日本の組織を狙うマルウェア「Thumtais」

ラックの石川です。

ラックの脅威分析チームでは、最新のサイバー攻撃に対処するため、日本の組織を標的とする多様な攻撃を日々調査しています。私たちは、2023年2月、日本のコンサルティング会社を対象とした標的型攻撃を観測しました。

この攻撃は、中国圏を拠点とする攻撃者グループによるものとみられ、Thumtais（別名：EAGERBEE）マルウェアやCython、Go、Nimといったプログラミング言語で開発された未知のマルウェアが利用されていました。Thumtaisは、Elastic Security Labsのブログ^※1の中で紹介されているマルウェアの1つですが、調査する過程で新たに確認したThumtaisは、マルウェアの機能が追加およびアップデートされていました。

そこで今回は、この新しいThumtaisと背後に潜む攻撃者グループについて紹介します。

※1 Introducing the REF5961 intrusion set -- Elastic Security Labs

攻撃の概要

Thumtaisは、IKE and AuthIP IPsec Keying Modules（IKEEXT）サービスを悪用したDLLハイジャックまたは正規のアプリケーションを利用して、DLLサイドローディングによって実行されます。図1は、DLLハイジャックを悪用して、このマルウェアが実行される一例です。以降では、DLLハイジャックによって読み込まれるThumtais Loaderを解説します。

Thumtais Loader

Thumtais Loaderは、Thumtaisを読み込み、実行するローダ型マルウェアです。シェルコードを内包するタイプと別ファイルから読み込むタイプの2種類あります。

シェルコードを内包するタイプ

シェルコードを内包するThumtais Loaderは、実行時に図2に示すように、内包されたシェルコードを確保したメモリ領域に展開後、Call命令を利用して展開されたメモリ領域を呼び出し、シェルコードを実行します。

シェルコードを読み込むタイプ

別ファイルからシェルコードを読み込むThumtais Loaderは、図3に示すような方法でシェルコードを読み込み、メモリ領域上に展開し、内部に持つタイプと同様に実行します。読み込むファイルは表1に示すものが対象となり、ワイルドカードが利用されている具体的なファイル名は、"FXAPIDebug.logs"や"iconcaches.mui"などを確認しています。

また、Thumtais Loaderは、対解析機能としてControl Flow Flattening（CFF）により処理フローが難読化されたものもあります。（図4）

2nd Stage Loader（シェルコード）

展開されたシェルコードは、最初にROR13アルゴリズムを利用してハッシュ値を計算後、その値に10を加算するAPI HashingでWindows APIを解決します。（図5）

マルウェア本体のThumtaisのコードは、LZNT1で圧縮された状態でシェルコードに埋め込まれています。このため、シェルコードは、図6に示すように、RtlDecompressBuffer APIを利用して、Thumtaisをメモリ領域上に展開後、当該ファイルのDLLEntryPointを呼び出し、実行します。

展開されたThumtaisはDLLファイルですが、PEファイルヘッダのマジックナンバーがMZやPEといった文字列ではなく、"FB FA"や"FD FC"に変更されていました。（図7）

Thumtais

Thumtaisは、Microsoft Visual C/C++で書かれたダウンローダ型のマルウェアであり、C2サーバからダウンロードしたDLLファイルをメモリ上で実行する機能を有します。脅威分析チームでは、このマルウェアが実行時に"thumtais2.dat"ファイルを操作することから、Thumtaisと命名しています。（図8）

図9は、Thumtaisをコンパイルタイムスタンプの情報を基にタイムラインで時系列にまとめたものです。このマルウェアは、2022年5月ごろから継続的に攻撃に悪用されていることが確認できます。

以降では、2022年11月以降のThumtaisに追加された新たな機能や新旧の変更点を紹介します。なお、ここでは、2022年11月以降のThumtaisを新検体、それより前のものを旧検体とします。

Windows Packet Divert（WinDivert）

新しいThumtaisには、オープンソースで公開されるWinDivert^※2が含まれていました。WinDivertは、Windows上でネットワークトラフィックを盗聴・操作することを可能にするツールであり、ユーザモードで動作するライブラリ"WinDivert.dll"とカーネルドライバである"WinDivert32.sys/WinDivert64.sys"の2つのモジュールで構成されます。

Thumtaisには、1つ目のライブラリとしてWinDivert バージョン2.2.1のソースコードをベースにカスタマイズされたDLLファイルが含まれており、このDLLファイルはThumtaisによってメモリ領域上に展開され、動作します。（図10）

※2 GitHub - basil00/Divert: WinDivert: Windows Packet Divert

2つ目のカーネルドライバは、前述するDLLファイルに含まれており、図11に示すように、実行時に感染端末の"%windir%¥Temp"配下にドロップし、インストールされます。なお、インストールされるカーネルドライバは、GitHubで公開されているWinDivert Version 2.2.0（WinDivert-2.2.0-C.zip）の"WinDivert64.sys"と同一のものでした。（図12）

Thumtaisは、このWinDivertを介して、図13に示す文字列を含むドメイン名のパケットをカーネルドライバで監視し、ユーザモードのDLLファイルで該当するDNSパケットの一部を0に書き換え、セキュリティ対策製品が利用する名前解決の通信を妨害します。書き換えの対象ドメイン名については、Appendixの書き換え対象ドメイン名を参照ください。

マルウェアの動作時間

Thumtaisには、GetLocalTime APIを利用した動作時間のチェック機能が実装されています。新検体では、旧検体とDayOfWeekの値が異なっていました。具体的には、新検体ではDayOfWeekが0-6（日曜日-土曜日）かつHourが0-23（00時から23時）の条件が設定されており、いずれの日時でも動作する設計です。（図14）

認証Proxy機能

Thumtaisは、Proxy経由でC2サーバへ通信する機能を有していますが、認証プロキシサーバからエラー（407 Proxy Authentication Required）応答があった場合の処理に新旧で違いがありました。新検体では認証プロキシに対応しており、図15に示すようなハードコードされたリクエストヘッダを利用して、C2サーバに通信をします。この通信では、User-Agentヘッダに"My Service Enpoint 1.0"が含まれているところが特徴的です。

他にもThumtaisには、C2サーバからダウンロードしたファイルコンテンツに意図する文字列が含まれるか確認する機能を有しています。この比較する際の文字列が旧検体では "zaq1xsw2cde3"でしたが、新検体では "a123456"または"z123456"と検体によって異なっている点もありました。

攻撃者グループの考察

次に、Thumtaisの通信先に目を向けると、マルウェアの種類やインフラなどの関連要素から"TA428"または"LuckyMouse"と呼ばれる攻撃者グループによる犯行である可能性が見えてきました。

図17は、ThumtaisがC2サーバとして利用する通信先を元に、Maltegoで関連する要素をマッピングしたものです。通信先であるC2サーバのIPアドレスに紐づくドメイン名がPhantomNetと呼ばれるマルウェアのC2サーバとして利用されていました。この紐づくドメイン名にC2通信を行うマルウェアを解析すると、PhantomNetが持つ特徴的な文字列"GetPluginInfomation", "GetRegisterCode", "GetPluginObject", "DeletePluginObject"が検体内に含まれていました。（図18）

また、このPhantomNetは、通信先の設定情報がRC4で暗号化されており、暗号キー"L!Q@W#E$R%T^Y&U*A|}t~k"で復号できます。（図19）

この暗号キーの文字列は、Albaniiutasマルウェアがデータをデコードする際に利用するものと同じであり、2つのマルウェアは、同一の開発者によって作成された可能性が伺えます。

その他、2022年5月で攻撃に悪用されたThumtaisは、利用されていたデコイファイルやインフラ、VirusTotalへのアップロード状況などを分析するとモンゴル政府関連の関係者を標的としたものであると推測でき、モンゴルを主な標的として狙う"TA428"と特徴が一致することもポイントとして挙げられそうです。

攻撃痕跡の確認と検出

今回紹介したThumtaisは、実行時にカーネルドライバをインストールするため、作成されるカーネルドライバの有無や、レジストリキーなどをチェックすることで、攻撃痕跡を調査することが可能です。以下にその痕跡を確認する方法を一例として紹介します。合わせてThumtaisを検出するための、Yaraルールも記載します。

カーネルドライバの確認

Thumtaisは「c:¥windows¥temp¥」配下に「tmpA8B4f6.tmp」としてカーネルドライバを作成するため、当該ファイルの有無を確認します。（図20）

Autoruns

Autorunsを利用して、自動起動アプリケーションやレジストリ、ファイルを監査し、不審なプログラムが登録されていないか確認します。Thumtaisは、Windivertカーネルドライバをインストールするため、自動起動エントリにWindivertが登録されます。また、実行ファイルのパスがSystemディレクトリ配下など正しい場所であるかを確認します。（図21）

Yaraルール

下記に示すようなYaraルールを利用することで、Thumtaisを検出することが可能です。なお、本検知ルールの利用により過検出が発生する可能性があるため、本番システムへ導入する場合は、事前にテスト、チューニングいただくことをお勧めします。

rule Thumtais {
meta:
	description = "Detects Thumtais malware"
	author = "LAC Co., Ltd."
 
strings:
	$str1 = "mstoolFtip32W" wide
	$str2 = "thumtais2.dat" wide
	$str3 = "iconcache.mui" wide
	$str4 = "iconcache1.tts" wide
	$str5 = "yuijlkhrbgeagf" ascii
 
condition:
    uint16(0) == 0x5A4D and (4 of ($str*))
}
    

おわりに

今回は、Thumtaisと背後に潜む攻撃者グループについて紹介しました。Thumtaisは、少なくとも2022年頃から機能をアップデートしながら攻撃に悪用されているマルウェアです。今後も、日本の組織を継続して攻撃してくる可能性も考えられますので、Thumtaisの活動を注視していく必要があると考えます。今回紹介したマルウェアの通信先やハッシュ値などについては、Appendixに記載していますので、対策にご活用いただければ幸いです。

ラックの脅威分析チームでは、今後もこの攻撃者グループおよび利用されたマルウェアについて、継続的に調査し、広く情報を提供していきます。

Appendix

書き換え対象ドメイン名

表2は、Thumtaisに含まれるWindivertによりDNS応答が書き換えられ、名前解決が不可になるドメイン名です。

IOC（Indicator Of Compromised）