AhnLab ASEC 分析チームは、以前から履歴書に偽造して持続的に出回っていたマルウェアが、最近も履歴書および著作権に関するファイルに偽装して拡散していることを確認した。最近拡散しているファイルも以前と同じく NSIS (Nullsoft Scriptable Install System)形式であり、以下のように様々なファイル名で出回っている。
- 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe
(翻訳:画像原本(こちらで製作した画像)と使用している画像を整理した内容.exe) - 저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe
(翻訳:著作権法に違反している事項を整理してお送りします.exe) - 포트폴리오(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe
(翻訳:ポートフォリオ(経歴事項も記載しました。よろしくお願いします).exe) - 이력서(경력사항 기재하였습니다 잘 부탁드립니다).exe
(翻訳:履歴書(経歴事項を記載しました。よろしくお願いします).exe) - 포트폴리오_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe
(翻訳:ポートフォリオ_210222(経歴事項もご確認お願いします。ありがとうございます).exe) - 이력서_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe
(翻訳:履歴書_210222(経歴事項もご確認お願いします。ありがとうございます).exe)
最近確認された著作権侵害に関する偽造メールは、ユーザーが添付ファイルを開くように誘導する内容が含まれている。
メールに添付された圧縮ファイルの内部には(翻訳:「著作権侵害内容.alz」)という圧縮ファイルが存在し、その内部にハッシュが同一の実行ファイルが2つ存在している。各々のファイル名は以下の [図1] の通りであり、SWF ファイルのアイコンに偽装したマルウェアが存在している。
これらのファイルは、過去に出回っていた Makop ランサムウェアの変形である。このファイルを開くと、ファイルが暗号化されてファイル名に[一連番号].[vassago0213@airmail.cc].vassago という拡張子が追加される。このランサムウェアは以下のコマンドを使用してシャドウコピーを削除したあと、ファイルの暗号化を実行する。
| vssadmin delete shadows /all /quiet wbadmin delete catalog -quiet wmic shadowcopy delete |
感染除外ファイルおよびフォルダは以下の通りである。
| windows、 winnt、 \system32、 Users\Public、 RECYCLER;$RECYCLE.BIN など |
| boot.ini、bootfont.bin、ntldr、ntdetect.com、io.sys、readme-warning.txt、desktop.ini |
| Makop、CARLOS、shootlock、shootlock2、1recoesufV8Sv6g、1recocr8M4YJskJ7、btc;KJHslgjkjdfg、origami、tomas、RAGA、zbw、fireee、XXX、element、HELP、zes、lockbit、captcha、gunga、fair、SOS、Boss、moloch、vassago、exe、dll |
ファイル暗号化後の拡張子と、作成されたランサムノートは以下の通りである。
また、最近出回っている履歴書に偽造したマルウェアはメールに添付された圧縮ファイルに、以下のような3つのファイルが存在している。
(翻訳:「志願書(経歴事項も記載しました。よろしくお願いします.jpg)」)というファイルの場合、拡張子は jpg 形式になっているが、このファイルも exe 形式のファイルであり、正常なプログラムの Uninstall ファイルである。
各々の PDF ファイルと WORD ファイルのアイコンに偽装している実行ファイルは、各々が異なるタイプのマルウェアであり、(翻訳:「履歴書(経歴事項も記載しました。よろしくお願いします).exe」というファイルは、上記の著作権法違反に関するマルウェアと同じランサムウェアである。
またこれとは別に、(翻訳:ポートフォリオ(経歴事項も記載しました。よろしくお願いいたします).exe)というファイルは、情報流出マルウェアである。すなわち、従来は主に一つのメールに同じ種類のマルウェアを添付して配布していたが、今回確認されたように、異なる種類のマルウェアを一つのメールに同時に添付し、様々な攻撃の実行を試みている。
ファイルを開くと、%AppData%\Roaming\EdgeCP フォルダに MicrosoftEdgeCPS.exe という名前で自己複製され、%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup フォルダに MicrosoftEdgeCPS.lnk ファイルを生成して当該マルウェアが持続的に実行されるようにする。
その後、以下の WMI クエリを実行して画面キャプチャ、ユーザー PC 情報、ネットワーク情報、ブラウザ情報を C2 (hxxp://eastwest7070.at/ps/gate.php)に送信する行為を実行する。
| wmic /Node:localhost /Namespace:\\root\SecurityCenter2 path AntiVirusProduct get DisplayName /FORMAT:List wmic os get caption /FORMAT:List wmic path win32_VideoController get caption /FORMAT:List wmic path win32_NetworkAdapterConfiguration where IPEnabled=1 get IPAddress /FORMAT:List wmic LogicalDisk Where DriveType=4 get VolumeName /FORMAT:List wmic path win32_PingStatus where address=’eastwest7070.at’ get StatusCode /FORMAT:List wmic path win32_PingStatus where address=’eastwest7070.at’ get ResponseTime /FORMAT:List |
以前から持続的に履歴書、ポートフォリオなどに偽装したマルウェアが活発に出回っているため、出所が不明なメールは閲覧しないように注意し、添付ファイルをむやみに実行してはならない。また、不正な実行ファイルが PDF や Word など、正常なアイコンに偽装しているため、ユーザーはファイルの拡張子に注意を払わなければならない。
現在 V3 では、このマルウェアを以下のような診断名で診断している。
[ファイルの診断]
Malware/Win32.Generic.C4339696
Trojan/Win32.MakopRasom.R365756
Trojan/Win32.Agent.C4327635
[行為の診断]
Malware/MDP.SystemManipulation.M2255
[IOC 情報]
a44dd48695af7a64607ff464a194642f
5c02cb26de796b4eb98d860530e9b7b5
69284ff2194fb4d10ff791a87d25e84d
hxxp://eastwest7070.at/ps/gate.php
Categories:マルウェアの情報