今年4月、以下の記事を通して PPT ファイルを媒体にして配布されるマルウェアについて紹介した。ASEC 分析チームはパワーポイント形式の PPAM ファイルを利用した不正な振る舞いが最近でも続いていることを確認したため、これについて周知する。
https://asec.ahnlab.com/ko/21964/(韓国語のみ)
4月に紹介した内容はパワーポイントに含まれるマクロが実行されると mshta.exe を利用して不正なスクリプトが挿入された blogspot の Web ページのソースが攻撃に直接利用されていたが、今回は powershell.exe/wscript.exe を利用したプロセスが追加され、より複雑になったことが特徴だと言える。

VBA コードを含む PPAM ファイルのマクロが実行されると、mshta.exe を通して外部のスクリプトを呼び出し、その Web ページは不正なスクリプトが挿入されている blogger Web サイト(Final URL)と確認されている。挿入されたスクリプトは二つ存在するが、一つはコメントアウトとして書かれており、スクリプトを実行しても意味がなく、下部の別のスクリプトを利用して不正な振る舞いを実行する。(コメントアウトされている挿入スクリプトの部分については、本記事の後半で別途紹介する)




[図5] で確認される挿入スクリプトを復号すると、以下の [図6] のコードが確認できる。[図5] の line 45 からわかるように、line 39 の外部 URL を呼び出して実行するスクリプトが存在することがわかる。


現在はコメントアウト処理されていない当該スクリプトの部分に対して Google のメインページの Web ソースを受け取るようになっているが、攻撃者がその URL の部分だけを変更すれば、不正な Web ページのスクリプトをダウンロードするようにできる。実際に、マルウェアの発現プロセスにおいて確認される要素をベースに内部/外部インフラで確認したところ、同じタイプのファイルが配布されたことがわかった。
添付ファイルを通して配布される PPT 形式のファイル名は以下のように PDF 拡張子を偽装したものらしき形式を持っており、内部インフラを通じてファイルが収集された時期を確認したところ、7月末頃から多量に配布されたことを確認できた。
- 1,pdf.ppam
- 7,pdf.ppam
- 9,pdf.ppam
- 19,pdf.ppam
- ReservationId ,pdf.ppam
- swift copy,pdf.ppam
- Outstanding and Overdue Balances 31-07-21,pdf.ppam
コメントアウトで挿入された不正なスクリプトについても簡単に紹介すると、以下の通りとなる。以下で加えて確認される html Web ページもすべて不正なスクリプトが挿入されている Web ページであり、図の選択範囲の部分(line 69)は「Wscript.Shell」の CLASSID として WMI で駆動するコマンドを示している。スクリプト下部で確認できる「hxxps://92c49223-b37f-4157-904d-daf4679f14d5.usrfiles[.]com」の Web ページでは AgentTesla マルウェアがバイナリ形式で存在し、そのスクリプトが実行されるとメモリ上でファイルレスで動作する。
最終的にはコメントアウトされた不正なスクリプトを通して、冒頭で紹介した今年4月の記事(Fileless で動作する AgentTesla)のタイプよりも複雑なプロセスを経て、現在も拡散が続いていることがわかる。


ASEC ブログを通して何度も紹介している内容だが、スパムメールを通じて流入するマルウェアの割合が非常に高いため、ユーザーは出どころが不明なメールの添付ファイルを実行しないようにしなければならない。
また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを常に最新版にアップデートして使用することを推奨する。
AhnLab V3 プロダクトラインでは、本文で紹介した不正なファイルに対して以下のように検知している。
[ファイル検知]
Trojan/PPT.Generic
Trojan/PPT.Agent
Infostealer/Win.AgentTesla.R420346
[IOC]
8338e340a6e070805616aee57601706d
5dc1292f5d2e3441e25c4ec6e41d3fa1 (PE)
hxxps://www.bitly[.]com/ddwddwwkfwdwoooi
hxxps://fckusecurityresearchermotherfkrs.blogspot[.]com
hxxps://sukmaduck.blogspot[.]com
hxxps://kukukajadoolunnd.blogspot[.]com
hxxps://machearkalonikahdi.blogspot[.]com
hxxps://bukbukbukak.blogspot[.]com
hxxps://35d42729-3b2d-44cd-88c7-59a76492301c.usrfiles[.]com
hxxps://92c49223-b37f-4157-904d-daf4679f14d5.usrfiles[.]com
Categories:マルウェアの情報
[…] 侵害されたホームページはマルウェアの配布に利用され、Web シェルによって窃取した情報を転送する等の機能を実行する。この攻撃方式の一番最初の配布は ASEC ブログを通じて掲載した内容の通り、電子メールの添付ファイルで行われたことが確認されている。感染したシステムのタスクスケジューラーに登録されることで、持続的に侵害が行われる。 […]