ASEC 分析チームは、韓国国内の特定の大学をターゲットに不正な CHM ファイルが多数拡散している状況を捕捉した。拡散している不正な CHM ファイルは、5月に紹介したものと同じタイプであることが確認された。
https://asec.ahnlab.com/jp/34041/
[図1]は不正な CHM の内部に存在する HTM ファイルのコードであり、「2022年度_基礎科学研究力量強化事業_着手報告会_開催_計画 Ver1.1.chm」というファイル名で拡散しているものと推定される。ユーザーが不正な CHM ファイルを実行すると、当該 HTM ファイルのコードが実行される。このスクリプトは hh.exe を通じて CHM ファイルを逆コンパイルしたあと、LBTWiz32.exe ファイルを実行する機能を担う。その後、正常な画像(KBSI_SNS_003.jpg)をユーザー PC 画面に生成して不正な振る舞いが発覚しにくいようにする。
実行される LBTWiz32.exe は正常なプログラムであり、DLL ハイジャック方式を通じて同じパスに生成された不正な DLL (LBTServ.dll)がロードされて動作する。不正なDLLは %TEMP% フォルダーに不正な VBE ファイルを生成および実行するが、この不正な VBE ファイルは ReVBShell である。[図2]~[図4]は、デコードされた VBE コードの一部である。
ReVBShell は以前に紹介したタイプと同じく「ESET Security」製品が存在する場合、不正な振る舞いを実行しない。このアンチウイルス製品が存在しない場合は C2 に接続を試み、C2 に接続すると攻撃者のコマンドに応じて以下の機能を実行することがある。
- VBE 機能
OS 情報の取得 (“SELECT * FROM Win32_OperatingSystem”)
ネットワークアダプタ情報の取得 (SELECT * FROM Win32_NetworkAdapterConfiguration WHERE MACAddress > ”)
コンピューター名およびドメイン情報の取得
現在実行中のプロセス情報の取得 (SELECT * FROM Win32_Process)
ファイルのダウンロードおよび実行機能
WGET 機能
最近、CHM を利用したマルウェアの配布が韓国国内において多数確認されている。また、特定の機関をターゲットに拡散しているため関連するユーザーはより一層の注意が必要であり、出どころが不明なファイルは実行しないようにしなければならない。現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Trojan/Win.ReverseShell.R506553 (2022.07.26.00)
Trojan/HTML.Generic (2022.07.26.00)
Trojan/VBS.Generic (2022.07.26.00)
[IOC]
56b3067c366827e6814c964dd8940c88
058bed5a09c20618897888022fd0116e
e8aa5c0309cbc1966674b110a4afd83a
ckstar.zapto[.]org:443
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報