの抜き取りのために以下のファイルを探します。

  • \Telegram Desktop\tdataフォルダ。Telegramはこのフォルダに画像と会話を保存します。
  • %appdata%\discord\Local Storage\leveldb。以下のファイルについて、ユーザーが参加したDiscordチャネルおよびチャネル固有の情報を保存します。
    • .log and .db files
    • Files that match the following regular expression: [A-Za-z\d]{24}\.[\w-]{6}\.[\w-]{27}

[A-Z]] は、AからZの大文字のアルファベットを名前に使用したファイルを検索するために使用される正規表現です。
[a-z]] は、aからzの小文字のアルファベットを名前に使用したファイルを検索するために使用される正規表現です。
\dは、任意の数字を検索するための正規表現です。
{24}は、直前の語句と正確に24回一致するものを検索するために使用する正規表現です。
\.は、「.」を検索するために使用する正規表現です。(\はエスケープ文字)
\wは、アンダースコアを含む単語を検索するために使用する正規表現です。

  • Tokens.txt(Discordアクセスに使用)
図3:感染したマシンの%appdata%\discord\Local Storage\leveldbの下にあるログファイルを検索するコード

また、このマルウェアは、以下の保存されたブラウザデータを探し、盗み出そうとします。

  • ログインデータ
  • Webデータ
  • ブラウザのユーザーエージェント詳細
  • Cookies
  • 拡張子Cookie
  • オートフィル
  • クレジットカード情報

また、このマルウェアは、以下のシステム情報を収集しようとします。

  • プロセッサ
  • グラフィックカード
  • RAMの合計
  • インストールされているプログラム
  • 実行中のプロセス
  • インストールされている言語
  • ユーザー名
  • インストールされているWindowsバージョン
  • シリアル番号

RedLine Stealerの亜種は、以下のVPNアプリケーションの保存された認証情報を盗みます。

  • NordVPN
  • OpenVPN
  • ProtonVPN

C2インフラストラクチャ

この亜種は、ポート14588を通じて207[.]32.217.89をC2サーバーとして使用します。このIPは1gserversが所有しています。この亜種がリリースされてから数週間の間に、あるIPアドレスがこのC2サーバーと通信していることに気づきました。いくつかのテレメトリデータを以下に示します。

IPアドレス 開始時刻 終了時刻

149.154.167.91

2021-11-26 04:34:54

2021-11-26 10:05:15

149.154.167.91

2021-12-05 12:06:03

2021-12-05 13:19:35

149.154.167.91

2021-12-09 16:18:46

2021-12-09 20:00:13

149.154.167.91

2021-12-22 18:38:18

2021-12-23 11:33:58

この149[.]154.167.91というIPアドレスは英国が起源で、Telegram Messenger Networkの一部です。C2サーバーは、悪用されたTelegramメッセージングサービスを通じてRedlineオペレーターによって制御されている可能性があります。このマルウェアの作成者は、それぞれのTelegramグループを通じて、購入専用回線とサポート回線の両方を提供しているため、この結論はそれほど飛躍したものではありません。

結論

RedLine Stealerは、現在進行中の新型コロナウイルス感染症の危機に乗じており、この傾向は続くと予想されます。このマルウェアは、感染したマシンに壊滅的な影響を与えるようには設計されていませんが、盗み出した情報は、同類のサイバー犯罪者による悪意のある行為に利用されたり、将来の活動のために別の脅威アクターに売却されたりする可能性があります。以下で詳しく説明する基本的なセキュリティ対策を実施し、危険区域に入らないようにしましょう。

フォーティネットのソリューション

FortiGuard Labsは、RedLine Stealerの亜種に対して、以下のアンチウイルスを提供しています。

PossibleThreat.PALLASNET.H

FortiGuard Labsは、RedLine Stealerとコマンド&コントロール(C2)サーバーとの通信を検知するために、IPSシグネチャ「RedLine.Stealer.Botnet」を提供しています。このシグネチャはデフォルトで「pass」に設定されていますので、C2との通信をブロックするには「drop」に切り替える必要があることに注意してください。

すべてのネットワークIOC(Indicators of Compromise:侵害指標)は、Webフィルタリングクライアントによってブロックされます。

FortiEDRは、レピュテーションと動作の検知に基づいて、すべての悪意のあるファイルをブロックします。

この亜種のIOC(Indicators of Compromise:侵害指標)

SHA2
15FE4385A2289AAF208F080ABB7277332EF8E71EDC68902709AB917945A36740

ネットワーク
207.32.217.89:14588 (C2)

その他のRedLine Stealer亜種のIOC(Indicators of Compromise:侵害指標)

SHA2

891aba61b8fec4005f25d405ddfec4d445213c77fce1e967ba07f13bcbe0dad5

216a733c391337fa303907a15fa55f01c9aeb128365fb6d6d245f7c7ec774100

73942b1b5a8146090a40fe50a67c7c86c739329506db9ff5adc638ed7bb1654e

2af009cdf12e1f84f161a2d4f2b4f97155eb6ec6230265604edbc8b21afb5f1a

bf31d8b83e50a7af3e2dc746c74b85d64ce28d7c33b95c09cd46b9caa4d53cad

b8ebdc5b1e33b9382433151f62464d3860cf8c8950d2f1a0278ef77679a04d3b

8d7883edc608a3806bc4ca58637e0d06a83f784da4e1804e9c5f24676a532a7e

1b4fcd8497e6003009010a19abaa8981366922be96e93a84e30ca2885476ccd7

fdeadd54dd29fe51b251242795c83c4defcdade23fdb4b589c05939ae42d6900

af4bf44056fc0b8c538e1e677ed1453d1dd884e78e1d66d1d2b83abb79ff1161

 

ネットワーク

hxxps://privatlab[.]com/s/s/nRqOogoYkXT3anz2kbrO/2f6ceecb-a469-40b5-94a2-2c9cc0bc8445-Ewdy5l6RAylbLsgDgrgjNjVbn

hxxps://privatlab[.]com/s/s/3Qa0YRMaVaij07Z8BqzZ/7ca69d4c-c5bb-4ab3-b5a9-87c17b7167b5-86yYgEGqbQMnoszgm0OmgGb6g

hxxp://data-host-coin-8[.]com/files/9476_1641477642_2883[.]exe

hxxp://data-host-coin-8[.]com/files/541_1641407973_7515[.]exe

hxxp://data-host-coin-8[.]com/files/7871_1641415744_5762[.]exe

hxxps://transfer[.]sh/get/HafwDG/rednovi[.]exe

hxxp://91[.]219.63.60/downloads/slot8[.]exe

91.243.32.13:1112 (C2)

185.112.83.21:21142 (C2)

23.88.11.67:54321 (C2)

178.20.44.131:8842 (C2)

91.243.32.94:63073 (C2)

95.143.177.66:9006 (C2)

45.147.230.234:1319 (C2)

31.42.191.60:62868 (C2)

135.181.177.210:16326 (C2)

 

FortiGuard Labsは、上記のRedLine Stealerの亜種に対して、以下のアンチウイルスを提供しています。

W32/Agent.A7D6!tr

MSIL/Agent.DFY!tr

W32/PossibleThreat

PossibleThreat.PALLASNET.H

W32/GenKryptik.FNMI!tr

W32/AgentTesla.FDFF!tr

 

すべてのネットワークIOC(Indicators of Compromise:侵害指標)は、Webフィルタリングクライアントによってブロックされます。

FortiEDRは、レピュテーションと振る舞い検知に基づいて、すべてのファイルをブロックします。

さらに、FortiGuard Labsは、RedLine Stealerマルウェア全般に対して以下のアンチウイルスも提供しています。

MSIL/Redline.5418!tr

W32/Redline.HV!tr

W32/Redline.HU!tr

W32/Redline.HP!tr

W32/Redline.HL!tr

W32/Redline.HT!tr

W32/Redline.AOR!tr

W32/Redline.HQ!tr

W32/Redline.HS!tr

W32/Redline.HM!tr

W32/Redline.HX!tr

W32/Redline.HR!tr