# 標的型攻撃グループBlackTechが使用するマルウェア Flagproについて **[insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro](https://insight-jp.nttsecurity.com/post/102h7vx/blacktechflagpro)** Hiroki Hada 本日の記事は、SOC アナリスト 小池 倫太郎、小澤 文生 の記事です。 -- ## はじめに ----- BlackTechは2021年も引き続き活発に攻撃を続けており、日本企業を狙った攻撃が複数観測 されています。そうした攻撃の中で、新たなマルウェアが使用されており、私たちはそれを Flagproと呼んでいます。ここでは、Flagproの概要やタイムライン、詳細な解析結果を共有 します。 ## 攻撃の概要 Flagproは攻撃の初期段階で使用されるマルウェアで、攻撃環境の調査や2次検体のダウンロ ード・実行に使用されます。Flagproを用いた攻撃はおおよそ似通った形式で、攻撃はスピ アフィッシングメールから始まります。メールは標的組織に適した内容で、取引先などとの 連絡のように見せかけた文面となっており、攻撃者が事前に標的組織を調べ上げたことが分 かります。 メールにはパスワード保護されたアーカイブファイル(ZIPやRAR形式)が添付されてお り、メール本文にそのファイルを展開するためのパスワードが書かれています。アーカイブ ファイルには、xlsm形式のオフィスファイルが含まれています。xlsmファイルにはマクロが 仕込まれており、ユーザがそのマクロを有効化してしまうことでマルウェアが展開されま す。xlsmファイルに含まれているコンテンツは標的組織に適した内容であることがあり、一 見すると攻撃であることは気づきにくくなっています。 xlsmファイルに仕込まれたマクロが実行されると、スタートアップディレクトリにexeファ イルが作成されます。このexeファイルがFlagproです。多くの場合、ここで作成されるexe ファイルはdwm.exeという名前となっています。次にシステムが起動したとき、スタートア ップディレクトリに配置されたFlagproが実行されます。 FlagproはC&Cサーバと通信を行い、サーバからコマンドを受け取って実行したり、2次検体 をダウンロードして実行したりします。攻撃者は最初に環境調査を行い、Flagproの動作環 境が標的として適しているか調査します。適していると判断した場合、2次検体がダウンロ ード・実行されます。 ## タイムライン 私たちは防衛、メディア、通信に関わる複数の企業に対する攻撃でFlagproが使用されてい ることを確認しています。2020年10月にはオンラインサービスへ投稿されたサンプルが存 在しており、その時点で攻撃に使用されていた可能性があります。 ----- ## Flagproの機能 SOCでは、2021年7月に、従来のFlagproではみられなかった、MFC (Microsoft Foundation Class) ライブラリを使用して実装された新たなFlagproを確認しました。このFlagproに実装 されたクラスの中に、”CV20_LoaderApp”や”CV20_LoaderDlg”という名前のクラスが存在し ていました。このクラス名から、Flagproの役割がDownloaderであり、検体のバージョンが 2.0であることが推測されます。 本記事では、MFCが使用された当該検体をFlagpro v2.0とし、MFCが使用されていない従来 の検体を便宜上、Flagpro v1.0と呼称していきます。 Flagproに実装されている主要な機能は以下の通りで、Flagpro v2.0ではCV20_LoaderAppク ラスのメンバー関数の中に実装されていました。 ツールのダウンロードと実行 OSコマンドの実行と実行結果の送信 Windowsに保存された認証情報の収集と収集した情報の送信 Flagproは起動した後、基本的な動作として、C&Cサーバにコマンドをリクエストし、受信 したコマンドに従って、ツールのダウンロードと実行、OSコマンドの実行と実行結果の送 信、Basic認証などの認証情報の収集と収集した情報の送信を実行します。その後、一定の 時間待機した後、コマンドを再度リクエストし、この一連の動作を繰り返し実行します。 ツールのダウンロードと実行では、まず、ダウンロードしたファイルを %Temp%\~MY[09A-F].tmp というファイルパスで保存します。そして、保存したファイル名に拡張子 「.exe」を追記して実行します。 Flagpro v1.0では、外部サイトにアクセスした際に、「Windows セキュリティ」というタイ トルのダイアログが表示されていた場合、自動的にOKボタンを押下してダイアログをクロ ーズさせています。他に、「Windows 安全」や「Windows Security」といったタイトルの ダイアログに対しても同じようにクローズ処理が実施され、このことから、日本や台湾、英 語圏の国をターゲットとしていることが伺えます。Flagpro v2.0では、追加で、ダイアログ にユーザ名やパスワードといったログイン情報が記入されていることを確認してから、ダイ アログのOKボタンを自動的に押下させています。 ----- また、Flagpro v2.0で実装されたものですが、外部サイトにアクセスした際に、タイトルが 「Internet Explorer 7」から「Internet Explorer 11」までのダイアログが表示されていた場 合、該当するダイアログにWM_CLOSEメッセージを送信し、ダイアログを自動的にクロー ズさせています。 こうしたダイアログを自動的にクローズさせる機能は、Proxy認証の確認ダイアログが表示 されるなどといった、Flagproによる外部接続をユーザに気付かれてしまうリスクを低減さ せるために実装されたものだと推測されます。 Flagpro v2.0では、簡便な難読化として、以下のように、同じコードを繰り返し挿入し、重 要な処理をみえにくくしていました。 ## 受信コマンド C&Cサーバから取得したコマンドはBase64方式でエンコードされており、デコードする と、Flagpro v2.0の場合、以下のような形式となっていました。 Download Commandは、以下のように、2つのフラグとダウンロードファイルのURLパスで 構成されています。冒頭の文字列”Exec”は活動フラグになっており、これがDownload Command 1とDownload Command 2の両方に記載されていないとダウンロードやOSコマン ド実行、認証情報の収集といった主要な処理が実施されません。次の文字列”Yes”は実行フ ラグとなっており、これが記載されていないと、ダウンロードしたファイルは実行されませ ん。 ----- Time Intervalは次にコマンドをリクエストするまでの待機時間で、単位はミリ秒です。 実際に、C&Cサーバから受信したコマンド例を以下に示します。 ## C&C通信 Flagpro v1.0とv2.0によるC&Cサーバとの通信処理は、Internet ExplorerのCOMオブジェク トを使用して実装されています。C&Cサーバとの通信はHTTPプロトコルを使用していま す。 コマンドをリクエストする場合やOSコマンドの実行結果を送信する場合、そして、収集し た認証情報を送信する場合、それぞれ以下に示す特定のURLパスとクエリーでC&Cサーバに アクセスしにいきます。送信データはBase64方式でエンコードされ、URLパラメータの値 としてC&Cサーバに送られています。 アクセスの目的 **URLパスとクエリー** コマンドのリクエスト /index.html OSコマンドの実行結果の送信 /index.htmld?flag=[Encode Data] 認証情報の送信 /index.htmld?flagpro=[Encoded Data] ツールをダウンロードする場合は、サーバに設置されているファイルの名前に依存するた め、特定のURLパスはありません。 実際に、Flagpro v2.0がC&Cサーバと通信した際のトラフィック(コマンドのリクエスト) を以下に示します。 ----- 2021年7月時点で、レスポンスが必要となるコマンドリクエストやダウンロード以外のURL パスとクエリーでアクセスした場合、C&Cサーバは以下のようなレスポンスを返しました。 レスポンスボディには、意図は不明ですが、「Hello Boy!」と記載されていました。 ## 検知ロジック Flagproを用いた攻撃では、ネットワークおよびエンドポイントでの検知ロジックが有効で す。ネットワークによる検知の場合、Flagproが使用する index.htmld?flag=[Base64文字列] や index.htmld?flagpro=[Base64文字列] などの特徴的なURLパスを用いることができます。 エンドポイントにおける検知としては、FlagproがC&Cサーバからデータを取得するときに 使用される一時ファイルの命名規則 %TEMP%\~MY[0-9A-F].tmp や %TEMP%\~MY[0-9AF].tmp.exe を用いることができます。また、FlagproがC&Cサーバとの通信成立初期に実行 する調査コマンドも特徴となりえます。 ## おわりに ----- 2020年10月頃から、Flagproを使用した攻撃が日本に対して行われています。基本的に攻撃 の手法に変化はありませんが、標的に合わせてデコイファイルやファイル名を設定したり、 環境を注意深くチェックしたりと、巧妙な攻撃となっています。今後もBlackTechによる攻 撃には細心の注意を払う必要があるでしょう。 ## IoC 54e6ea47eb04634d3e87fd7787e2136ccfbcc80ade34f246a12cf93bab527f6b e197c583f57e6c560b576278233e3ab050e38aa9424a5d95b172de66f9cfe970 655ca39beb2413803af099879401e6d634942a169d2f57eb30f96154a78b2ad5 840ce62f92fc519cd1a33b62f4b9f92a962b7fb28c12d2f607dec0b520e6a4b2 ba27ae12e6f3c2c87fd2478072dfa2747d368a507c69cd90b653c9e707254a1d 45[.]76.184.227 45[.]32.23.140 139[.]162.87.180 107[.]191.61.40 org.misecure[.]com update.centosupdates[.]com -----