概要
AhnLab Security Intelligence Center (ASEC)は、韓国のウェブハードサービスを悪用し、Windowsユーザーを標的とした危険なマルウェア配布キャンペーンを明らかにしました。脅威アクターは、正規の成人向けゲームコンテンツを装ってxRAT(QuasarRAT)マルウェアを配布し、 unsuspectingユーザーに悪意のあるファイルをダウンロード・実行させています。
韓国のウェブハードサービスは、以前からnjRAT、Remcos、UDP Rat、Korat、XWormといったマルウェアファミリーの配布に悪用されてきましたが、今回のxRATキャンペーンも同様の手口を踏襲しています。脅威アクターはペイロードを正規のソフトウェアやゲーム、成人向けコンテンツに見せかけることで、高い感染率を維持し、初期段階での検出を回避しています。
巧妙な配布メカニズム
攻撃は、ユーザーが侵害された、または不正なウェブハードの投稿から成人向けゲームと思われるものをダウンロードするところから始まります。解凍されたZIPファイルには、一見無害に見えるファイルが含まれています。具体的には、「Game.exe」、「Data1.Pak」、「Data2.Pak」、「Data3.Pak」などです。
- ユーザーが「Game.exe」を実行すると、期待されるゲームの代わりに、これは悪意のあるランチャーとして機能します。
- この初期ランチャーは、「Data1.Pak」から正規のゲームランチャーを起動し、ユーザーに偽の正当性を与え、ゲームが実行されている間にマルウェアはバックグラウンドでサイレントに展開されます。
- 「Game Play!」ボタンをクリックすると、マルウェアは感染チェーンを開始します。
- ランチャーはファイルを隠しシステムディレクトリにコピーします。具体的には、「Data1.Pak」は「Locales_module」フォルダーの「Play.exe」に、「Data2.Pak」と「Data3.Pak」は「C:\Users\[User Account Name]\AppData\Local\Microsoft\Windows\Explorer」にそれぞれ「GoogleUpdate.exe」と「WinUpdate.db」として再配置されます。
「GoogleUpdate.exe」コンポーネントは、重要な悪意のある操作を実行します。「WinUpdate.db」を特定し、AESベースの復号化を適用して最終的なシェルコードペイロードを抽出します。特に、このコンポーネントはexplorer.exe内のEtwEventWrite()関数を0xC3 (RET)命令でパッチし、セキュリティツールが脅威検出に依存する主要な防御メカニズムであるWindowsのイベントトレーシング (ETW) イベントロギングを実質的に無効にします。
xRATの機能と影響
explorer.exeに注入される最終的なペイロードは、xRAT、別名QuasarRATとして知られています。これは、広範な悪意のある機能を備えたオープンソースのリモートアクセス型トロイの木馬 (RAT) です。一旦アクティブ化されると、xRATは以下のことが可能になります。
- 機密性の高いシステム情報の収集
- 資格情報や機密データを取得するためのキーロギング
- 侵害されたシステム上でのファイルのダウンロードまたはアップロード
これらの機能により、xRATは個人ユーザーと組織のセキュリティの両方にとって深刻な脅威となります。
推奨される対策
ウェブハードサービスや類似のファイル共有プラットフォームを通じたマルウェアの活発な配布を考慮すると、ユーザーはこれらのソースから実行ファイルをダウンロードする際に極めて慎重になる必要があります。主な防御戦略は、サードパーティのファイル共有プラットフォームではなく、公式ベンダーのウェブサイトからのみソフトウェアを入手することです。
セキュリティチームは、エンドポイント検出応答 (EDR) ソリューションを実装し、システムを最新のセキュリティパッチで更新し続ける必要があります。AhnLabは以下の検出シグネチャを提供しています。
- ファイル検出: Data/Bin.Shellcode, Trojan/Win.Agent.C5834849, Trojan/Win.Loader.C5834845, Trojan/Win32.Subti.C1663822
- 振る舞い検出: Malware/MDP.Behavior.M1839
ウェブハードベースのマルウェア配布の継続性は、サイバー脅威との戦いにおいて、ユーザーの意識向上と厳格なソフトウェア調達慣行の維持がいかに重要であるかを強調しています。