新天地イエス教会の緊急連絡先に偽装したBisonalマルウェアが拡散中

AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr ファイルである。 

拡散している Unicode RLO によって改ざんされた不正なファイル

  • 新天地イエス教会緊急連絡先(1).Rcs.xlsx
  • 翻訳:新天地イエス教証しの幕屋聖殿総会本部広報部言論広報と補佐組織RCS.ppt

新天地イエス教会緊急連絡先(1).xlsx

– 新天地イエス教証しの幕屋聖殿総会本部広報部言論広報と補佐組織.ppt

パワーポイントの内容 – 1
パワーポイントの内容 – 2

分析内容は、「新天地イエス教会緊急連絡先(1).xlsx」 Excel ファイルを基準に作成する。

ファイルを実行すると、Excel ファイルが同時に開かれ、ユーザーの PC でマルウェアが実行されていることをわかりにくくする。

実行ファイルと同じパスに正常な文書ファイルが生成され、そのファイルは%TEMP%パスに生成された vbs を実行させる。

%TEMP%パスに生成された3つのファイルは、それぞれ以下のような機能を行う。

  • %TEMP%\[ランダム1].vbs:正常なxlsxファイルを実行
  • %TEMP%\[ランダム2].vbs:*.scrファイルを削除
  • %TEMP%\services.exe:バックドア型マルウェア

services.exe バックドアは以下のレジストリキーに登録され、再起動後も動作させる。

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mismyou “C:\Users\vmuser\AppData\Local\Temp\services.exe”

自動実行登録コード

C&C アドレス

  • http[:]//imbc[.]onthewifi[.]com/ks8d[IPアドレス]akspbu.txt 

バックドア機能としては、プロセスリスト、コンピュータ名、OS バージョン情報の送信とファイル実行および終了、追加ファイルのダウンロード等がある。

バックドアのコード

このバックドアは、Bisonal マルウェアであると確認された。Bisonal は2011年から韓国機関および企業に対する攻撃を継続的に行ってきた。 

2018年、2020年の Bisonal 比較

現在 V3 では、このようなマルウェアを次のような診断名で診断している。

[ファイル診断]

  • Backdoor/Win32.Bisonal (2020.03.05.04)
0 0 vote
評価する
guest
0 コメント
Inline Feedbacks
View all comments