Excel ドキュメントを通じて Dridex を配布する方式は昨年から続いて確認されており、ASEC ブログでも掲載したことがある。最近、ASEC 分析チームは従来と類似した方式で Dridex と同時に Cobalt Strike ツールが配布されている情況を捕捉した。最近出回っている Excel ドキュメントでは、従来とは異なり、タスクスケジューラを利用して特定の時間経過後に不正な行為を実行するものと確認された。このような動作方式の変化は、サンドボックス環境での検知およびビヘイビア検知を回避するための試みであると推定される。また、Dridex、Cobalt Strike マルウェアは、過去に DopplePaymer や CLOP ランサムウェアへの感染につながった被害事例があるため、企業ユーザー環境の場合はより注意が要求される。
不正な Excel ドキュメントを開くと、以下のようにマクロの有効化を誘導する画像が含まれている。


マクロには Workbook_Open() 関数が含まれており、コンテンツの有効化ボタンをクリックすると、自動的に不正なマクロが実行される。不正なマクロが実行されると、メッセージボックスを生成した後、不正な行為を実行する。
Sheet1 の特定領域に存在するデータを組み合わせて不正なデータを生成し、組み合わせに使用されるデータはユーザーに気づかれにくいように複数の場所に分散した形で存在する。また、10進数で保存されており、文字列の形式に変形されて組み合わせられる。生成される不正なデータは、ドロップされるファイルの内部データと、ドロップされたファイルを実行するコマンドに分けられる。


その後、生成された不正なコマンドをタスクスケジューラに登録する。登録されたタスクはマクロが開始された時刻から特定の時間が経過すると動作するように設定されており、ユーザーが不正な行為に気づきにくいようにしている。特定の時間はファイルごとに若干異なることが確認されており、以下のマクロでは120秒に設定されていることがわかる。

また、タスクスケジューラは「2021 Updates」という名前で登録され、あたかも正常なタスクであるかのように振る舞っていることが確認できる。

タスクスケジューラに登録後、%ALLUSERSPROFILE% パスに xsl ファイルを生成してマクロが終了する。120秒経過後、登録されたタスクが動作すると、以下の不正なコマンドを実行する。このコマンドは mshta によって vbscript コマンドを実行し、vbscript コマンドは WMIC を通して生成された xsl ファイルを実行する機能を行う。
- 不正なコマンド
mshta vbscript:Execute(“set osh = CreateObject(“”Wscript.Shell””):osh.Run(“”wmic os get /format:”” & Chr(34) & osh.ExpandEnvironmentStrings(“”%ALLUSERSPROFILE%””) & “”\\qRTF.xsl”” & Chr(34)),0:close”)
xsl ファイル内部には不正な Javascript が存在し、以下のようにダウンロード url を含んでいる。xsl ファイルを実行すると内部に存在する url に接続して追加ファイルのダウンロードを試み、ダウンロードされたファイルは %TEMP% パスに[ランダムな5文字].exe (または dll)で保存されて実行される。
- ダウンロード url
hxxp://45.153.241.113:80/download/pload.exe
hxxp://23.227.203.229:80/download/klinch.exe
hxxp://37.120.222.56:80/download/zlnch.exe
hxxp://212.114.52.129:80/download/flnam.dll
hxxp://5.39.222.102:80/download/pdllod.dll
hxxp://145.249.106.39:80/download/cxas.dll
hxxp://37.120.239.185:80/download/dllmar.dll


現在までに確認されたダウンロードされるファイルは、Dridex と Cobalt Strike ツールである。Dridex はバンキングマルウェアであり、バンキング関連のユーザー情報の収集および攻撃者の命令を受けて、不正な行為を実行する機能を備えている。また、ローダーを経てメインモジュールをダウンロードし、不正な行為を実行する。Cobalt Strike ツールはセキュリティの脆弱性をチェックするための目的で使用できるペネトレーションテストツールだが、クラック版が公開されたことによって様々な攻撃者によりマルウェアとして使用され、追加の不正なファイルをダウンロードすることがある。
[ファイル検知]
- Downloader/XLS.Generic.S1585
- Downloader/XLS.Generic
- Downloader/XSL.Generic
- Trojan/Win.CobaltStrike.R429897
- Trojan/Win.Dridex.C4544306
[IOC 情報]
- 4893b6b67abeaa7feae23681d656a1c1
- 103b8f65565256c4cce2a4ab3b33eb43
- 998323316a9bd7f713e63d1ea5ab5626
- 9a2e1bb9ad6f1ccfeaa4c2c55637ae3b
- c2b80fa119a1f182a24569df973f6b44
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報