マルウェア

Pythonを使ったPWOBotが欧州の諸機関を標的に

Clock Icon 2 min read

This post is also available in: English (英語)

Palo Alto Networksの脅威インテリジェンスチームUnit 42によって「PWOBot」という名前のマルウェア ファミリの最新バージョンが発見されました。

PWOBotは全体がPythonで記述されておりPyInstallerを介してコンパイルされてMicrosoft Windowsの実行形式ファイルを生成する他に例を見ないマルウェアです。このマルウェアが欧州、特にポーランドを拠点とする多数の機関に影響を及ぼしていることが確認されています。また、このマルウェアはポーランドで人気のファイル共有Webサービスを介して配信されています。

このマルウェアは、豊富な機能を備えており、ファイルをダウンロードして実行する、Pythonコードを実行する、キー操作を記録する、HTTPサーバを生成する、被害者のCPUとGPUを介してBitcoinマイニングを行うなどの機能があります。

PWOBotの亜種は少なくとも12個あり、2013年からこのマルウェアによる攻撃が観測されています。また、最近、2015年の中頃から終わりにかけて諸機関に影響を及ぼしていることが観測されています。

標的

この1年間で以下の諸機関がPWOBotの影響を受けていることが観測されています。

  • ポーランドの国立研究機関
  • ポーランドの運送会社
  • ポーランドの大手小売業
  • ポーランドの情報技術機関
  • デンマークの建築会社
  • フランスの光学機器業者

PWOBotのサンプルの大多数は、ポーランドで人気のあるファイル共有Webサービスchomikuj.plからダウンロードされました。以下の一意的なURLからPWOBotのコピーが提供されていることが観測されています。

s6216.chomikuj[.]pl/File.aspx?e=Pdd9AAxFcKmWlkqPtbpUrzfDq5_SUJBOz
s6102.chomikuj[.]pl/File.aspx?e=Hc4mp1AqJcyitgKbZvYM4th0XwQiVsQDW
s8512.chomikuj[.]pl/File.aspx?e=h6v10uIP1Z1mX2szQLTMUIoAmU3RcW5tv
s6429.chomikuj[.]pl/File.aspx?e=LyhX9kLrkmkrrRDIf6vq7Vs8vFNhqHONt
s5983.chomikuj[.]pl/File.aspx?e=b5Xyy93_GHxrgApU8YJXJlOUXWxjXgW2w
s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3FdOGBKSSUQhl
s6701.chomikuj[.]pl/File.aspx?e=tx0a8KUhx57K8u_LPZDAH18ib-ehvFlZl
s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3ISlGKLuMnr9H
s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3OFFAuDc0M9m0
s6179.chomikuj[.]pl/File.aspx?e=Want-FTh0vz6www2xalnT1Nk6O_Wc6huR
s6424.chomikuj[.]pl/File.aspx?e=o_4Gk0x3F9FWxSDo4JWYuvGXDCsbytZMY

さらにある事例ではhttp://108.61.167.105/favicon[.]pngからこのマルウェアがダウンロードされました。このIPアドレスはtracking.huijang[.]comドメインと関連しており、このドメインも多くのPWOBotサンプルが利用していました。

以下のファイル名がPWOBotの配信に使われていることが観測されました。

  • favicon.png
  • Quick PDF to Word 3.0.exe
  • XoristDecryptor 2.3.19.0 full ver.exe
  • Easy Barcode Creator 2.2.6.exe
  • Kingston Format Utility 1.0.3.0.exe
  • uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe
  • Six Sigma Toolbox 1.0.122.exe
  • Fizjologia sportu. Krtkie wykady.exe [Physiology of sports. Short lectures.exe]

使われているファイル名から分かるように、多数のPWOBotサンプルがさまざまなユーティリティ プログラムと称されています。一部の事例では攻撃目標をさらに絞ったものと見られるファイル名にポーランド語が使われています。

このマルウェアが最初どのようにしてエンド ユーザーに配信されたのかは不明です。観測されたファイル名に基づき、別のソフトウェアをダウンロードしているエンド ユーザーに、このマルウェアが配信されたものと推測できます。あるいは、これらのファイルをダウンロードするよう被害者を誘導するためにフィッシング詐欺が使われた可能性があります。

マルウェア分析

はじめに述べたようにPWOBotは全てPythonで書かれています。攻撃者はPyInstallerを利用してPythonコードをMicrosoft Windowsの実行形式ファイルに変換していますが、Pythonが使われているためLinuxやOSXなどの他のオペレーティング システムに容易にPWOBotを移植することができます。

最初の実行に際に、PWOBotは旧バージョンが見つかった場合、まず旧バージョンをアンインストールします。PWOBotはRunレジストリー キーを照会して旧バージョンのインスタンスを検索します。多くのバージョンで、Runレジストリー キー用に「pwo[VERSION]」の書式が使われますが、[VERSION]はPWOBotのバージョン番号を表します。

 

図1 旧バージョンをアンインストールするPWOBot
図1 旧バージョンをアンインストールするPWOBot

旧バージョンがアンインストールされるとPWOBotは自分自身をインストールし下記の場所に実行形式ファイルのコピーを作成します。

%HOMEPATH%/pwo[VERSION]

その後、新たにコピーされたこの実行形式ファイルを指し示すよう下記のレジストリー キーを設定します。

HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/pwo[VERSION]

マルウェアが初めて起動される場合、PWOBotは新たにコピーされたファイルを新しいプロセスの中で実行します。

インストールの完了後、PWOBotは、後続のキーロギング アクティビティで使用されるさまざまなキーボード イベントとマウス イベントをフックします。PWOBotはモジュラー形式で記述されているため、攻撃者は実行時にさまざまなモジュールを含めることができます。現在識別されている多数のサンプルに基づくと、PWOBotとともに、次のサービスとそれに付随する説明が含まれるパターンが観察されています。

  • PWOLauncher :ファイルのダウンロード/実行、またはローカル ファイルの実行
  • PWOHTTPD :被害者のマシン上でのHTTPサーバの生成
  • PWOKeyLogger :被害者のマシン上でのキーストロークのロギング
  • PWOMiner :被害者のCPU/GPUを使用したビットコインのマイニング
  • PWOPyExec :Pythonコードの実行
  • PWOQuery :リモートURLをクエリし、結果を返す

また、PWOBotは2つの設定ファイルを備えており、一方はマルウェアが使用する必要のある各種設定を指定し、もう一方はPWOBotが実行時に接続する必要のあるリモート サーバを指定しています。

図2 PWOBot設定値の設定
図2 PWOBot設定値の設定
図3 PWOBotリモート サーバの設定
図3 PWOBotリモート サーバの設定

設定値の設定(図2)からわかるとおり、PWOBotには、攻撃者がPyInstallerを使用してコードをコンパイルしたときにインクルードされる、さまざまなWindows実行ファイルが含まれています。これらの実行ファイルは、ビットコイン マイニングとTorを介したプロキシ宛てのリクエストを実行するために使用されます。ビットコイン マイナーは、minerdとcgminerのコンパイル版です。これらのファイルは、それぞれCPUとGPUのビットコイン マイニングに使用されます。

また、PWOBotは、Torを使用して、すべてのトラフィックを攻撃者のリモート サーバへトンネルさせます。これは暗号化と匿名性の両方を提供しますが、組織のポリシーに違反する可能性のあるトラフィックのようなものとして認識された場合には、その組織のネットワーク管理者へのアラートを発生させます。

PWOBotは、それがネットワーク プロトコルであるかのようにPythonディクショナリを使用します。指定された期間ごとに、PWOBotはリモート サーバに通知メッセージを送信します。この通知の例を以下に示します。

前の例で見つかったさまざまな数値を表すように列挙されています。対応する列挙で置き換えると、どのデータを送信しているのかをより明確に把握できます。

通知が送信された後、攻撃者が、PWOBotに事前定義されたサービスのいずれかを実行するようにコマンドを送る場合があります。その後、そのアクションの結果が同じ形式を使用して攻撃者にアップロードされます。

Palo Alto Networks Unit 42によって識別された最新のバージョンに基づくと、PWOBotには合計12の亜種が存在すると思われます。12バージョンのうち、ネット上で私たちが目撃したのは、5、6、7、9、10および12です。バージョン間の変更は極わずかで、パフォーマンスが改善されているようです。

結論

PWOBotは、完全にPythonで記述されている、マルウェア ファミリとして興味深い存在です。歴史的にはMicrosoft Windowsプラットフォームに影響すると見られてきましたが、基盤となるコードがクロスプラットフォームになって以来、LinuxやOSXオペレーティング システムへも容易に移植できます。その事実とモジュラー設計が相まって、PWOBotは潜在的に深刻な脅威となっています。

このマルウェア ファミリは、これまで公表されていませんでした。現在、ヨーロッパにおいて多数の組織が影響を受けています。

Palo Alto Networksのお客様は、次の方法で脅威から保護されています。

  • すべてのPWOBotサンプルは、WildFireサービスによって、悪意あるものとして厳密に分類されます。
  • PWOBot脅威に関連するドメインは、悪意あるものとして適切に分類されます。
  • AutoFocusのお客様は、PWOBotタグを使用して、この脅威を監視できます。

PWOBotのSHA256ハッシュのリストについては、こちらのファイルを参照してください。

Tags

目次

関連記事

関連項目 マルウェア リソース

Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
An open laptop with a red target on the screen.
category icon脅威リサーチ

悪意のある OneNote サンプルのペイロードの傾向
今すぐ読む Right arrow
A mobile phone with technical details on screen. It is sitting on a glowing circuit board.
category icon主なサイバー脅威

[2024-05-21 09:55 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow