日本の企業であるインターネットイニシアティブ(IIJ)は、サイバー諜報グループDRBControlに帰属するとされる「Type 1 Backdoor」として知られるマルウェアの新たな亜種を観測したと報告しました。分析によれば、攻撃では高度で多段階のローディングチェーンが用いられており、バックドア自体もこれまでに文書化されたサンプルと比べていくつかの顕著な変更が加えられています。
DRBControlは、2020年に初めて明らかになったAPTグループです。当時、研究者は同グループを、賭博業界などを標的とするサイバー諜報キャンペーンの運用者として説明し、APT41およびAPT272との関連の可能性を示唆しました。IIJの最新の調査結果は、その後の数年間にわたって同グループの活動が継続していた可能性を示しています。
調査では、台湾からwlbsctrl.dllという名称でVirusTotalにアップロードされた不審なDLLに分析者が注目しました。このファイルは正規のWindowsライブラリを装っており、DLLサイドローディングによって実行された可能性が高いとみられます。エクスポート関数が呼び出されると、ファイルはntuser.iniからデータを読み取り、それをwinlogon.exeプロセスにインジェクトし、そのコンテキスト内でコードを実行しました。このコードは、研究者がMofu Loaderの亜種と考えるシェルコードで構成されていました。
実行されると、このシェルコードは主要なWindows APIのアドレスを動的に解決し、埋め込まれたデータを復号して展開(アンパック)し、次の段階へ制御を渡しました。次段は、意図的に破損させたPEヘッダーを持つType 1 BackdoorのDLLでした。この手法に加え、暗号化アルゴリズムやAPI使用の類似性により、IIJは発見されたローダーを高い確度でMofu Loaderファミリーに関連付けました。Mofu Loaderは過去に他のRATの配布に用いられており、複数のAPTグループが実施したキャンペーンでも確認されています。
Type 1 Backdoor自体は、C++で書かれた成熟したリモートアクセス型トロイの木馬(RAT)であることが判明しました。従来のバージョンと比べ、新たな永続化メカニズムが導入されています。レジストリの自動実行キーを改変するのではなく、マルウェアは各ユーザーのスタートアップフォルダーにショートカットをコピーし、ログオン時の実行を確実にします。研究者はまた、設定データを取得する異例の方法も特定しました。バックドアはプロミスキャスモードで特別に細工されたネットワークパケットを傍受し、そこからC2サーバーのアドレスや通信パラメータを抽出できます。この手法により、そうしたデータをファイル内に保存する必要がなくなり、解析が大幅に困難になります。
コードベースには、正規のMicrosoftオンラインサービスを介して設定を取得することを意図した痕跡も含まれていましたが、調査時点ではこの機能はすでに有効ではありませんでした。同様の手法は、APT41やShadowPadに関連するマルウェアで過去に観測されています。
構造解析により、モジュール式の設計が明らかになりました。いくつかの機能が削除される一方で、リモートデスクトップ機能やネットワークトンネリングなど、他の機能が追加されていました。キーロギングおよびクリップボード監視を制御するロジックも改訂され、取得したデータはシステムファイルを装って保存され、独自のアルゴリズムでエンコードされるようになっています。
IIJは、Type 1 Backdoorのバージョン間の差異は通常の更新のようには見えず、むしろ特定の目的に合わせてマルウェアを調整できる柔軟なアーキテクチャを示唆していると強調しています。DRBControlが複数年にわたり作戦を実施してきた可能性を示す兆候があることから、専門家は組織に対し警戒レベルを高め、新たに特定された侵害指標(IoC)を防御戦略に取り込むよう促しています。
