はじめに

2020年2月、私達はAPT攻撃グループ”TA428”による攻撃キャンペーン”Operation LagTime IT”についてリサーチを行っていました。攻撃者は私達の監視しているシステムに侵入し、様々な侵害活動を行いました。彼らはPoison IvyやCotx RATを使ってコンピュータのコントロールを得た後、更に侵害を深めるために横展開を行いました。攻撃者はEternal Blueを悪用して同一ネットワーク上のいくつかのホストに移動することに成功すると、そのうちの1つのホスト上で興味深いマルウェアを動かし始めました。PDBに Tmanger と書かれたRATは今までに見たことがない未知のマルウェアでした。

このときの侵害について、極めて詳細な調査結果をVB2020 localhostにて発表しました[1]が、ここでは全3回に分けてTmangerとそれに関連すると思われるマルウェアについて紹介します。第1回目である今回はTmangerを扱います。

Tmanger

TmangerはTA428によって利用されているRATです。図 1に示すように、PDBにTmangerと書かれていたことから、私たちはそう呼んでいます。Tmangerはおそらく Tmanager の打ち間違いです。次回以降の記事で紹介しますが、Tmangerに関連すると思われるものに Smanager というマルウェアが存在することが理由の1つです。このマルウェアの作者は意図しているのかは分かりませんが、このような打ち間違いが他にもいくつか見られます。例えば Entery や Waston という文字列もその1つです。

図1 TmangerのPDB情報

Tmangerは非常に活発に開発が続いており、関連すると思われる検体も存在します。Tmangerは私達が観測した攻撃以外にも、TA428の本来の標的であるモンゴルや、一帯一路政策に関わるベトナムに対しても利用されている可能性があります。

TA428はTickやTontoなどの他のAPTグループとRoyal Road RTF Weaponizerを共有していることが報告されています[2][3]が、Tmangerも他のAPTグループと共有されている可能性があります。しかし、その明確な証拠は発見していません。

Analysis Result

私達はTmangerをバージョン1.0 ~ 4.5まで観測しています。基本的にTmangerは SetUp、MloadDll、Client の3つのパートから成ります。それぞれのパートでいくつかの挙動バリエーションがありますが、基本的な役割は以下のとおりです。

名称はそれぞれのEXEやDLLの内部名やPDBから付けており、攻撃者も私達の分類と同じように扱っていると考えられます。それでは、それぞれについて詳しく見ていきましょう。

SetUp

MloadDllやClientにも存在する挙動ですが、はじめにCreateEventで特定のイベント名を作成し、その成功の可否で挙動を変えます。成功した場合は実行を継続しますが、失敗した場合はその時点で終了します。これは多重起動を防ぐ目的であると考えられます。このとき、イベント名は様々ですが、私達が観測した全てのTmangerは以下の正規表現を満たします。

/[0-9a-f]{8}-[0-9a-f]{4}-4551-8f84-08e738aec[0-9a-f]{3}/

次に、IsUserAdminでユーザの権限を確認します。これ以降、Adminの場合とそうではない場合で処理が分岐します。Adminの場合とそうではない場合で、永続化の方法が異なっています。

Adminの場合

まず、XOR 0x88で以下のようなデータをデコードします。これらは後でサービス登録を行う際に使用されます。

• DFS Replication
• FTP Publishing Service
• ReadyBoost
• Software Licensing
• SL UI Notification Service
• Terminal Services Configuration
• Windows Media Center Extender Service
• Windows Media Center Service Launcher
• SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
• netsvcs
• %SystemRoot%\System32\svchost.exe -k netsvcs
• MACHINE\SYSTEM\CurrentControlSet\Services\

その後、同様にXOR 0x88でデータをデコードし、得られたAPIを解決します。

• RegOpenKeyEx
• RegQueryValueEx
• OpenSCManager
• RegOpenKeyExA
• RegQueryValueExA
• RegSetValueExA
• GetSystemDirectoryA
• RegCloseKey

次に、deflateされているデータをinflateし、ランダムな4文字から成るファイル名でSystem32にDLLとして保存します。このDLLはMloadDllです。

再びXOR 0x88でAPI名をデコードし、解決します。これによって解決されたAPIはCreateServiceAです。さらに、同じ方法で以下のデータを得ます。

• SYSTEM\CurrentControlSet\Services\
• Description
• DisplayName
• ServiceDll
• \Parameters

これまでにデコードした文字列を使って、先程System32に作成したDLLをサービスとして登録します。最後に、そのサービスを起動します。

Adminではない場合

はじめにTempディレクトリにRahoto.exeというファイルがあるか確認します。存在しない場合、自分自身をRahoto.exeという名前でTempディレクトリにコピーし、レジストリのCurrentVersion\Runを使って自動起動の設定を行います。

その後、MloadDllとして動作します。

MloadDll

MloadDllはEnteryとServiceMainがエクスポート関数として実装されています。ServiceMainから実行された場合でも、最終的にEnteryが実行されるため、基本的な挙動は同一です。

はじめに図 2のようにRC4の鍵データを生成します。この処理はTmangerで共通するものです。

図2 暗号鍵を生成する処理

鍵データを生成すると、それを使ってconfigデータを復号します。図 3のように、configデータにはC&Cサーバーのアドレスとポート番号が含まれています。

図3 configデータ

その後、deflateされているデータをinflateします。それによって得られるデータがClientです。最後に、Clientのエクスポート関数であるcallfuncを呼び出します。

Client

CreateEventなどの処理を行った後、以下のような端末情報を収集します。

• OSやアーキテクチャ情報
• ドライブ情報
• ホスト情報
• ユーザ情報

その後、スレッドが作成され、一連のループを繰り返します。はじめに、ソケットを作成し、成功するとCreateMutexで以下のMutexを作成します。

• sock_hmutex
• cmd_hmutex

次に、C&Cサーバーとの接続が確立するかチェックを行います。接続できた場合、C&Cサーバーからのコマンド操作を待ちます。コマンドのリストは以下のとおりです。

トラフィックはRC4によって暗号化されていますが、それをデコードすると図 4のような構造になっています。

図4 トラフィックの構造

デコード後のデータの先頭に存在するIDはプロセスIDから生成されます。生成処理は以下のとおりです。

このIDによってプロセスとトラフィックを管理しています。

ツール

TmangerがC&Cサーバーと通信する際、データは暗号化されています。私達はそれをデコードし、トラフィックをパースするツールを作成しました。関連するマルウェアの解析やインシデント調査にご活用ください。

https://www.nttsecurity.com/ja-jp/Resources

さいごに

今回はTA428がOperation LagTime ITの中で使用したTmangerというRATについて紹介しました。Tmangerは活発に開発が行われており、いくつかの関連マルウェアも存在します。今後もTmangerの動向を注視していくべきでしょう。次回はTmangerに関連すると思われるマルウェアAlbaniiutasについて紹介します。

IOC

C&Cサーバー

• 172[.]105.39.67
• 136[.]244.82.179

ファイル情報

参考文献

[1] VB2020 localhost, Operation LagTime IT: colorful Panda footprint
[2] Proofpoint, Chinese APT “Operation LagTime IT” Targets Government Information Technology Agencies in Eastern Asia
[3] nao_sec, An Overhead View of the Royal Road