Posted By AhnLab_JP , 2020年 July 1日

裁判所判決内容の不正なExcel(XLS)ファイルの拡散：KONNI組織

AhnLab ASEC 分析チームは、不正なマクロを含めてユーザー情報を流出させる Excel ファイルを収集した。この Excel 文書はユーザーにマクロを使用するように誘導し、マクロを実行すると「訪問販売法違反ほう助による罰金を払うように」という裁判所の判決に関連した内容を含むExcel文書を再度実行させ、ユーザーが感染した事実を認知しにくくしている。マルウェアの動作方式が KONNI 組織として知られている APT 攻撃グループの使用していたものと類似した特徴を持っている。

[ファイル情報]
● ファイルのタイプ：Excel 文書
● MD5：4af8906f903f5de0ea98d3e323ee869c
● SHA256：83478fb5d4eadb2111688953ee6cea831626a6201bdd181b4c3f92e25b129e56

マルウェアの全体的な実行フローは以下の図の通りである。

このマルウェアの実行フローは過去に公開された Operation Moneyholic の KONNI グループの手法で、最初の攻撃ベクトルである文書フォーマットが、アレアハングルから Excel 文書に変更されたという唯一の違いがある。

Excel 文書に対する詳細な解析内容は以下の通りである。

1番目の Excel ファイルのマクロが実行されると、不正な配布元から4つのファイルを FSO.GetSpecialFolder(2) のパス(%temp%)にダウンロードする。

ダウンロードアドレスは以下の通りである。

● view-naver.com/xls/no1[.]txt

● view-naver.com/xls/mo1[.]txt

● view-naver.com/xls/vbs[.]txt

● view-naver.com/xls/temp2[.]xls

ファイルのダウンロード後、temp2.xls(判決に関する内容が含まれているExcel)を実行し、自分自身の文書ファイルは終了する。2番目の Excel(temp.xls) ファイルも、ユーザーのマクロ機能の実行を要求する。ユーザーがマクロ機能を実行すると、不正なマクロは OS 環境が 32bit か 64bit かを確認したあと、その環境に応じた cmd.exe を利用して1番目の Excel でダウンロードした mo1.bat ファイルを実行する。

[図3] 復号化された2番目のExcel(temp2.xls)のマクロコードの一部

mo1.bat ファイルは vbs.txt(Encoded cab fiel)がC:\Users\Public\Documents パスにあるかどうかを確認する。もし、存在しない場合は自分自身のパス(%~dp0)にダウンロードした2つのファイル(no1.txt -> no1.bat、vbs.txt -> vbs.txt)を C:\Users\Public\Documents パスにコピーしたあと、no1.bat ファイルを実行する。no1.bat ファイルは vbs.txt ファイルを復号化して内部に含まれる5つのファイルを生成し、内部のファイルから mysec2.bat ファイルを実行する。

vbs.txt ファイルで生成された5つの内部ファイルは以下のような機能を有する。

mysec2.bat: no42.batの実行、start2.vbsの自動実行登録、追加ファイルのダウンロード(download2.vbsを使用)、ダウンロードしたファイルのデコード、追加ファイルの実行
no42.bat: ユーザー情報の取得、ユーザー情報のアップロード(upload2.vbsを使用)
start2.vbs: mysec2.batの実行
upload2.vbs: ファイルのアップロード機能
download2.vbs: ファイルのダウンロード機能