ASEC 分析チームは、マクロシート(Excel 4.0 Macro)を利用した不正な Excel ドキュメントがフィッシングメールを通じて韓国国内に多数出回っている状況を確認した。マクロシートを利用した方法はマルウェア配布者がよく使用する方式であり、SquirrelWaffle / Qakbot を始めとする様々なマルウェアの配布にも使用された実績が存在する。
https://asec.ahnlab.com/ko/16708/(韓国語のみ提供)
マクロシートを活用したマルウェアに関しては、上記のように本ブログを通して複数回にわたり紹介してきた。今回紹介する形式も配布方式に大きな変化は見られないが、類似した形式のファイル名により大量に配布されている状況が確認されたため、ユーザーの注意が必要とされる。
ほとんどのファイル名は biz-106093825.xls / recital-1105217019.xls / miss-1360738092.xls のように、「短い英単語-[0-9]{7,10}」の形式を持つのが確認された。ASEC 分析チームで確保したファイルのうち一部を、以下の通りである。
- biz-10682809.xls
- biz-108566842.xls
- recital-1105217019.xls
- miss-1601179456.xls
- proto-1643065415.xls
- miss-1360738092.xls
- record-1844987577.xls
- record-16733321.xls
最初に Excel ファイルを実行した時には以下のように非表示のシートが確認でき、非表示のシートには白文字のテキストで分散して隠されているデータが存在する。
非表示のシートに分散して隠されているマクロコードを解析した結果は以下の通りである。
URLDownloadToFileA 関数を利用してシートに存在する外部 URL にアクセスし、追加のマルウェアを「C:\Datop\test.test」というファイル名で指定してダウンロードし、続いて regsvr32.exe を利用して実行するための目的であると確認できる。
現在はダウンロードが実行されないため以下のようにマクロ実行時にエラーが発生するが、内部で確保した「test.test」タイプのファイルはバンキングマルウェアの一種である Qakbot であることが確認された。
外部 URL との接続が有効であって正常に追加のマルウェアがダウンロードされた場合、Windows の正常なプロセスである explorer.exe を実行してシェルコードをインジェクションした後、追加の不正な振る舞いを行う。Qakbot マルウェアは基本的な実行持続性を維持するためにタスクスケジューラを変更する振る舞いと C2 に POST Connection することも確認されており、その情報は以下の通りである。
また、感染したシステムに対して収集した情報を POST Connection によって C2 に送信するが、OS バージョンおよびビット数、ユーザー名、コンピュータ名を始めとする一般的なシステム情報以外にも、以下のようなシステムユーティリティコマンドを通じて情報を収集することも確認できる。
多数の類似したファイル名で大量に出回っている状況が確認されていることから、ユーザーは出どころの不明な疑わしいメールを受信した場合、添付ファイルを実行しないようにしなければならない。また、使用しているアンチウイルスソフトのバージョンを常に最新にアップデートしておく注意が必要とされる。
現在 V3 では、ファイル検知に加えて以下のようにビヘイビア検知も可能である。
[ファイル検知]
Downloader/XLS.XLMacro
[ビヘイビア検知]
Malware/MDP.Behavior.M3638
[IOC]
91725a6d34b1ebde3554d22797ee8b2d
hxxps://slterp[.]com/q6tM5LqSc7CV/alp.html
hxxps://uptownsparksenergy[.]com/Vcvci5hRYpb/alp.html
hxxps://greenhillsacademy[.]org/d1XXblsaG/alp.html
hxxps://jjfinserv[.]com/sPgUbTca273t/super.gif
hxxps://live.sportsanews[.]com/9oQZ7XHINQ/super.gif
hxxps://e2eprocess[.]cl/d12AIIiIB4Q1/super.gif
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報