本記事は SOC アナリスト 小池 倫太郎 が執筆したものです。
English version is here.
はじめに
SOCでは2022年11月頃から、Google Chromeのエラー画面を装ったWebページからマルウェアを配布する攻撃キャンペーンを観測しています。2023年2月頃から活発化し、非常に広い範囲でマルウェアダウンロードが確認されており、十分に注意が必要です。本稿では、攻撃キャンペーンの概要とマルウェアについて紹介します。
攻撃キャンペーンの概要
この攻撃キャンペーンの起点は改ざんされた正規のWebサイトです。SOCでは複数の正規Webサイトが改ざんされていたことを確認しています。いずれの場合でも挿入される悪性コードはURLパラメータ部分を除くと同一で、以下のようになっています。
![](https://cdn.sanity.io/images/1efpsj26/production/1d41bc0f96472075d6f131535947f2859c0ae103-1362x151.png)
URLに mtizndu2 という名前のパラメータが付与されることもあります。このパラメータは後述するスクリプト内で使用されます。余談ですが、mtizndu2 は 123456 をBase64エンコードした MTIzNDU2 を小文字にしたものであると考えられます。
スクリプトタグはJavaScriptコードを読み込んで実行します。多少解析妨害が存在しますが、簡潔に挙動を示すと以下のようになっています。
![](https://cdn.sanity.io/images/1efpsj26/production/99939d00df3d241e0751ef75358429b741e25829-2384x1011.png)
2度のHTTPリクエストが送信され、/payload/v1 のレスポンスが http で始まる文字列である場合、スクリプトタグとして追記します。SOCで観測したレスポンスは以下のようなURLとなっていました。
![](https://cdn.sanity.io/images/1efpsj26/production/c6bf59a2332ee71e6102c992d4db1fe6f0860f0e-1725x110.png)
読み込まれたJavaScriptコードはCookieを用いたアクセス制御の他に、標的を絞り込むための関数と、偽のエラー画面を表示するURLへリダイレクトする処理が書かれています。
![](https://cdn.sanity.io/images/1efpsj26/production/e1fb54876962175d440507d9c2dfb9f730727f62-1436x346.png)
![](https://cdn.sanity.io/images/1efpsj26/production/93edd43ad20b86f0f30f6b4f145d6bb2b67fa8e6-1423x496.png)
また、アクセス制御のために使用されるCookieのキーである c122eba0264bfd7e383f015cecf59fbd は yagamilight のMD5値であると考えられます。
![](https://cdn.sanity.io/images/1efpsj26/production/5302518e3569847f936acf22b5f33ca02e8f1308-1273x571.png)
![](https://cdn.sanity.io/images/1efpsj26/production/473b8d379e534ce4b5f2f621db757f542fbe5a54-2599x856.png)
最終的に、以下のような偽のエラー画面が表示されます。
![](https://cdn.sanity.io/images/1efpsj26/production/a88147098f43ce42cc5af9111e33ccd54d22dc63-1437x717.png)
この際に以下のようなJavaScriptコードによって、ZIPファイルがダウンロードされます。ZIPファイルは chromium-patch-nightly から始まるファイル名となっており、Chromeのアップデートパッチを装っています。
![](https://cdn.sanity.io/images/1efpsj26/production/c59e0cab19468b83d1fa75a0b23ef7b4d054ffbb-3300x802.png)
改ざんされるWebサイトによって、表示される偽エラー画面の言語は異なります。SOCでは日本語の他に、スペイン語や韓国語などを確認しており、多言語対応されています。
![](https://cdn.sanity.io/images/1efpsj26/production/ecf55c7b14e2a4970723fd862e5e732ba4a658b2-1376x608.png)
2022年12月頃に使用されたJavaScriptコードを見てみると、最新のものとはデザインや文面が若干異なりますが、100以上の言語に対応していました。
![](https://cdn.sanity.io/images/1efpsj26/production/84df8ba740267118e2f8ba09b1044b810fa11631-1510x500.png)
![](https://cdn.sanity.io/images/1efpsj26/production/3af922369662c61d2b4b3b1c96d26da00e940994-1103x317.png)
マルウェア
ZIPファイルに含まれているEXEファイルはモネロのマイナーです。以下のような機能を持ちます。
- 自身を C:\Program Files\Google\Chrome 以下に updater.exe という名前でコピー
- 正規のconhost.exeを立ち上げ、プロセスインジェクション
- タスクスケジューラおよびレジストリを使用して永続化
- Windows Defenderの除外設定
- Windows Updateに関連したサービスの停止
- Hostsファイルを書き換えることでセキュリティ製品の通信を妨害
最終的に xmr.2miners[.]com と通信を行い、モネロ(XMR)という暗号通貨のマイニングを行います。
おわりに
2022年11月頃から、正規のWebサイトを改ざんしてマイナーを配布する攻撃キャンペーンが観測されています。Google Chromeのエラーページを模した偽ページを表示し、ソーシャルエンジニアリングによってユーザにマルウェアを実行させます。改ざんされているWebサイトには日本のWebサイトもあり、それによる影響は広く深刻化しています。今後も継続する可能性があるため、十分に注意が必要です。
IoC
- 38[.]147.165.60
- 103[.]150.180.49
- 156[.]251.189.56
- 38[.]147.165.50
- 162[.]19.139.184
- yhdmb[.]xyz
- fastjscdn[.]org
- chromedistcdn[.]cloud
- chrome-error[.]co
- xmr.2miners[.]com