新しいWhiskerSpy

WhiskerSpyはバックドア型マルウェアです。
これを使用するキャンペーンが観測されています。

• 入口
  この攻撃キャンペーンの入口は水飲み場攻撃です。
  特定のテーマのウェブサイトに罠を仕掛け、そこを訪問した利用者に感染します。
  被害者はまずはウェブサイトを閲覧します。
• ウェブサイトでビデオ
  訪問したウェブサイトではビデオが見れるようになっています。
  しかしビデオを見ることはできません。
  「codec error」の文字から始まるタイトルのエラーを示すダイアログが表示され、「Codec-AVC1.msi」のインストールを促します。
  AVCはAdvanced Video Codecのことで、H.264とも呼ばれる最も広く使われている動画圧縮規格です。
• MSIをダウンロード
  被害者はインストーラーをダウンロードします。
  URLの一部にはmicrosoftの文字が含まれますが、microsoftに関係があるものとは思えません。
  URLのFQDN部分は「microsoftwindow[.]sytes.net」です。
  sytes.netはDynamic DNSサービスで使用されているドメインです。MSIの置かれているサーバはDynamic DNSサービスで名前を実現していました。
• 改ざんされたMSI
  ダウンロードしたMSIは改ざんされたものでした。
  AVCの正規のcodecインストーラーを改ざんし、もともとの配布物ではないものが含まれて配布されるように改変されています。
• 追加されたシェルコード
  追加されたものはシェルコードでした。
  シェルコードは暗号化されていますので、使用される前に復号化されます。
  動作したシェルコードはいくつかのPowerShellコマンドを実行します。
  このコマンドは、いくつかのJPGファイルとPHPファイルをダウンロードします。
• codecのインストール
  余分なファイルのダウンロードを完了すると、処理は元のcodecのインストーラの実行に制御が戻ります。
• JPGファイル
  JPGとPHPのファイル名のファイルが取り込まれていますが、これらはそのファイル名が示す内容のものではありません。
  ローダーです。
  これも改ざんされたファイルを含みます。
  vcruntime140.dll(Microsoft VCランタイムライブラリ)のパッチバージョンとなっていて、元の正規のファイルを改ざんしたものとなっています。
  OneDriveのサイドローディングの脆弱性を悪用し、永続性を獲得する際に使用されます。
• 別のJPGファイル
  別の画像ファイルに見えるものはChrome拡張機能を使用するインストーラになっています。
  これが永続性の確保を実現するモジュールとなります。
  Chromeが起動されるたびにマルウェアが起動されるというわけです。
• さらに別のJPGファイル
  これが今回のキャンペーンのメインのマルウェアです。
  WhiskerSpyです。
  バックドア型マルウェアで、リモートからの操作、ファイルのアップロードとダウンロード、スクリーンショット撮影、実行可能ファイルの実行、プロセスへのシェルコードの挿入などの機能が実装されています。
  WhiskerSpyは定期的にC2に通信し新しいコマンドを要求するのですが、その通信は暗号化されています。
  以前のWhiskerSpyはC2との通信のベース部分はFTPが採用されていましたが、今回観測されているものはHTTPとなっています。

正規のインストーラーを改ざんしてシェルコードを追加実行する、DLLを改ざんして機能を追加する、などの内容から、この攻撃者は高い技術力を持っていると考えられます。
戦術、技術、手順、いわゆるTTPsは継続的に進化していっているといえそうです。

参考記事（外部リンク）：Earth Kitsune Delivers New WhiskerSpy Backdoor via Watering
Hole Attack
www.trendmicro.com/en_us/research/23/b/earth-kitsune-delivers-new-whiskerspy-backdoor.html