最近の脅威ハンティング活動において、奇妙なホームページを持つウェブサイトを通じて「EtherRAT」マルウェアが配布されていることを発見しました。このホームページを調査した結果、マルウェア、悪意のある文書、リモートデスクトップソフトウェア、およびフィッシングページを配布する大規模な悪意のあるインフラストラクチャの存在が明らかになりました。

EtherRATはNode.jsで開発されたRATであり、攻撃者がマシンを完全に制御し、コマンド＆コントロール（C2）サーバーから返される任意のコードを実行することを可能にします。このマルウェアは、C2サーバーを取得するためにイーサリアムブロックチェーンを利用しており、その名前に「Ether」が含まれているのはそのためです。 EtherRATは通常、MSI、PowerShell、またはJavaScriptスクリプトを介して配布されます。

EtherRATを配布しているオープンディレクトリ：すべてはここから始まった

脅威ハンティングの過程で、MSIインストーラーやPowerShellスクリプトを配布し、最終的にEtherRATを拡散させていた公開ディレクトリを発見しました。分析した事例では、PowerShellスクリプトとMSIインストーラーは「/install」フォルダから配布されていました。バージョン番号はv1からv10まで順次付けられています。

図1：EtherRAT MSIをホストするOpen Directory — *Open DirectoryがEtherRAT MSIをホストしています*

表示されたホームページが私たちの目を引き、そのキャンペーンについてさらに詳しく調べてみるきっかけとなりました。

EtherRATの配布に関連するドメインおよびIPアドレスを分析した結果、ハッキング風のテーマを採用した他の類似したホームページを検出した。これらは、フィッシングやリモートコントロールソフトウェア、その他のマルウェアも配布している、より大規模な配布チェーンに属しているようである。これらのウェブサイトには通常、マルウェアやフィッシング関連のコンテンツを含む複数のフォルダが存在し、表示される内容は具体的な感染経路によって異なる。

同じIPアドレスに解決される複数のウェブサイトでは、これまでに架空の企業に関するページやデフォルトのテンプレートが表示されていた。したがって、これらの新しいページを利用することは、自動スキャナーや研究者による検出を困難にする手段となり得る。以下に、私たちが発見したホームページの一部を挙げる：

EtherRATは、コード行数が少なく、C2サーバーから返される任意のコードを実行できるという点で興味深いRATです。さらに、イーサリアムブロックチェーンを利用してC2サーバーを取得するため、インフラの停止に対してより高い耐性を備えています。

EtherRATのテクニカル分析

検出されたウェブサイトでは、通常、「v1.msi」や「v2.ps1」といったバージョン名が付いたMSIファイルやPowerShellスクリプトが配布されています。

MSIローダー

「v9.msi」というMSIファイルには、以下の3つのコンポーネントが含まれています：

MSIファイル名	説明
KmPuGimn.cmd	BATランチャー
cDQMlQAru0.xml	最初のJScriptローダー
MRaQCipBIZeiZNx.log	暗号化されたEtherRAT

MSIが実行されると、「KmPuGimn.cmd」ファイルが起動されます：

conhost --headless cmd /c "KmPuGimn.cmd"

この難読化されたBATファイルは、さまざまな処理を実行します：

%LOCALAPPDATA%内の任意のフォルダに、その他のファイルを抽出します。
以下の方法で自身を再実行します：
- %SystemRoot%\System32\conhost.exe –headless %SystemRoot%\System32\cmd.exe /c call “C:\Users\{user}\AppData\Local\{random_path}\KmPuGimn.cmd” nKWa
「where node」コマンドを実行して、既存のインストール場所を確認します。
Node.jsが見つからない場合は、ダウンロードします
- 「curl -sLo」を使用して、公式サイトからNode.jsをダウンロードします。
- 「tar -xf」コマンドを使用して、インストール先ディレクトリに展開します。
- 抽出されたディレクトリの名前を「28Q75h」に変更します。
「MRaQCipBIZeiZNx.log」と「cDQMlQAru0.xml」の両方が存在するまでループし、その後、以下を実行します：
- conhost.exe –headless C:\Users\{user}\AppData\Local\{random_path}\{random_path}\node.exe cDQMlQAru0.xml

実行された「cDQMlQAru0.xml」は、XOR関数を使用して埋め込まれたコードを復号化し、その後「vm.compileFunction」でそれを実行するローダーである。

decrypted[i] = (encrypted[i] - key[i % key.length] - i) & 0xFF

復号されたコード：

Copies node.exe in “C:\Users\{user}\AppData\Local\{random_path}\{random_path}\_MJlLlt5.exe”.
「conhost.exe –headless」の動作を永続化するためのレジストリキーを追加します。
「MRaQCipBIZeiZNx.log」を復号し、「_MJlLlt5.exe」の標準入力として実行する。

この復号アルゴリズムは、XOR、バイト回転、およびアキュムレータに基づいた、独自のストリーム型デコードルーティングです：

for e in range(len(data)): 
    byte = data[e] 
    g = prev 
    prev = byte 
    byte = (byte - g) & 0xff 
    byte = byte ^ n[e % len(n)] ^ ((e >> 8) & 0xff) 
    byte = si[byte] 
    byte = (byte - k[e % len(k)]) & 0xff
    result[e] = byte

最後の段階は、EtherRATを展開することです。EtherRATを使用することで、攻撃者は以下のことが可能になります：

C2サーバーから受信した任意のJavaScriptコードを実行する。これにより、攻撃者は新たなコマンドの実行、ファイルやフォルダに対する操作、レジストリの変更、およびデータの持ち出しが可能となる。
イーサリアムブロックチェーンを利用した新しいC2サーバーを入手してください。
自身を再難読化する。
ログを「svchost.log」に保存してください。

EtherRATは、イーサリアムの「eth_call」JSON-RPCメソッドを使用して、イーサリアムメインネット上のスマートコントラクトからアクティブなC2 URLを取得します。

この場合のブロックチェーンのパラメータは以下の通りです：

契約ID: 0x88ea8d0bc4146f0a018e989df3fd089ac48f9a58
関数セレクタ: 0x7d434425
引数: 0xf6a772e163e64b07f658946f863b5d457d88f9f0

C2サーバーのエンドポイントを取得するためにアクセスされたURLは以下の通りです：

mainnet.gateway.tenderly.co
rpc[.]flashbots[.]net/fast
rpc[.]mevblocker[.]io
eth-mainnet[.]public[.]blastapi[.]io
ethereum-rpc[.]publicnode[.]com
eth[.]drpc[.]org
eth[.]merkle[.]io

ポーリングリクエストでは、コード内で定義されたパラメータに基づいてランダム化されたURLパターンが使用されます：

GET /api/<4-byte-hex>/<victim-uuid>/<4-byte-hex>.<ext>?<param>=<build-id> 
X-Bot-Server: <c2_url>

分析対象のサンプルにおけるパラメータは以下の通りです：

ビルド ID: “6f816d80-0d6c-4384-9cd6-6b79965fc08f”
拡張子：「png」、「jpg」、「gif」、「css」、「ico」、「webp」の中からランダムに選択されます。
param: 「id」、「token」、「key」、「b」、「q」、「s」、「v」の中からランダムに選択されます。

起動後、RATは自身のソースコードをC2サーバーに送信する。C2サーバーは、新たに難読化されたスクリプトを返信し、それがディスクに書き戻されるため、実行のたびに新しいファイルハッシュが生成される。

POST /api/[REOBF_PATH]/<victim-uuid> 
Body: { "code": "<current_script_contents>", "build": "<build_id>" }

EtherRATの実行後、環境を確認するために、侵害後にcmd.exeでさまざまな活動が行われているのを確認しました。例えば：

powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_VideoController).Name”
reg query “HKLM\SOFTWARE\Microsoft\Cryptography” /v MachineGuid
powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).Domain”
powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).PartOfDomain”
cmd.exe /d /s /c “net session”

PowerShell ローダー

PowerShellローダーが行う処理は、MSIインストーラーのJSスクリプトの最終段階と非常に似ています：

Node.jsがインストールされていない場合は、ダウンロードします。
必要なディレクトリを作成してください。
カスタム復号アルゴリズムを使用してEtherRATを復号する。
conhost.exe と復号済みの EtherRAT ペイロードを使用して Node.js を実行する。

これらのウェブサイトにホストされているPowerShellローダーのいくつかの亜種を確認しました。具体的には、分析したPowerShellスクリプトにおいて、関数名や復号化関数が変更されていることが判明しました。

悪意のあるインフラの追跡

「ハッキング」をテーマにしたページを掲載しているさまざまなウェブサイトを分析したところ、過去には多くのサイトが特定のパスに複数のフィッシングページをホストしていたことが判明しました。例えば：

/zht/sharep-redirect.html
/bl/me.php
/t/チーム
Windows.php

これらのドメインやIPアドレスは、実際にはマルウェア、フィッシング、悪意のある文書、およびリモートソフトウェアを配布する、はるかに大規模なインフラストラクチャの一部であるようです。これらのインフラストラクチャは複数の脅威アクターによって共有されており、各アクターがキャンペーンに応じて異なるURLエンドポイントを起動している可能性があります。

興味深いことに、過去にこの悪意のあるインフラストラクチャに関連していたドメインの大部分も、「Bulletproof Infrastructure」サービスに関連するHTMLページを表示していた。

調査の結果、こうしたフィッシング攻撃は通常、PDFやExcelファイルなどのドキュメントが添付されたメールから始まることが判明しました。これらのドキュメントには、別のドキュメントを表示するためにリンクをクリックするようユーザーに促す内容が含まれています。以下に、メールに添付されていたフィッシング用ドキュメントの例を2つ示します：