新マルウェアAnarchy Panelがダークウェブで販売中　｜概要と仕組み

• LINEで送る
• Tweet
• 

2023年1月、Anarchy Panelなるマルウェアが複数のダークウェブ・フォーラムに出現しました。
英語圏およびロシア語圏のダークウェブ・フォーラムでAnarchy Panelの販売に関する投稿を行ったのは、それぞれR136a1ProjectおよびFantachという名称の脅威アクターです。

Cognyteによる調査の結果、このマルウェアはFantachによって早くとも2021年から宣伝されていることが判明しました。
当初はランサムウェアとして売り出され、その後アップデートや改良を重ねています。現在は、様々な機能を付加されプロモーションされています。

2021年にFantachが公開した最初の宣伝。ランサムウェアとして販売している。　出典：Luminar

このブログ記事では、Anarchy Panelマルウェアの概要や、このマルウェアを販売する脅威アクターの詳細、またAnarchy Panelの技術的な仕組みを紹介します。

脅威インテリジェンスプラットフォームCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyteが持つ機能の一例として本記事を紹介します。

 Cognyte CTI Research Group@Cognyte | 2023年4月

Anarchy Panelとは

Anarchy Panelは、以下のとおり複数の機能を有しています。

• ランサムウェア
• HVNCモジュールを備えたリモートアクセス型トロイの木馬（RAT）
• インフォスティーラー
• ローダー

ランサムウェア機能には、タスクマネージャやプロセスハッカー・ツールによる監視と検知をブロックし、標的マシンのファイルを暗号化する機能が備わっています。また、システム復元ポイントを削除し、被害者によるデータ復旧を阻止する機能も保有しています。
上述の基本機能に加えて、MBRを上書きし、身代金を要求するMBRランサムウェア・モードも利用できると宣伝では謳っています。

Anarchy Panelは、HVNCモジュールによる標的マシンの遠隔操作を可能にするRATとしても運用できます。HVNCモジュールによって、攻撃者はユーザーに検知されることなくデスクトップやブラウザ（Chrome、FireFox、Edge、IE、Brave）、Thunderbird（メールクライアント）、PowerShell、CMDを使用します。

他にも、キーロガー機能によってユーザーの入力を窃取することや、パスワード、レジストリ情報の窃取、メモリ・インジェクションを通じたファイルの実行、リモートシェルの実行ができると宣伝されています。

インフォスティーラー機能は「Anarchy Stealer」と命名されており、標的マシンから以下の情報を窃取します。

• ブラウザに保存されたパスワード
• ブラウザCookie
• ブラウザ履歴とブックマーク
• レジストリ情報
• VPN情報
• Wi-Fiデータ

検知回避のため、Anarchy PanelはWindowsユーザーアカウント制御（UAC）およびWindows Defenderを無効化します。またシステム情報の収集、シャットダウンと再起動、ログアウトなどの制御機能を有しています。他に、仮想マシンを検知し、永続性を確保する仕組みを備えています。

コントロール・パネルを通じたマルウェア自身のアップデート、再起動、アンインストールが可能です。

脅威アクターについて

Fantachのプロフィール

2021年にAnarchy Panel販売を開始した脅威アクターFantachについてCognyteにて調査を行ったところ、この脅威アクターはロシア語ハッカー・フォーラムUFOLabsの他、現在は閉鎖したRaidForumでも活動していることが確認されました。
FantachはAnarchy Panelの他に、暗号化・難読化・マルウェア制御の機能を持つクリプター「Anarchy Crypter」の販売も行っていました。

Anarchy Panelより前に、FantachはGolden Eyeランサムウェア用のビルダー（ランサムウェア作成および運用のためのツール）も販売しています。
Golden Eyeランサムウェアは、複数のランサムウェアおよびマルウェアを統合させた悪性プログラムです。

• Petyaランサムウェア
• Mischaランサムウェア
• TON RAT（インフォスティーラーおよびキーロガー機能も保有）
• Ebola RAT

FantachはGolden Eyeランサムウェア・ビルダーとは別に、Anarchy Builderなるビルダーも宣伝しています。

FantachがリリースしたAnarchy Builderの宣伝投稿　出典：Luminar

以上の活動から、Anarchy Panelは脅威アクターがそれまでに取り扱ってきたマルウェアおよびランサムウェアを統合したプロダクトだと推測できます。

R136aProjectのプロフィール

2023年1月から活動を開始し、Anarchy Panelの宣伝を行っているR136aProjectは、Fantachと同一のTelegramハンドルを記載しています。このことから、この2者は同一人物の別アカウントであるか、同一チームで活動していると推定されます。

Anarchy Panelの技術分析

ビルダー機能におけるDcRATとの類似

この章では、Anarchy Panelの技術および仕組みを分析します。
2023年2月、このマルウェアの海賊版が複数のハッキング・フォーラムに流出したため、Cognyte社は当該コピー（バージョン4.1.0）を入手しました。

Anarchy Panelのコントロール・パネル　出典：Cognyte CTI Research Group

Anarchy Panelは.NETで作成されたリモートアクセス型トロイの木馬ですが、Cognyteがバージョン4.1.0を解析したところ、ランサムウェア機能およびインフォスティーラー機能は動作しませんでした。

（上）Anarchy Panelのコントロール・パネルに示された各機能と（下）Anarchy Builder
出典：Cognyte CTI Research Group

デフォルトのマルウェア設定は難読化されていませんが、エンコードおよび暗号化は有効です。
Anarchy Panelは、アクティベート時に自身に関する設定を展開します。設定を読み込むにあたり、マルウェアはまず複数のString型変数（Por_ts, Hos_ts, Ver_sion, In_stall, MTX等）をbase64でデコードし、それらの文字列をAES256によって復号します。

マルウェアの設定読み込みに伴うAES256を用いた復号部分

また、ビルダーはマルウェアのクライアントごとに新しい復号鍵を生成し、この鍵をbase64でエンコードします。鍵を利用する場合は再びデコードされます。
鍵の値は「masterkey」と命名され、暗号を強化するSaltと併せ「_key」および「_authKey」という2つの鍵の生成に利用されます。
一連の暗号鍵は、マルウェア・クライアントと攻撃者間のC2通信保護および認証の用途で使われると考えられます。

masterkeyとSALTによる_keyおよび_authKeyの生成

2つの鍵の生成に使われるSaltの値は「DcRatByqwqdanchun」です。このSalt値は、2019年から出回っているRATであるDcRAT（Dark Crystal RAT）のGitHubレポジトリで参照されるものです。
よって、Anarchy Panel RATはオープンソースのDcRATマルウェアを元にしていると考えられます。

Anarchy PanelにおけるDcRatByqwqdanchun

DcRATにおけるDcRatByqwqdanchun

解析回避と永続性確保のテクニック

検知回避

Anarchy Panelは複数の検知・解析対策を備えています。

このマルウェアは、実行時に環境に関する一連のチェックを行います。

• ディスクサイズのチェック
• 感染システムがWindows XPがかどうかのチェック
• 感染システムが仮想マシン（VMWare、VirtualBox等）かどうかのチェック
• CheckRemoteDebuggerPresent Windows APIを用いて、デバッガーが動作しているかのチェック
• サンドボックス・ソフトウェアSandboxieが利用するSbieDLL.dllファイルを確認し、サンドボックス環境下にあるかのチェック

このようなチェックに加え、マルウェアはWindows Antimalware Scan Interface（AMSI）が使用するamsi.dllを検索します。AMSIはアプリケーションおよびサービスをAV製品と統合するインターフェースであり、このDLLを発見するとマルウェアはメモリ操作によってAMSIを無効化し、自身が悪性として検知されることを回避します。
また、EDR製品の監視・検知に利用されるWindowsのカーネルおよびアプリイベントログ機能であるETW（Event Tracing for Windows）の無効化も試みます。

マルウェアとC2サーバとの通信は、ネットワークセキュリティツールによる検知を回避するため、SSL暗号化通信で実施されます。

永続性確保

Anarchy Panelは、侵害マシンにおける永続性確保のために、既定のフォルダ（%AppData%あるいは%TEMP%）配下に自身のコピーを生成し、またスケジュールタスクとレジストリキーを作成します。

その他、このマルウェアはシステム内の特定プロセスを検索し、そのプロセスを発見次第終了します。

• MSConfig
• タスクマネージャ
• レジストリエディタ
• ProcessHacker
• ネットワーク検査サービス（Network Inspection Service）

侵害マシンがAnarchy Panelを終了しようとした場合、このマルウェアはRtlSetProcessCritical Windows APIを使用し「死のブルースクリーン」（Blue Screen of Death（BSOD））を呼び出します。これは、WindowsOSがシステムクラッシュを起こした際に表示される青背景のエラー画面の通称です。

まとめ

ダークウェブやTelegramにおけるサイバー犯罪コミュニティでは、マルウェアやハッキングツール、攻撃サービスの分業化が進んでおり、Anarchy Panelのように販売されるマルウェアも多数存在します。
Cognyteは、以下に示すIoCおよびYARAルールを組織のセキュリティツール等に反映させ、攻撃に備えることを推奨します。

Anarchy Panel等のマルウェア、ランサムウェア感染でお困りの方は当社インシデントサポートにぜひお問い合わせください。

サイバー事故などインシデントでお困りの方（24時間・365日対応）

情報漏洩・不審なメール・ウイルス感染など、今すぐご相談されたい方、インシデント対応の相談と初動のアドバイスを無料でサポート。 ＳＯＭＰＯ サイバーインシデントサポートデスクはこちら

IoC

YARAルール

rule anarchy_rat {
meta:
author = "SenseCy"
description = "Anarchy RAT payload"
strings:

$salt = "DcRatByqwqdanchun" wide

// Settings
$setting1 = "Perfor_mance" wide
$setting2 = "Anti_virus" wide
$setting3 = "Install_ed" wide

//Anti-VM
$antivm1 = "MsMpEng.exe" wide
$antivm2 = "MpUXSrv.exe" wide
$antivm3 = "MpCmdRun.exe" wide
$antivm4 = "NisSrv.exe" wide
$antivm5 = "ConfigSecurityPolicy.exe" wide

//In-Mem
$mem0 = {390c000000020672??1c00702863000006}
$mem1 = {167e08000004120073f400000a8085010004062a}

condition:
all of them
}

参考サイト

• https://www.trendmicro.com/vinfo/us/security/definition/crypter 
• https://www.comparitech.com/net-admin/goldeneye-ransomware/ 
• https://github.com/qwqdanchun/DcRat/blob/main/Client/Helper/Aes256.cs 
• https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
• https://rastamouse.me/memory-patching-amsi-bypass/
• https://izoologic.com/2022/01/06/cybercriminals-are-seen-to-disable-etw-to-evade-security-detection/ 
• https://www.techtarget.com/searchwindowsserver/definition/blue-screen-of-death-BSOD