Bitter (T-APT-17) グループは主に南アジアの政府機関を対象とする攻撃グループであり、マルウェアの配布に Word や Excel などの Office ドキュメントを利用してきた。AhnLab Security Emergency response Center(ASEC)では、最近 Bitter グループが中国の特定機関相手に CHM マルウェアを配布した状況を多数確認した。CHM ファイルは今年の初め頃から様々な攻撃グループによって APT 攻撃に利用されており、ASEC ブログでも何度か紹介してきた。
今回の攻撃に使用された CHM は電子メールの添付ファイルを通して配布されており、添付ファイルは圧縮ファイルの形態である。圧縮ファイルの内部に CHM ファイルが存在し、今まで確認されたファイル名は以下の通りである。
- 拡散ファイル名
Project Plan 2023 .chm
Urgent passport enquiry of the following officials.docx.chm
SUSPECTED FOREIGN TERRORIST FIGHTERS.chm
Forensic Evidence on Crime Scene.chm
Patches updates.chm
Ticktes.chm
KC_16.11.chm
CHM ファイルを実行すると、大半は空白のヘルプウィンドウが生成されるが、一部では以下のように「中国中央統一戦線工作部」および「中国・ロシア平和開発委員会」などに関連した内容が確認できる。
このタイプの CHM で確認できる内部の不正なスクリプトは以下の通りであり、ユーザーは不正なスクリプトの動作プロセスを認知しづらくなっている。このスクリプトの共通した特徴は、ショートカットオブジェクトを実行する Click メソッドが存在するスクリプト部分が難読化されていることである。今まで紹介してきた CHM とは異なり、難読化を通して静的検知を回避する狙いであると見える。
スクリプトが動作すると、どちらのタイプも不正なコマンドを実行するタスクを生成する。不正なコマンドはそれぞれ下記のアドレスに接続し、追加の不正なファイルを実行する。現在、このアドレスは両方ともアクセスできないが、1つ目のアドレスでダウンロードされるものと推定される MSI ファイルを確認した。
- hxxps://bluelotus.mail-gdrive[.]com/Services.msi
- hxxps://coauthcn[.]com/hbz.php?id=%computername%
MSI ファイルが実行されると、正常な EXE ファイルと不正な DLL を生成した後、exe ファイルを実行する。生成されるファイルは以下の通りであり、MicrosoftServices.exe が実行されると OLMAPI32.dll がロードされる形式である。ロードされる DLL は攻撃者が製作した不正なファイルであり、DLL Side-Loading 手法(T1574.002 *英語のみ提供)が利用されている。
ロードされた不正な DLL の機能は以下の通りである。まず、下記のコマンドを通してユーザー情報を収集した後、「c:\Users\Public\cr.dat」ファイルに保存する。
- IP 情報
cmd.exe /c nslookup myip.opendns.com resolver1.opendns.com>> c:\Users\Public\cr.dat - システム情報
cmd.exe /c systeminfo>> c:\Users\Public\cr.dat - ディレクトリ情報
cmd.exe /c dir “%userprofile%\Documents”>> c:\Users\Public\cr.dat
cmd.exe /c dir “%userprofile%\Desktop”>> c:\Users\Public\cr.dat
cmd.exe /c dir “%userprofile%\Downloads”>> c:\Users\Public\cr.dat
その後、持続性のために「Microsoft Update」の名前で MicrosoftServices.exe を実行するタスクを生成する。
追加で、下記の C2 に接続を試みながら、攻撃者のコマンドに応じて様々な不正な振る舞いを実行できる。
- msdata.ddns[.]net:443
最近、韓国国内外で CHM ファイルを利用した攻撃が増加しており、様々なマルウェアによって使用されている。ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧しないようにしなければならない。また、PC のチェックを定期的に実行し、セキュリティ製品は常に最新バージョンにアップデートしなければならない。
[ファイル検知]
Trojan/Win.Generic.R560734 (2023.03.04.03)
Dropper/CHM.Generic (2023.03.30.00)
Dropper/MSI.Generic (2023.04.04.03)
[IOC]
8b15c4a11df2deea9ad4699ece085a6f
cce89f4956a5c8b1bec82b21e371645b
a7e8d75eae4f1cb343745d9dd394a154
09a9e1b03f7d7de4340bc5f9e656b798
hxxps://bluelotus.mail-gdrive[.]com/Services.msi
hxxps://coauthcn[.]com/hbz.php?id=%computername%
msdata.ddns[.]net:443
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報