AhnLab ASEC 分析チームは現在、韓国で話題となっている新天地イエス教会に関連するマルウェアが出回っていることを確認した。拡散ファイル名は xlsx または ppt の文書ファイルに見えるが、Unicode RLO(Right to Left Override)方式を利用してファイル拡張子を別の形式のように表示している。実際の不正なファイルは *.scr ファイルである。
拡散している Unicode RLO によって改ざんされた不正なファイル
- 新天地イエス教会緊急連絡先(1).Rcs.xlsx
- 翻訳:新天地イエス教証しの幕屋聖殿総会本部広報部言論広報と補佐組織RCS.ppt
– 新天地イエス教会緊急連絡先(1).xlsx
– 新天地イエス教証しの幕屋聖殿総会本部広報部言論広報と補佐組織.ppt
分析内容は、「新天地イエス教会緊急連絡先(1).xlsx」 Excel ファイルを基準に作成する。
ファイルを実行すると、Excel ファイルが同時に開かれ、ユーザーの PC でマルウェアが実行されていることをわかりにくくする。
実行ファイルと同じパスに正常な文書ファイルが生成され、そのファイルは%TEMP%パスに生成された vbs を実行させる。
%TEMP%パスに生成された3つのファイルは、それぞれ以下のような機能を行う。
- %TEMP%\[ランダム1].vbs:正常なxlsxファイルを実行
- %TEMP%\[ランダム2].vbs:*.scrファイルを削除
- %TEMP%\services.exe:バックドア型マルウェア
services.exe バックドアは以下のレジストリキーに登録され、再起動後も動作させる。
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mismyou “C:\Users\vmuser\AppData\Local\Temp\services.exe”
C&C アドレス
- http[:]//imbc[.]onthewifi[.]com/ks8d[IPアドレス]akspbu.txt
バックドア機能としては、プロセスリスト、コンピュータ名、OS バージョン情報の送信とファイル実行および終了、追加ファイルのダウンロード等がある。
このバックドアは、Bisonal マルウェアであると確認された。Bisonal は2011年から韓国機関および企業に対する攻撃を継続的に行ってきた。
2018年、2020年の Bisonal 比較
現在 V3 では、このようなマルウェアを次のような診断名で診断している。
[ファイル診断]
- Backdoor/Win32.Bisonal (2020.03.05.04)
Categories:マルウェアの情報