裁判所判決内容の不正なExcel(XLS)ファイルの拡散:KONNI組織

AhnLab ASEC 分析チームは、不正なマクロを含めてユーザー情報を流出させる Excel ファイルを収集した。この Excel 文書はユーザーにマクロを使用するように誘導し、マクロを実行すると「訪問販売法違反ほう助による罰金を払うように」という裁判所の判決に関連した内容を含むExcel文書を再度実行させ、ユーザーが感染した事実を認知しにくくしている。マルウェアの動作方式が KONNI 組織として知られている APT 攻撃グループの使用していたものと類似した特徴を持っている。

[ファイル情報]
● ファイルのタイプ:Excel 文書
● MD5:4af8906f903f5de0ea98d3e323ee869c
● SHA256:83478fb5d4eadb2111688953ee6cea831626a6201bdd181b4c3f92e25b129e56

マルウェアの全体的な実行フローは以下の図の通りである。

[図1] 全体的なマルウェアの動作フロー

このマルウェアの実行フローは過去に公開された Operation Moneyholic の KONNI グループの手法で、最初の攻撃ベクトルである文書フォーマットが、アレアハングルから Excel 文書に変更されたという唯一の違いがある。

Excel 文書に対する詳細な解析内容は以下の通りである。

[図2] 復号化された1番目のExcel(1.xls)のマクロコードの一部

1番目の Excel ファイルのマクロが実行されると、不正な配布元から4つのファイルを FSO.GetSpecialFolder(2) のパス(%temp%)にダウンロードする。

ダウンロードアドレスは以下の通りである。

● view-naver.com/xls/no1[.]txt

● view-naver.com/xls/mo1[.]txt

● view-naver.com/xls/vbs[.]txt

● view-naver.com/xls/temp2[.]xls

ファイルのダウンロード後、temp2.xls(判決に関する内容が含まれているExcel)を実行し、自分自身の文書ファイルは終了する。2番目の Excel(temp.xls) ファイルも、ユーザーのマクロ機能の実行を要求する。ユーザーがマクロ機能を実行すると、不正なマクロは OS 環境が 32bit か 64bit かを確認したあと、その環境に応じた cmd.exe を利用して1番目の Excel でダウンロードした mo1.bat ファイルを実行する。

[図3] 復号化された2番目のExcel(temp2.xls)のマクロコードの一部

mo1.bat ファイルは vbs.txt(Encoded cab fiel)がC:\Users\Public\Documents パスにあるかどうかを確認する。もし、存在しない場合は自分自身のパス(%~dp0)にダウンロードした2つのファイル(no1.txt -> no1.bat、vbs.txt -> vbs.txt)を C:\Users\Public\Documents パスにコピーしたあと、no1.bat ファイルを実行する。no1.bat ファイルは vbs.txt ファイルを復号化して内部に含まれる5つのファイルを生成し、内部のファイルから mysec2.bat ファイルを実行する。

vbs.txt ファイルで生成された5つの内部ファイルは以下のような機能を有する。

  • mysec2.bat: no42.batの実行、start2.vbsの自動実行登録、追加ファイルのダウンロード(download2.vbsを使用)、ダウンロードしたファイルのデコード、追加ファイルの実行
  • no42.bat: ユーザー情報の取得、ユーザー情報のアップロード(upload2.vbsを使用)
  • start2.vbs: mysec2.batの実行
  • upload2.vbs: ファイルのアップロード機能
  • download2.vbs: ファイルのダウンロード機能
[図4] mysec2.bat と download2.vbs の内容
[図5] no42.bat と upload2.vbs の内容

no.42.bat が奪取するユーザー情報は、以下の通りである。

  • downloadパスのファイルリスト
  • documentパスのファイルリスト
  • デスクトップのパスのファイルリスト
  • ProgramFilesパスのファイルリスト
  • パブリックIPアドレス
  • 実行中のプロセスリスト
  • システム情報

AhnLabでは、不正な Excel ファイルと追加で生成される不正なファイルを次のような診断名で診断している。


[ファイルの診断]

  • Downloader/Xls.Agent(2020.06.26.08)
  • Agent/XLS.Agent(2020.06.26.08)
  • Encoded/Binimage.Agent(2020.06.26.08)
  • Backdoor/Binimage.Agent(2020.06.26.08)
  • Backdoor/Bat.Agent(2020.06.26.08)
  • Trojan/Vbs.Agent(2020.06.26.08)

[C2情報]

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments