Posted By Hansoyoung , 2021年 August 20日

拡散し続けているパワーポイント形式の不正な添付ファイル

今年4月、以下の記事を通して PPT ファイルを媒体にして配布されるマルウェアについて紹介した。ASEC 分析チームはパワーポイント形式の PPAM ファイルを利用した不正な振る舞いが最近でも続いていることを確認したため、これについて周知する。

https://asec.ahnlab.com/ko/21964/(韓国語のみ)

4月に紹介した内容はパワーポイントに含まれるマクロが実行されると mshta.exe を利用して不正なスクリプトが挿入された blogspot の Web ページのソースが攻撃に直接利用されていたが、今回は powershell.exe/wscript.exe を利用したプロセスが追加され、より複雑になったことが特徴だと言える。

**[図1] – 不正な PPT マクロファイルが含まれたフィッシングメール**

VBA コードを含む PPAM ファイルのマクロが実行されると、mshta.exe を通して外部のスクリプトを呼び出し、その Web ページは不正なスクリプトが挿入されている blogger Web サイト(Final URL)と確認されている。挿入されたスクリプトは二つ存在するが、一つはコメントアウトとして書かれており、スクリプトを実行しても意味がなく、下部の別のスクリプトを利用して不正な振る舞いを実行する。(コメントアウトされている挿入スクリプトの部分については、本記事の後半で別途紹介する)

**[図2] – パワーポイントのマクロを有効化すると mshta.exe で実行される不正なスクリプト**

**[図3] – リダイレクトする Web ページ (不正なスクリプトが挿入されている)**

**[図5] – 下部に追加で挿入されている不正なスクリプト (実行時に意味のある部分)**

[図5] で確認される挿入スクリプトを復号すると、以下の [図6] のコードが確認できる。[図5] の line 45 からわかるように、line 39 の外部 URL を呼び出して実行するスクリプトが存在することがわかる。

**[図6] – 外部 Web サイトのスクリプトを実行させるコマンド (line 45)**

**[図7] – 最終スクリプトで確認できる外部 URL (Google はテスト目的であると推定される)**

現在はコメントアウト処理されていない当該スクリプトの部分に対して Google のメインページの Web ソースを受け取るようになっているが、攻撃者がその URL の部分だけを変更すれば、不正な Web ページのスクリプトをダウンロードするようにできる。実際に、マルウェアの発現プロセスにおいて確認される要素をベースに内部/外部インフラで確認したところ、同じタイプのファイルが配布されたことがわかった。

添付ファイルを通して配布される PPT 形式のファイル名は以下のように PDF 拡張子を偽装したものらしき形式を持っており、内部インフラを通じてファイルが収集された時期を確認したところ、7月末頃から多量に配布されたことを確認できた。

1,pdf.ppam
7,pdf.ppam
9,pdf.ppam
19,pdf.ppam
ReservationId ,pdf.ppam
swift copy,pdf.ppam
Outstanding and Overdue Balances 31-07-21,pdf.ppam

コメントアウトで挿入された不正なスクリプトについても簡単に紹介すると、以下の通りとなる。以下で加えて確認される html Web ページもすべて不正なスクリプトが挿入されている Web ページであり、図の選択範囲の部分(line 69)は「Wscript.Shell」の CLASSID として WMI で駆動するコマンドを示している。スクリプト下部で確認できる「hxxps://92c49223-b37f-4157-904d-daf4679f14d5.usrfiles[.]com」の Web ページでは AgentTesla マルウェアがバイナリ形式で存在し、そのスクリプトが実行されるとメモリ上でファイルレスで動作する。

最終的にはコメントアウトされた不正なスクリプトを通して、冒頭で紹介した今年4月の記事(Fileless で動作する AgentTesla)のタイプよりも複雑なプロセスを経て、現在も拡散が続いていることがわかる。

**[図8] – コメント状態のスクリプトをデコードすると確認できる内容 (一部抜粋**)

ASEC ブログを通して何度も紹介している内容だが、スパムメールを通じて流入するマルウェアの割合が非常に高いため、ユーザーは出どころが不明なメールの添付ファイルを実行しないようにしなければならない。

また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを常に最新版にアップデートして使用することを推奨する。

AhnLab V3 プロダクトラインでは、本文で紹介した不正なファイルに対して以下のように検知している。

[ファイル検知]
Trojan/PPT.Generic
Trojan/PPT.Agent
Infostealer/Win.AgentTesla.R420346

[IOC]
8338e340a6e070805616aee57601706d
5dc1292f5d2e3441e25c4ec6e41d3fa1 (PE)
hxxps://www.bitly[.]com/ddwddwwkfwdwoooi
hxxps://fckusecurityresearchermotherfkrs.blogspot[.]com
hxxps://sukmaduck.blogspot[.]com
hxxps://kukukajadoolunnd.blogspot[.]com
hxxps://machearkalonikahdi.blogspot[.]com
hxxps://bukbukbukak.blogspot[.]com
hxxps://35d42729-3b2d-44cd-88c7-59a76492301c.usrfiles[.]com
hxxps://92c49223-b37f-4157-904d-daf4679f14d5.usrfiles[.]com

Categories:マルウェアの情報

Tagged as:不正なスクリプト,マルウェア,AGENTTESLA,malware,PPAM 添付ファイル,PPT 添付ファイル