AhnLab Security Emergency response Center(ASEC)では Qakbot マルウェアの様々な配布方式について紹介してきており、2月には OneNote で配布されるタイプを紹介した。最近 OneNote で配布される Qakbot が再度確認され、そのプロセスで Windows ヘルプファイル(CHM)が利用されることを捕捉した。
OneNote ファイルを実行すると、以下のように Microsoft Azure 画像が表示され、Open ボタンのクリックを誘導していることが確認できる。このボタンの位置には ISO ファイルが隠されており、ユーザーが Open ボタンをクリックすると一時パスに ISO ファイルが生成されてマウントされる。
ISO ファイル内には CHM ファイルが存在しており、README ファイルに偽装してユーザーの実行を誘導する。
CHM ファイルを実行すると、ネットワーク接続構成に関連する正常なヘルプ画面が生成されるため、ユーザーは不正な振る舞いであることを認知しにくい。
この時、ユーザーに気づかれずに実行される不正なスクリプトは以下の通りである。CMD を通じて不正な PowerShell コマンドが実行されるが、PowerShell コマンドはエンコード形態である。このコマンドは従来の CHM マルウェアと同じく Click メソッドを通じて実行される。
デコードされた Powershell コマンドは以下の通りである。多数の URL から追加の不正なファイルのダウンロードを試み、%TEMP%\antepredicamentPersecutory.tuners パスに保存する。その後、rundll32 を通じて実行されることから DLL ファイルをダウンロードするものと推定される。
- ダウンロード URL
hxxps://nayadofoundation[.]org/wXaKm/SQ2wfto2vosn
hxxps://citytech-solutions[.]com/6Mh1k/OJMPf
hxxps://zainco[.]net/OdOU/9IAsdunbnH
hxxps://gsscorporationltd[.]com/okSfj/rAVykcQiX
hxxps://mrcrizquna[.]com/L7ccN/kz5AeBZ6
hxxps://hotellosmirtos[.]com/sjn/uhidwrQ9Hz
hxxps://carladvogadatributaria[.]com/tvnq9/i8zBwKW
hxxps://erg-eg[.]com/ocmb/xvjmmvS
このコマンドは、4月に PDF を通じて配布された Qakbot で使用されたコマンドと類似する形態であると確認された。現在はダウンロード URL に接続できないが、内部/外部インフラを通して接続が有効な当時に、この URL から Qakbot バイナリを配布した状況を確認することができた。
最近 OneNote を悪用したマルウェアの配布が増加しており、攻撃者は様々なフォーマットのファイルを攻撃に利用している。ユーザーは出どころがはっきりしない電子メールや OneNote の閲覧は特に注意する必要がある。現在 V3 では、このマルウェアを以下のように検知している。
[ファイル検知]
Dropper/MSOffice.Generic (2023.04.24.03)
Downloader/CHM.Generic (2023.04.24.03)
[IOC]
dffd7026f7508ae69c1b23ebd33ed615
2ce926649092b4aa642ba6ed1fe0f191
hxxps://nayadofoundation[.]org/wXaKm/SQ2wfto2vosn
hxxps://citytech-solutions[.]com/6Mh1k/OJMPf
hxxps://zainco[.]net/OdOU/9IAsdunbnH
hxxps://gsscorporationltd[.]com/okSfj/rAVykcQiX
hxxps://mrcrizquna[.]com/L7ccN/kz5AeBZ6
hxxps://hotellosmirtos[.]com/sjn/uhidwrQ9Hz
hxxps://carladvogadatributaria[.]com/tvnq9/i8zBwKW
hxxps://erg-eg[.]com/ocmb/xvjmmvS
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報