不動産投資関連のメールで拡散しているHWPマルウェア(EPSを使用)

今年4月から増加した不正な HWP ファイルの拡散がいまだに続いている。AhnLab ASEC 分析チームは、先週から不動産投資関連の内容に偽装したアレアハングルドキュメント(.HWP)がメールを通して出回っていることを報告する。不動産投資に関連した件名のメールに複数のアレアハングルドキュメントを添付しており、この添付ファイルの中に不正な HWP ファイルが含まれている。  

メール本文やドキュメントの内容を本物のように作成し、ユーザーを油断させたあと、不正な HWP ファイルを実行する。実行された HWP ファイルは内部にある不正なポストスクリプト(EPS)が動作することで、不正な機能を実行する。この EPS は、CVE-2017-8291の脆弱性を発生させて内部コードを実行する。

[図1] EPS内部の不正なコード

このコードは %appdata%\Microsoft\Internet Explorer\security.vbs を生成して動作し、その内容は以下の通り不正な URL に接続して追加ファイルをダウンロードし、そのファイルを実行するものである。

[図2] 追加マルウェアのダウンロードおよび実行コード
  1. 不正なファイルのダウンロードアドレス:https://sixbitsmedia.com/wp-content/uploads/wp-logs/category.php?uid=0
  2. 生成ファイル名:%appdata%\Microsoft\Internet Explorer\security.db
  3. 実行コマンド:rundll32 security.db, InstallSafari
  4. C&C:https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php

追加のエンコードされた不正なデータをダウンロードし、この不正なファイルは上記のコード内で指定されているようにbase64デコードを実行し、最後に DLL に保存して実行する。上記の rundll32 コマンドを見て分かるように、ダウンロードされた DLL の Export 関数である InstallSafari が動作し、悪意のある行為を実行する。この不正なコードが実行されると、https://mokawafm.com/wp-content/plugins/ckeditor-for-wordpress/ckeditor/plugins/image/dialog.php (51.81.21.96:443) C&Cに接続し、システム情報を送信したあと、攻撃者から追加データを受け取ることがある。

ユーザーは、出所が不明な送信者からのメールおよび添付ファイルを閲覧、実行してはならない。現在 V3 では、このようなマルウェアを次のような診断名で診断している。 

  • Downloader/HWP.Generic (2020.05.25.03)
  • Exploit/EPS.Generic (2020.05.25.04)
  • Backdoor/Win32.Agent.C4107539 (2020.05.25.04)

0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments