最近、特定機関を騙るフィッシングメールが活発に出回っている。フィッシングメールに添付されたExcel文書ファイル(証明書.xls、依頼.xls等)には、不正なマクロが含まれている。この不正なマクロが実行されると、Ammyyと命名された遠隔操作機能のマルウェアがインストールされる。最近AhnLab ASECは、このバックドアマルウェアを監視している最中に、当該マルウェアが企業をターゲットにしているというコード上の変化を捉えた。また、前回の記事で紹介したようにAmmyyバックドアプログラムとCLOPランサムウェアが同じ証明書で拡散していることから、企業ユーザーをターゲット(ADサーバーに対する奪取)にした拡散に、Ammyyバックドアが利用されているものと推定される。
前回のブログ(https://asec.ahnlab.com/1197)で述べたように、フィッシングメールによって拡散する不正Excel文書ファイルは[図1]のようにして拡散している。ここで注目する点は、最近変化したマルウェアは当該ファイルが実行された環境のワークグループ名を確認する方式によって、企業ユーザー環境を感染ターゲットにしているという点である。
ワークグループ名を確認するコードは[図1]の拡散フローのうち、最終バックドアのダウンローダー(Downloader)で発見された。
[図2]は前回のブログで分析したダウンローダー(Downloader)のコードと、最近発見されたダウンローダー(Downloader)のコードの一部である。両者のコードを比較すると、最近のコードの方で赤枠で囲んだ部分に新しい条件文が追加されたことを確認できる。さらに、実行中のプロセスを確認して、存在する場合に実行が終了されるリストに変化を示した。感染除外対象をチェックするために使用していた実行中のプロセスリストのうち、「V3LITE」、「V3MAIN」、「V3SP」がリストから除外された。すなわち、V3製品のユーザーもAmmyyバックドアの感染対象に含まれていることがわかる。
[図3]は、新しく追加された条件文の全体コードである。このコードは、以下の[表1]のような機能を実行する。一般的な個人ユーザーの場合、cmd.exe /c net user /domainコマンドを実行するとWORKGROUP文字列が出力される一方で、企業ユーザーの場合は設定されたグループ名が出力されることがある。マルウェアの製作者はWORKGROUP文字列が出力されるユーザー(一般の個人ユーザー)の場合は、以降不正な行為(Ammyyバックドアダウンロード機能)を実行せずに終了する。
| 1. cmd.exe /c net user /domainコマンドの実行(ワークグループおよびドメインネームが出力) 2. TMPUSER.DATファイルで特定パスに保存 3. 当該ファイルを読み込み、ワークグループおよびドメインネームがWORKGROUPではない場合、TRUEを返す |
Windows 7以降のバージョンは、ワークグループのデフォルト値は「WORKGROUP」である。結論として、このコードを通して一般的な個人PC環境ではない、特定グループ名が使用されている企業環境において作動する。
AhnLabでは、上記のマルウェアに対して次の通り診断している。
– X97M/Downloader (2019.03.08.04)
– MSI/Downloader (2019.02.13.09)
– MSI/Installer (2019.02.13.03)
– BinImage/Encoded (2019.02.13.09)
– Trojan/Win32.Agent (2019.02.13.09)
– Trojan/Win32.Downloader (2019.02.27.03)
– Backdoor/Win32.Agent (2019.27.04)
Categories:マルウェアの情報