ASEC 分析チームは ISO ファイルを通して様々なマルウェアが拡散している事例を紹介してきた。最近は ISO ファイルを通してモジュール型のバンキングマルウェアである IcedID が拡散していることが確認された。確認されたのは2種類で、1つは以前紹介した Bumblebee マルウェアと同じ方式を利用している。もう一つのタイプも似たような方式を使用しているが、スクリプトファイルと cmd コマンドが追加されている。
https://asec.ahnlab.com/jp/35437/
最初のタイプは IcedID が実行されるプロセスおよび拡散プロセスが過去に紹介した Bumblebee マルウェアと全く同じである。正常なメールをハイジャックする方式を利用しており、以下のような不正なファイルを添付してユーザーに返信していた。不正なファイルは圧縮ファイルとして添付されており、圧縮ファイルはメール本文に記載されているパスワードで暗号化されていた。
圧縮ファイルの中には ISO ファイルが存在する。ISO ファイルは実行すると、DVD ドライブに lnk ファイルと dll を生成し、lnk ファイルを通して不正な dll をロードする。この時 dll は隠し属性に設定されており、当該プロセスはすべて Bumblebee と同一である。
- lnk のコマンド
%windir%\system32\cmd.exe /c start rundll32.exe hertbe.dll,#1
lnk ファイルを通してロードされる dll が IcedID マルウェアである。IcedID は Emotet や Dridex のようなバンキング型マルウェアであり、メインモジュールをダウンロードして不正な振る舞いを行う。この dll の C2 は以下の通りである。
- C2
hxxp://carismorth[.]com/
2つ目のタイプは ISO ファイルの内部に lnk ファイルと dll ファイル以外にもいくつかのファイルが存在している。ISO ファイルの内部は以下の通りであり、lnk ファイルおよび2つのフォルダーが存在する。
lnk ファイルは、2つのフォルダーのうち them フォルダーの worker.cmd ファイルを実行する。
- lnk のコマンド
C:\them\worker.cmd
lnk ファイルによって実行される worker.cmd ファイルは同じフォルダー内に存在する worker.js ファイルを引数「l32」で実行する機能を担っている。
Worker.js ファイルは引数として受け取った「l32」と「rundl」文字列を照合し、最終的に rundll32.exe を通して同じフォルダー内に存在する then.dat ファイルをロードする。
ロードされる then.dat ファイルは dll ファイルであり IcedID マルウェアになる。この C2 とパケットは以下の通りである。また、2つ目のタイプも1つ目のタイプと同様、lnk ファイルを通して最終的に dll がロードされるが、中間のプロセスが追加されたことが分かる。
- C2
hxxp://cootembrast[.]com/
最近になり ISO ファイルを利用したマルウェアの拡散が増えている。また、正常なメールをハイジャックして返信するタイプの拡散方式も利用されているため、ユーザーは注意する必要があり、メール内に存在する添付ファイルの閲覧は控えなければならない。現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Trojan/Win.Generic.R503676 (2022.07.10.01)
Trojan/Win.IceID.R505751 (2022.07.20.02)
Dropper/ISO.IcedID (2022.07.20.01)
Dropper/ISO.Agent (2022.07.20.02)
[IOC]
354c059e6f6a7d52046855496e9bbcff
88a254de852e3ba553da1af698215973
6474da79ff6331712c6a2c5cbadc9051
ad0436f20e1ecd7fdf9b4d147d8db2da
hxxp://carismorth[.]com/
hxxp://cootembrast[.]com/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報