ASEC 分析チームは、不正な CHM ファイルを通じて韓国国内で多数のユーザーが利用している文書編集およびメッセンジャープログラムに偽装したバックドアが拡散していることを確認した。最近様々な形で拡散している不正な CHM ファイルについては、3月にも ASEC ブログを通じて二度紹介したことがある。今回解説する不正な CHM ファイルは、以前とは異なるプロセスを経てさらなる不正なファイルを実行する。
現在拡散している CHM ファイル名のうち一部は以下の通りであり、国家機関管理者および大学教授等をターゲットに配布されているものと思われる。
- 拡散ファイル名
国家融合ネットワーク予備サーバーメンテナンス.chm
***** 電子出欠-Web ページ教授者-マニュアル Ver1.0.chm
添付1.専任教員責任時間確認プログラム使用方法 Ver1.0(韓国語).chm
https://asec.ahnlab.com/jp/33470/
[図1]~[図3]は不正な CHM ファイルに含まれた HTML ファイルのコードである。このスクリプトは特定の id 属性領域に不正なコマンドが含まれており、Click() 関数によって不正なコマンドを実行している。 その後、正常な画像を生成して不正な振る舞いに気づきにくいようにする。この手法は以前紹介した CHM ファイルと類似しているが、最終的に実行されるファイルが異なる形式をしている。
Click() 関数によって不正なコマンドが実行されると、CHM ファイルを逆コンパイルして ImagingDevices.exe ファイルを実行する。ImagingDevices.exe ファイルは正常なファイルであり、DLL ハイジャック方式を利用して同時に逆コンパイルされた不正な DLL をロードする。去年拡散した同じタイプの不正な CHM を見ると、Vias.exe から quartz.dll をロード、LBTWiz32.exe から LBTServ.dll をロードするように変形している。ロードされた不正な DLL は %TEMP% フォルダーに不正な VBE ファイルを生成して実行する機能を行う。[図4]~[図6]は、デコードされた不正な VBE コードの一部である。デコードされた VBE は ReVBShell であり、C2 に接続してコマンドに応じて様々な不正な振る舞いを実行することができる。また、WMI クエリによって対象 PC にインストールされているアンチウイルス製品の情報を取得し、「ESET Security」の文字列が存在する場合、不正な振る舞いを実行しない。
ReVBShell が実行され特定の時間が経過した後、攻撃者によりさらなる不正なファイルを生成して実行するログが、当社 ASD インフラによって確認された。確認されたさらなる不正なファイルのファイル名は以下の通りであり、韓国国内で多数のユーザーが利用している文書編集およびメッセンジャープログラムに偽装していることが分かる。
- ファイル名
HimTraylcon.exe:Hancom オフィスのプロセスに偽装 (小文字の L を使用)
HNetComAgent.exe:Hancom オフィスのプロセスに偽装
KaKaoTalk.exe:カカオトークのプロセスに偽装
確認された3つのファイルはすべて同じプロセスを経て内部データをデコードして実行する形式であり、デコードされたデータはすべて別の機能を実行する。まず HimTraylcon.exe ファイルは ReVBShell を通じて以下の url からダウンロードされるものと推定される。
– hxxps://92.38.135[.]212/fuat/HimTraylcon.exe
デコードされた HimTraylcon.exe ファイルはバックドアタイプのマルウェアであり、C2 に接続して攻撃者のコマンドを受け取り、ファイルの生成、ダウンロード、実行等のさらなる不正な振る舞いを実行することができる。C2 はエンコードされた形で存在し、デコードされた C2 は以下の通りである。
– formsgle.freedynamicdns[.]net:8080
デコードされた KaKaoTalk.exe ファイルはパスワードダンプツールである BrowserPasswordDump プログラムであると確認されており、HNetComAgent.exe ファイルはキーロガーで、「C:\Windows\Tasks\“現在時刻.tmp”パスにエンコードされたキーログファイルを生成する。このように、追加で生成された不正なファイルによってユーザー情報が窃取されることがあり、窃取された情報を利用してさらなる被害が生じるおそれがある。
上記で紹介したファイル以外にも攻撃者のコマンドによって様々な機能を実行する不正なファイルが追加で生成されるおそれがあるため、ユーザーは出どころが不明なファイルを実行しないようにしなければならない。また、特定のユーザーをターゲットとするファイル名で配布されているため、より注意しなければならない。
現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Dropper/Win.Generic.C5051138 (2022.04.04.03)
Backdoor/Win.Generic.C5104017 (2022.04.27.02)
HackTool/Win.PwDump.C5104015 (2022.04.27.02)
Keylogger/Win.Generic.C5104016 (2022.04.27.02)
[IOC]
c3d34480c38e69cf585f1e645445a9d5
efb242e03a435dff4e253a5259a2324e
29b0818d2e374d7b86937a952975ab14
87e2fc68014bbedc41449e6835ec516a
finance.my-homeip[.]com:443
formsgle.freedynamicdns[.]net:8080
hxxps://92.38.135[.]212/fuat/HimTraylcon.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/34041/ […]
[…] https://asec.ahnlab.com/jp/34041/ […]
[…] 文書編集およびメッセンジャープログラムに偽装したバックドア (*.chm) […]
[…] 文書編集およびメッセンジャープログラムに偽装したバックドア (*.chm) […]