Posted By Hansoyoung , 2021年 October 5日

履歴書に偽装した Makop ランサムウェアが韓国国内で拡散中

ASEC 分析チームは最近、履歴書に偽装した Makop ランサムウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。Makop ランサムウェアは昨年から変形を続けて出回っていたマルウェアであり、ASEC ブログでその内容を紹介してきた。今回も以前と同様 NSIS (Nullsoft Scriptable Install System)形式である。履歴書に偽装する方式は、企業の採用期間に合わせて採用担当者をターゲットに配布しているためと見られる。今年の上半期の採用期間にこのランサムウェアが配布されており、今回も下半期の採用期間に合わせて配布されたものと推定される。

現在出回っている不正なメールおよびファイル名は、以下の通りである。メールには圧縮された不正なファイルが添付されており、メールのタイトルおよび添付ファイル名は志願者の名前になっている。また、配布されているファイル名の中にパスワードが使用されているファイルが存在することから、圧縮時にパスワードが設定されたファイルが同時に配布されているものと推定される。

拡散ファイル名
\イ・ミンヨン(パスワード-210913)\履歴書\履歴書(採用の暁には常に最善を尽くし全力で取り組みます).exe)
\パク・ミンジ(パスワード-210913)\履歴書2\履歴書(採用の暁には常に最善を尽くし全力で取り組みます).exe)
\イ・ソンヨン願書\履歴書1\履歴書(採用の暁には常に最善を尽くし全力で取り組みます).exe)
\チャン・ソンギュ\履歴書3\履歴書4\履歴書(採用の暁には常に最善を尽くし全力で取り組みます).exe)

添付ファイルは圧縮された形式(.zip)であり、解凍すると特定のプログラムで圧縮されたファイル(.alz)が存在することが確認できる。圧縮ファイルの内部に更に別の圧縮ファイルが存在する形になっており、これは不正なファイルを二重に圧縮して検知を回避するためであると推定される。

最終的に添付ファイル内部からは以下のようなファイル2つが確認できる。Word アイコンに偽装した実行ファイル(exe)が、不正な振る舞いを行う Makop ランサムウェアである。

ランサムウェアファイルを実行すると以下のコマンドを使用し、ボリュームシャドウコピーを削除し、実行中のドキュメントファイル等を暗号化するために実行中の関連プロセスを終了した後、暗号化を実行する。

ボリュームシャドウコピーを削除するコマンド
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wmic shadowcopy delete

終了させるプロセス
msftesql.exe sqlagent.exe sqlbrowser.exe sqlservr.exe sqlwriter.exe oracle.exe ocssd.exe dbsnmp.exe synctime.exe agntsrvc.exe mydesktopqos.exe isqlplussvc.exe xfssvccon.exe mydesktopservice.exe ocautoupds.exe encsvc.exe firefoxconfig.exe tbirdconfig.exe ocomm.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe sqbcoreservice.exe excel.exe infopath.exe msaccess.exe mspub.exe onenote.exe outlook.exe powerpnt.exe steam.exe thebat.exe thebat64.exe thunderbird.exe visio.exe winword.exe wordpad.exe

暗号化から除外されるファイル名および拡張子は以下の通りである。

除外拡張子
makop CARLOS shootlock shootlock2 1recoesufV8sv6g 1recocr8M4YJskJ7 btc KJHslgjkjdfg origami tomas RAGA zbw fireee XXX element HELP zes lockbit captcha gunga fair SOS Boss moloch vassago usagoo pecunia exe dll mammon gamigin marbas harmagedon hinduism sinister baseus