新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool(RAT)」を悪用する、同様の手口を用いた攻撃を確認しました。
このRATとバンドルされているZoomインストーラは正規のものですが、「Zoomダウンロードセンター」や他の正規アプリストアなど公式のソースからではなく、不正なソースからダウンロードされたものです。なお、Zoomは4月27日に更新されており、現在バージョン5.0が公開されています。
多くのマルウェアは、不正な目的を隠蔽するために正規のアプリケーションを偽装します。このタイプの脅威が利用するアプリケーションはZoomだけではなく、他の多くのアプリケーションも利用されています。今回報告する例では、サイバー犯罪者が正規のインストーラをRAT「RevCode WebMonitor」と再パッケージ(リパック)し、これらのリパックインストーラを不正なサイトから頒布したと考えられています。
■解説
感染は、ユーザが悪質なサイトから不正なファイル「ZoomIntsaller.exe」をダウンロードすることから始まります。ダウンロードされるZoomInstaller.exeは、正規のZoomインストーラとRAT「RevCode WebMonitor」 が含まれるファイルです。
ZoomInstaller.exeが実行されると、Zoom.exeという自身のコピーを作成します。
次にZoomInstaller.exeはプロセスnotepad.exeを開き、作成したZoom.exeを実行します。
そして、URL 「dabmaster<省略>wm01.」に接続し、リモートの不正ユーザからのコマンドを実行します。以下は、そのコマンドの一部です(詳細については、脅威データベースを参照ください)。
- ファイルとレジストリ情報の追加、削除、変更
- 接続の終了
- ソフトウェアとハードウェアの情報を取得
- Webカメラのドライバー/スナップショットを取得
- 音声、キーストロークの記録
- プロセスとサービスの開始、一時停止、終了
- 画面ストリームの開始/停止
- ワイヤレスアクセスポイントの開始/停止
また、ファイル「Zoom.vbs」をWindowsのユーザスタートアップフォルダに作成し、システムが起動されるたびに自動実行されるよう変更します。ただし、解析の検知と妨害の機能を持っており、以下の条件では実行されません。
・デバッグツールまたはセキュリティツールに関連する以下のプロセスを検知すると実行されません。
- aswidagent.exe
- avastsvc.exe
- avastui.exe
- avgsvc.exe
- avgui.exe
- avp.exe
- bdagent.exe
- bdwtxag.exe
- dwengine.exe
- mpcmdrun.exe
- msmpeng.exe
- nissrv.exe
- ollydbg.exe
- procexp.exe
- procexp64.exe
- procmon.exe
- procmon64.exe
- windbg.exe
・以下の仮想環境で実行された場合、自身を終了します。
- カーネルベースの仮想マシン
- Microsoftハイパーバイザ
- Parallelsハイパーバイザ
- VirtualBox
- VMware
- Xen 仮想マシンマネージャ
・以下のファイル名に類似したファイルを検知した場合、自身を終了します。
- Malware
- Sample
- Sandbox
システムには最終的に正規のZoom バージョン4.6がダウンロードされるため、利用者には正常なインストーラのように見えます。しかしこの時点でシステムはすでに感染しています。
調査当初には、情報窃取型マルウェア「FAREIT」に似た動作が観察されました。しかし、さらに調査すると、遠隔操作に使用されるツールは市販のRATである「RevCode WebMonitor」を悪用したもの(「Backdoor.Win32.REVCODE.THDBABO」として検出)であることが判明しました。このRATは悪意のない遠隔管理ツールとして販売されていますが、サイバー犯罪との関連も指摘されています。2017年半ばからハッキングフォーラムで販売されていたことが報告されており、このRATを使用することで、感染させた端末を制御し、キー入力操作、Webカメラストリーミング、画面キャプチャによって諜報活動を実行することができます。なお、PastebinでこのRATを検知するためのYARAルールを確認することができます。
今回使用されたRATは実行されると以下の情報を収集し、HTTP POSTを介してURL 「hxxps://<省略>96/recv7[.]php」に送信します。
- バッテリー情報
- コンピュータ情報
- デスクトップモニタ情報
- メモリ情報
- ネットワークアダプターの設定
- OS情報
- プロセッサ情報
- ビデオコントローラ情報
■被害に遭わないためには
新型コロナウイルス(Covid-19)の世界的流行と、多くの国で今なお進行中の自宅隔離措置のために、企業はビデオ会議アプリなどを必要とする在宅勤務(テレワーク)を選択せざるを得なくなりました。ビデオ会議アプリは、次のベストプラクティスによって保護することができます。
- 正規のダウンロードセンターなど、公式ソースからのみダウンロードする。特に商用ソフトについて、非公式のダウンロードサイトは、不用意なユーザを欺くためにサイバー犯罪者によって設置されている可能性が高いことを覚えておきましょう。
- ビデオ会議アプリをセキュアにする。安全に利用するためには、会議のパスワードを設定する、会議情報を非公開にする、待機室機能を使用する、画面共有を「ホストのみ」に設定するなどの方法があります。
- 常に最新のバージョンに更新する。最新版は、攻撃者に狙われる恐れのある、ソフトウェアの脆弱性に対処されています。Zoomの利用者であれば、最新のバージョン5.0に更新してください。
■トレンドマイクロの対策
トレンドマイクロは、上記のベストプラクティスに加えて、以下のセキュリティソリューションを推奨します。
- Trend Micro Apex One™―巧妙化し続ける脅威に対して高度な検出と自動対処を提供します。
- Trend Micro XDR―AIの活用とお客さま環境からのデータとトレンドマイクロのグローバル脅威インテリジェンスを組み合わせることで、より的確かつ早期の脅威検出につなげることができます。
企業や組織は、多層的なアプローチをセキュリティに導入することによって、このような脅威からユーザを保護することができます。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
※調査協力:Raphael Centeno、Mc Justine De Guzman、Augusto Remillano II
参考記事:
- 「WebMonitor RAT Bundled with Zoom Installer」
By Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
