以来、トレンドマイクロでは、RETADUP の検体を継続して入手してきました。今回確認された亜種は、南米の特定の産業と政府を標的としていました。弊社は、「RETADUP」のファミリは、ごく少数の限られた攻撃者によって利用されていると考えています。アンダーグラウンド市場やフォーラムで販売または配布されているという証拠が見つかっていないためです。
RETADUP の新しい亜種は、諜報活動ではなく、サイバー犯罪のための機能を備えています。このため、広範な利用が可能になったにもかかわらず、実際には限られた領域でしか確認されていません。この亜種は、仮想通貨発掘マルウェアの拡散にしばしば利用されています。これは、利益を直接得るために方向転換したと考えられます。
■南米を狙う「RETADUP」
トレンドマイクロは、RETADUP について監視しており、その中で、2017年5月に南米での感染が確認され、現在も攻撃が継続されているようです。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の情報によると、RETADUP は現在、アルゼンチン、ボリビア、コロンビア、エクアドル、ペルーに所在する企業組織を標的にしています。固有の IPアドレスからは、南米全体への攻撃の 75%がペルーを対象としていることがわかります。
図1:南米の国別検出数の内訳
また、攻撃対象がいくつかの分野に集中していることが確認できます。政府組織の他、エネルギー業界、鉱業会社が特に影響を受けています。
RETADUP の挙動については、まだ明確になっていない部分があり、侵入経路について確認できていません。RETADUP の事例に実際に対応するセキュリティ担当者たちからの情報を元に、スピアフィッシングメールまたはダウンローダを利用して侵入すると推察しています。しかし、情報の送出についても確認されていません。
一つの事例から、同じキャンペーンで拡散された別の RETADUPと比較して、特殊な特徴が明らかになりました。その特定の事例では、攻撃者は RETADUP に加えて「BrowsingHistoryView(ブラウジングヒストリビュー)」(「HKTL_BrowHistoryView」として検出)の古いバージョンである v1.25を感染PC に作成します。このツールは、複数のブラウザから閲覧履歴を収集することを可能にするもので、サポート対象ブラウザで閲覧した Webサイト、およびネットワーク共有ファイルの情報を収集することができます。
■仮想通貨発掘で利益を上げる
RETADUP に感染したPC には、しばしばさまざまな仮想通貨発掘ツール(マイナー)が確認されています。これらは、攻撃者によって感染PCに作成されます。マイナーは、CPU と GPU の両方にある利用可能な計算能力を使って、さまざまな仮想通貨を発掘します。これにより攻撃者は感染させたPCの計算能力を仮想通貨の発掘に充てることで利益を得ることができます。多くの感染PC による計算能力が集約すれば、大きな利益がもたらされます。
過去、RETADUP には通常、オープンソースのマイナーである「CPUMiner-Multi」が利用されていました。最近の亜種にはマイニングコードが直接含まれています。いずれの場合も、コードは仮想通貨「Monero(XMR)」の生成に利用されます。トレンドマイクロは、仮想通貨を発掘しているユーザ、つまり攻撃者が利用する特定の識別子を追跡することにより、2017年6月18日から発生している利益は、314.34XMR に上ることを検証できました。これは、現在の為替レートで約325万円に達します。
また、仮想通貨の採掘能力を調べることで有用な情報が得られます。Webサイト「Minexmr.com」によると、計算能力の尺度であるハッシュレートは、夜間には、約50kh/s と比較的低くなっています。これは、365日24時間オンラインのコンピュータによるものです。勤務時間になると、人々がコンピュータに電源を入れるためハッシュレートは増加します。夕方になって徐々に電源が切られると、ハッシュレートが低下します。
図2:一日のハッシュレートの推移、日時は協定世界時(UTC)
攻撃者が利用するマイナーや識別子は、実際にはもっと多い可能性が、また、利益についても見積もりよりも高額である可能性があります。
■改良される「RETADUP」
RETADUPファミリは、既に報告しているように、他のマルウェアファミリ「IPPEDDO」と「ROWMANTI」のコードを元に作成されており、これは開発者によって「radworm」とも呼ばれます。今回新しく確認された亜種には、以下のような 3つの新しい特徴が確認されています。
第一に、RETADUP は、感染活動に利用されるコンポーネントと「Remote Access Tool(RAT)」のコンポーネントに分割されています。第二に、コマンド&コントロール(C&C)サーバと情報の送受信をするために、HTTP GETリクエストを利用します。第三に、情報収集に関連する機能が、いくつか削除されています。
■複数のファイルを作成する「RETADUP」
感染PC にはさまざまなファイルが作成されます。2つのコンポーネントで構成される RETADUPのファイル、正規のソフトウェア「AutoIt」、マイナー、複数のライブラリが、以下の編成でメインのシステムドライブのルートディレクトリに作成されます。
図3:作成されるファイル編成
コンポーネントについて、以下に解説します。
感染活動に利用されるコンポーネント「WORM_RETADUP.D」
RETADUP の感染活動に使われるコンポーネントは、”cpuspeed.tnt” という名称のファイルとして作成されます。実行されると、先にマルウェアにインストールされている AutoIt、および自身のファイル名をチェックします。ファイル名が元々の名称と一致しない場合、マルウェアは自身を終了します。
その後、Windows レジストリに登録することにより、RAT が常駐するメカニズムを作成します。
CpuOptimizer = C:\newcpuspeed\Cpufix.exe C:\newcpuspeed\cpuage.tnt
その後、レジストリからShowSuperHiddenフラグを無効にします。これにより、RETADUPのディレクトリを含む、保護されたシステムファイルがユーザから隠ぺいされます。次に、以下のファイルを他のドライブにコピーすることにより、他のドライブへ感染します。
- <ドライブ名>:\newcpuspeedcheck\cpuage.tnt
- <ドライブ名>:\newcpuspeedcheck\cpufix.exe
- <ドライブ名>:\newcpuspeedcheck\cpuspeed.tnt
- <ドライブ名>:\newcpuspeedcheck\workers\rad\cpuchecker.exe
- <ドライブ名>:\newcpuspeedcheck\workers\rad\cpuchecker32.exe
- <ドライブ名>:\newcpuspeedcheck\workers\rad\msvcr120_64.dll
- <ドライブ名>:\newcpuspeedcheck\workers\rad\msvcr120_86.dll
- <ドライブ名>:\newcpuspeedcheck\workers\rad\x32.bin
- <ドライブ名>:\newcpuspeedcheck\workers\rad\x64.bin
リムーバブルドライブに感染させるため、上記のファイルに加えて次のファイルがコピーされます。
- <ドライブ名>:\Downloads.lnk
- <ドライブ名>:\<フォルダ>\<フォルダ> Copy.lnk
このような感染拡大に利用されるコンポーネントと RATとしてのコンポーネントの分割は、RETADUP にとって新しいもので、マルウェアの複雑さと融通性を強化するために行われたと考えられます。たとえば、攻撃者は、RETADUP の RATコンポーネントの代わりに他のマルウェアを作成して実行することも可能になります。
RAT としての役割を果たすコンポーネント「TROJ_RETADUP.A」
感染に使われるコンポーネント「WORM_RETADUP.D」が作成するファイル “cpuage.tnt” は、RETADUP の RAT として役割を果たすコンポーネントです。以前のバージョンと同様に、仮想マシン(VM)で実行されているかを検知するためのさまざまな活動が含まれています。今回の亜種では、VM で実行されていると検知すると、「Something went Wrong」というメッセージが表示されます。
RETADUPはVMで実行されているかどうか、どのように判断するのでしょうか。まず、特定のプロセスが実行されているかをチェックします。
図4:実行中プロセスをチェックするコード
また、SystemInfoの文字列をチェックします。
図5:SystemInfoの文字列をチェックするコード
また、いくつかのシステムモジュールをチェックします。
図6:システムモジュールをチェックするコード
実行中のプロセスの特定の組み合わせや、いくつかのフォルダの存在、また、いくつかのフォルダにRAT本体があるかどうかのチェックが実行されます。
図7:さまざまなプロパティをチェックするコード
また、ファイル名の先頭に 6桁以上の数字があるかどうか、または、ファイル名が 35文字以上かどうかをチェックします。
これらはすべて、VM、またはセキュリティリサーチャが使用するさまざまな解析ツールを検知するためのチェックです。上記の条件のいずれかに当てはまると、マルウェアは自身を終了します。
RATが実行されると、次のコマンドが利用可能になります。
| コマンド | Usage |
| sleep | スリープ |
| Exit | 終了 |
| startminer | マイナーを開始 |
| closeminercommand | マイナーを終了 |
| instalminer | マイナーをインストール |
| url | URLを開く |
| cmd | コマンド実行 |
| update | マルウェアの更新 |
| download | ファイルのダウンロード |
ネットワーク通信方式も変更されていました。このRETADUP亜種は、HTTP GETリクエストを利用します。
図8:HTTP リクエスト
HTTP GETリクエストは、デコードすると以下になります。
- GET /0409-WIN_7-7601-X64-2355838296/1/1/0/0/empty
このリクエストの形式は次のとおりです。
– – –<プロセッサアーキテクチャ>–<ホームドライブのシリアル番号>/<ハードコードされたフラグ 1>/<プロセッサの数>/<ワームのウインドウ名(cpuspeedのウインドウ名と照合)フラグ>/<マイナーのプロセスのフラグ>/< “\worker\” ディレクトリの内容>
C&Cサーバからの応答は関数 BinaryToStringを利用して次のようにデコードされます。
- ok||||sleep-1800000-sleep
この応答の形式は次のとおりです。
- ok||||<コマンド開始><コマンドのパラメータ/引数/値><コマンド終了>
コマンド完了後のC&CサーバへのRATの応答は、次の2つのいずれかになります。
- MSG:!:<メッセージ + コマンド関連の情報>
- MSG:!:<エラーメッセージ>
RETUDUP には以下のC&CサーバのURLが含まれています。
- hxxp://hellothere[.]publicvm[.]com
- hxxp://hellothere[.]publicvm[.]com:3333
- hxxp://hellothere[.]publicvm[.]com:8090
- hxxp://noobminer[.]newblackage[.]com
- hxxp://noobminer[.]newblackage[.]:4444
- hxxp://noobminer[.]newblackage[.]:8090
RETADUPは、ドメイン名生成アルゴリズム(DGA)によって生成した以下のURLも利用します。
- hxxp://
.mdwnte.com:8090 - hxxp://
.newblackage.com:8090 - hxxp://
.publicvm.com:8090 - hxxp://
新しい亜種から削除されている機能は次のとおりです。
- キーロガー機能
- 画面キャプチャ機能
- パスワード収集機能
全体として、この新しいRETADUPの亜種は、諜報活動や情報窃取といった機能でなく、仮想通貨発掘の機能に力を入れたバージョンで、以前のバージョンに比べると「ライト版」のようなものと言えます。
■RETADUPの謎は残る
RETADUPはいまだ謎に包まれています。以前の標的はイスラエルの病院でしたが、そこから南米の政府系、エネルギー業界への転向は大きな変化です。アンダーグラウンドのサイバー犯罪コミュニティで提供されていないため、RETADUPにアクセス可能な攻撃者の数は、非常に限られています。 おそらく、信頼できる仲間うちに限られているか、もしかすると開発者自身だけが利用していることもあり得ます。
RETADUPには不明な点が多く残っています。例えば、侵入経路についてまだ確認されていません。また、攻撃者の目的もはっきりせず、その行動は矛盾しているように見えます。仮想通貨発掘は利益を得ることを目的としたもので、サイバー犯罪の典型的な動機といえますが、一方、選択された標的は、サイバー諜報活動の傾向を強く示しています。
トレンドマイクロは、この脅威を引き続き監視し、新たに得た情報について報告していきます。
侵入の痕跡(Indicators of Compromise、IoCs)
今回の事例に関連するハッシュは以下のとおりです。
RETADUP 亜種
- 774fe3d892d88a26d56227c4f47e04620505c22cfdfa64667f92479b0ede4397(WORM_RETADUP.D)
- 8cc79b28037126951090534ec862539295704e820193a2b3de3ffe3e3d157353(WORM_RETADUP.A)
- 940bef003d57e3ef78fb7dd9ed0bb528611164dd663db80aa6d875a8b8688ef4(WORM_RETADUP.A)
- a94ce5e29aebf8bd73fdfb48ccae845e6c0817f0412096830ab638c2238f60a8(WORM_RETADUP.B)
- ad2646755ea2d8c312d9635a452e2180299241f2b7f172bfa071f611b6461bac(WORM_RETADUP.A)
- adaffcb21f17057830ce8c60d1e852fe82035c153d6125aaed75a8b1d03e7518(WORM_RETADUP.A)
- c69811d8574fcc59e37fe2cbf0a31be4956ab81c3279bfb1351ff6da3417b4a7(WORM_RETADUP.A)
RETADUP のショートカットファイル(すべて「LNK_RETADUP.A」として検出)
- 6a6d74f9b35b24fdb7ad51d8f8aff1093823904461077702bb5ebfb93208266a
- 8ae488d18b46502ee03fead132cb10058b300e198d4a8e548fc0a6fb010984ee
- d67db90e2ffd91c6cd0a0a5825136d8f467fb10988051fda2857c9da2f69230e
- dc2ca3c0a4cefeabf954170bc31e0c2519d6cf914af88c5b8b91525a71da4352
- e1692348549adb3ce9ee6f616daa0470d28a656331405099b5667ab199cd7de5
- fc82882422d626c07f87dbb1586805d777d26f0118f4a79b7729a12057238796
参考記事:
- 「New RETADUP Variants Hit South America, Turn To Cryptocurrency Mining」
by Lenart Bermejo, Kenney Lu, and Cedric Pernet (Cyber Safety Solutions Team)
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)