フェッチされた wbw.xml ファイルには、PowerShell コマンドが埋め込まれています。被害者のマシンでこのコマンドが実行されます。そのコマンドの詳細は、次のとおりです。

標的のマシンに「 1.ps1」という PowerShell スクリプトをダウンロードしようとします。その際に System.Net.WebClient.DownloadString というメソッドを使用します。また、Set-ExecutionPolicy Bypass フラグを使用して、ブロックされているものがないこと、および実行中にプロンプトや警告が生成されないようにします。 

次に 1.ps1 スクリプトは、xmrig.exe というクリプトマイナー実行ファイルと、 config.json ファイルをダウンロードします。このファイルには、暗号ウォレットアドレス、暗号プールエンドポイント、追加の構成設定など、マイナーが使用する設定情報が格納されています。 それに加えて、 1.ps1 スクリプト にも変数 $miner_name が含まれています。これには、暗号マイナー実行可能ファイル xmrig.exe の変更後の新しい名前が保管されます。 この場合には xmrig.exe の名前を「sysupdate」に変更したうえで、実行されます。 

次に 1.ps1 スクリプトは、 config.json ファイルとマイナーを更新するために、標的のマシン上で永続性を確立します。これは、 SchTasks.exeを利用することによって行います。これにより PowerShell から、ローカルまたはリモートマシン上でスケジュール済みのタスクを作成、削除、実行できるようになります。この SchTasks.exe の詳細については、 当社 Web サイトをご覧ください。スケジュール済みタスクの名前は「Update service for Windows Service」で、これもExecutionPolicy Bypass フラグを使用し、 実行中に警告やプロンプトが表示されないように、さらに -windowstyle 非表示フラグを非表示のままにしておきます。

Linux システムへの感染

このキャンペーンでは、複数の CVE を利用して RCE を実現し、Linux システムに感染します。Linux ペイロードには、クリプトマイナーを含む Kinsing マルウェアに加えて、リモートアクセス型トロイの木馬（RAT）もあります。標的となるサービスには、Oracle WebLogic Server、Redis、Apache Solr、PHPUnit、Supervisor XML-RPC などがあります。

Oracle WebLogic Server CVE-2020-14883 も、Linux システムにおけるこのキャンペーンに利用されます。ただし、Windows バージョンのこの脆弱性とは異なり（RCE は ClassPathXmlApplicationContext クラスを介して実行される）、Linux では FileSystemXmlApplicationContext クラスを介して実行されます。悪意のある XML ファイルは wb.xml と呼ばれ、bash スクリプトをダウンロードします。これは以前の、Windows 用の wbw.xml による PowerShell スクリプトのダウンロードとは異なります。

Linux システムでは、以下の表に示されているいずれかの CVE を使用して RCE を実現し、bash スクリプトファイルを標的のマシンにダウンロードすることで感染します。

bash スクリプトファイル名は、 s.sh、p.sh、sup.sh、d.sh、ex.sh、r.sh、spr.sh、tf.sh 、または wb.sh でそれぞれ異なりますが、いずれも動作はほぼ同じです。

bash スクリプトは、すでにシステムに存在する可能性のある、競合するマイナーをすべて停止し、セキュリティ機能とロギング機能を無効にします。次に、Kinsing マルウェア（Golang で作成）をダウンロードし、crontab を使用して永続性を確立し、クリプトをマイニングします。

標的のマシン上で実行されると、Kinsing マルウェアは、 kdevtmpfsi という 2 つ目のプロセス（xmig クリプトマイナー）を /tmp ディレクトリに作成して実行します。Kinsing マルウェアは常に kdevtmpfsi プロセスが、実行されていることを監視します。

コマンド & コントロール IP アドレスのデコード

このマルウェアは、 getActiveC2CUrlという関数を使用して、実行時に C2 IP アドレスをデコードすることで C2 サーバーと通信します。次に getActiveC2CUrl 関数は、RC4 ストリーム暗号を使用して、どちらもバイナリ内に格納されているプレーンテキストの 16 進データとプレーン・テキスト・キーの XOR を実行します。 

Golang バイナリ内での文字列の格納方法の性質により、すべての静的文字列が、基本的に互いに連結されて 1 つの大きな文字列 blob が生成されるため、プレーン・テキスト・キーと 16 進データは、大規模な文字列内で簡単に非表示にできます。 この getActiveC2CUrl 関数のリバースを実行すると、メモリー内の位置、およびキーと 16 進データの両方の長さが見つかります。

次に getActiveC2CUrl 関数 hex は C2 の 16 進データをデコードし、キーとともに、両方とも RC4という別の関数に渡されます。カスタム RC4 関数は、関数 func (c *Cipher) XORKeyStream(dst, src []byte) を、rc4 golang パッケージから内部的に使用し、C2 IP アドレスを生成します。

C2 の 16 進データとキーの両方が取得されたので、 getActiveC2CUrl 関数は、アクティブな C2 IP アドレスを計算するために、Golang でさらにリバースエンジニアリングおよびリライトします。

RAT の機能

Kinsing マルウェアには、リモートアクセス型トロイの木馬（RAT）機能があり、バイナリ内の doTask() という関数にあります。次に doTask 関数には、特定の入力に基づいて実行される、次のようないくつかの興味深い関数呼び出しが含まれています。

• runTaskWithScan()

• updateTask()

• startCmd()

• execTaskOut()

• masscan()

• socks()

• backconnect()

• runTaskWithHttp()

• downloadAndExecute()

これらの興味深い関数の 1 つ startCmd() は、標的のマシン上で任意のコマンドを実行できるようにします。

C2 の /get エンドポイントをヒットした結果、元の配信 IP 194.38.20.199 からダウンロードされる bash スクリプトは、 ph.sh と spre.shです。これらの 2 つのファイルは、前に説明した bash スクリプトの初期感染とは異なり、それぞれ異なる目的を持ち、追加の感染ベクトルが格納されています。

最初に ph.sh スクリプトを調べます。これは libsystem.so というルートキットを、 194.38.20.199/libsystem.so エンドポイントから、標的のマシン上にある既存の Kinsing マルウェアとは別にダウンロードします。次に、ph.sh スクリプトはこのルートキットを、次の場所にプリロードします。 /etc/ld.so.preload

次に ph.sh スクリプトは、最初のスクリプトによって以前に注入された既存の cron ジョブに加えて、2 つ目の永続化メカニズムも確立します。これは、ホストに定期的に再感染するシステムサービスを登録することによって行われます。

ph.sh スクリプトがインストールする libsystem.so ルートキットと、その内部の動作についの詳細は、この特定のルートキットについての Trend Micro の ブログ記事をご覧ください

2 番目の興味深い bash スクリプトファイルとして、C2 エンドポイントからの /get 応答によりフェッチされるのは、 spre.shです。その目的は、他のサーバーに感染を拡大することです。そのために、標的がアクセス権を持つホストの ssh 資格情報を見つけ、~/.ssh/config 、 ~/.bash_history、 .ssh/known_hostsを確認します。次に spre.sh スクリプトは、見つけて取得した資格情報を使用して、検出されたホストに ssh を試行し、それらを感染させます。

感染したマシンが命令を要求するもう 1 つの興味深い C2 エンドポイントは、 /mg エンドポイントです。感染したマシンが GET 要求を /mg エンドポイントに対して行うと、C2 はいくつかの文字で応答し、感染したマシンはすぐに 3 番目の IP アドレス 95.181.179.88 と通信を開始します。HTTP を介した JSON/RPC ペイロードの形式で、感染したマシンにマイニングコマンドを提供している役割をしているものと思われます。

実行すべきこと

このような脅威を緩和するために、システム上のプロセスを監視して、異常に高いリソース使用や、疑わしいネットワークアクティビティがないか調べることを推奨します。特定のプロセスで異常に高い CPU 使用率が見られる場合、暗号化アクティビティを示していることがあります。

さらに、システムの crontab に登録されている cron ジョブを頻繁にチェックして、cron ジョブが不明な IP アドレスと通信していないか確認することを推奨します。これは、Linux マルウェアが永続性を確立するための一般的な手法であり、ここで説明しているキャンペーンも例外ではありません。

Windows システムでは、SchTasks.exe/Query を使用して、PowerShell で同じ操作を実行する必要があります。これにより、このキャンペーンで作成された可能性があるスケジュール済みタスクが表示されます。また、Linux システムで実行されているプロセスをチェックし、kinsing または kdevtmpfsi という名前のプロセスが実行されていないこと、および sysupdate というプロセスが、Windows システムで実行されていないことを確認します。

可能な場合はシステムに強力な認証を追加します。脆弱なパスワードは簡単にブルートフォースされるおそれがあります。また、Oracle WebLogic Server、Redis、Apache Solr、PHPUnit、Supervisor XML-RPC など、ここで説明しているキャンペーンの標的となるサービスが、必要がなければインターネットに接続されていないことを確認します。これにより、それらのサービスが感染するリスクが大幅に軽減されます。たとえば、Redis インスタンスが内部システムでのみ使用されている場合、インターネットに接続する必要はありません。 

また、以下の IoC セクションに記載されている侵害の兆候（IOC）に照らしてシステムをチェックして、システムが未感染であると確認することも推奨します。 さらに、定期的にシステムにパッチを適用し、ベストプラクティスに従うようにします。

侵害の兆候（IOC）

IP

ファイル