[緊急] 「スキャンファイル」メールで拡散するWord文書に注意 – Ammyy の拡散

2019年8月9日金曜日の早朝から、国内企業を主なターゲットとしたAmmyyのバックドアを含むスパムメールが多数出回っており、ユーザーの注意が必要である。同目的のスパムメールは8月8日から国外でも出回っており、国内では本日の早朝から集中的に拡散している。

現在までに確認された国内企業をターゲットとして出回っているスパムメールの件名は、「スキャンファイル」である。このメールは「スキャン_(任意の数字).doc」ファイル名のMicrosoft Office Word文書のファイルが添付されている。メールの送信者は「チェ・ソンウン」であり、不正Word文書の内容は「物品引受証」である。送信者とメール件名の内容は異なる可能性が高い。不正Word文書を開くと、次のような画面が表示され、ユーザーのマクロコンテンツ使用許可を誘導する。 

不正Word文書(国外で出回っているもの)

Word文書に含まれているマクロコードは、動作方式に応じて2種類のタイプが確認された。まず、1つ目のタイプはInternetExplorerオブジェクトを利用して外部アドレスにアクセスし、ファイルをダウンロードする。ダウンロードしたファイルはエンコードされたバイナリファイルであり、マクロコードでこれをデコードした後、DLLファイルとして生成し実行する。DLLファイルは、動作の過程でUPXでパックされた内部PEを通して外部アドレスにアクセスし、ファイルのデータを受け取り、これをシステムのパスに「rundl32.exe」(国内で出回っているWord文書)または「dllhots.exe」(国外で出回っているWord文書)というファイル名でAmmyyのバックドアファイルを生成する。文書を開いたあとのプロセスツリーは、次のように書かれている。

2つ目のタイプは過去に拡散されたマクロ形態と同じであり、フォームオブジェクト情報を利用し、MSIファイルを外部からダウンロードして実行する。上記と同じ文書内容だが、動作コードの形式が異なっている。 

Downloaderマルウェアのほか、バックドア型マルウェアにも異なる点が存在する。下記のように「Ammyy Admin」という文字列を変更せずにそのまま使用していたものとは異なり、今回のFlawedAmmyyマルウェアは「Popss Admin」という名前に変更されている。

最近まで流出していたソースコードをそのまま使用していたFlawedAmmyy
今回確認された文字列が変更された形式のFlawedAmmyy

そして、FlawedAmmyyバックドアをデコードして生成するたびに、下記のようにPEヘッダの特定部分をランダムに生成するため、インストールされるたびに異なるHash値を持つ。これによって同じ証明書として署名されているが、無効なものと確認できる。

生成されるたびに変更されるFlawedAmmyyのPEヘッダ

アンラボは、スパムメールとして出回っている不正なドキュメントファイルとダウンロードされる実行ファイルを、次のように診断している。また、不正Wordファイルがアクセスする不正C&CアドレスをASDネットワークでブロックしている。(V3製品のActive Defense設定オプションが有効になっているか確認)

  • VBA/AMMacro.S10 (2019.08.09.02)
  • VBA/AMMacro.S11 (2019.08.09.04)
  • Win-Trojan/Suspig9.Exp (2019.08.09.02)

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments