最近、ISO ファイルによるマルウェアの配布方式が増えている。そのなかでも、バンキング型マルウェアである Qakbot の配布方式が Excel 4.0 Macro を利用していたものから ISO ファイルを利用するものへと変更されて拡散していることを確認した。ASEC ブログでは Qakbot 以外にも AsyncRAT、IcedID、BumbleBee マルウェアが ISO ファイルを利用したという事例を取り上げてきたが、最近はこのようにマルウェアを配布するプロセスに ISO ファイルを利用するケースが増えていることがわかる。
まず、Qakbot を配布するフィッシングメールは[図1]の通りであり、不正な HTML ファイルが添付されている形である。

添付された HTML ファイルを開くと、[図2]のようなページを確認でき、スクリプト内に存在する圧縮ファイルが生成される。圧縮ファイルにはパスワードが設定されており、パスワードは HTML ページで確認できる。


圧縮ファイルの中には ISO ファイルが存在し、ISO ファイルの中には LNK ファイルと1個のフォルダーが存在する。フォルダー内には[図6]のように不正なファイルと正常なファイルを含む多数のファイルが存在する。



LNK ファイルはフォルダーアイコンに偽装しており、開くと conspicuously フォルダー内に存在する不正な JS ファイルを実行する。

不正な JS ファイルは同じフォルダー内に存在する cmd ファイルを引数「regsvr」で実行する機能を担う。cmd ファイルは引数で渡された「regsvr」と「32」文字列を組み合わせ、最終的に regsvr32.exe を通じて recruiter.db ファイルをロードする。この時ロードされたファイルが、バンキング型マルウェアの Qakbot である。


Qakbot マルウェアはまず「C:\INTERNAL\__empty」パスにファイルが存在するかを確認し、存在する場合は不正な振る舞いを実行しない。このプロセスは Windows Defender のエミュレーション文字列を検知するものと推定される。

また、環境変数を通じて当該 PC の感染有無をチェックし、特定の環境変数が存在しない場合、不正な振る舞いを実行する。その後、ユーザー名、実行中のプロセス情報、OS 情報等を窃取して正常なプロセスにインジェクションする。インジェクション対象のプロセスは、以下の通りである。
- インジェクション対象の正常なプロセス
C:\Windows\explorer.exe
C:\Windows\System32\msra.exe
C:\Windows\System32\OneDriveSetup.exe
インジェクションされたプロセスは多数の C2 をデコードして接続を試みるが、そのうちの一部は以下の通りである。C2 に接続した場合、不正なモジュールのダウンロード、金融情報の窃取等のさらなる不正な振る舞いを実行することがある。
- C2
154.181.203[.]230:995
66.181.164[.]43:443
197.204.143[.]46:443
37.76.197[.]124:443
89.211.223[.]138:2222
151.234.63[.]48:990
31.54.39[.]153:2078
61.105.45[.]244:443
186.105.182[.]127:443
181.231.229[.]133:443
62.114.193[.]186:995
70.81.121[.]237:2222
1.10.253[.]207:443
138.0.114[.]166:443
102.101.231[.]141:443
177.255.14[.]99:995
203.77.187[.]131:80
最近、ISO ファイルを利用したマルウェアの拡散が増えており、メールに添付された添付ファイルの閲覧には注意しなければならない。現在 V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Malware/Win.Generic.C5240833 (2022.09.21.00)
Dropper/HTML.Qakbot (2022.09.30.03)
Trojan/CMD.Runner (2022.09.30.03)
Trojan/JS.Runner (2022.09.30.03)
[IOC]
5c97198ce6ada4da0e2f4fc0062bfd3b
34e4f836930e6215d1ccf50b4af7f41a
16c560ec4b9bd06e04b774863b820952
be8a72cb66f90fd4adffb8c2784b74c9
6849be4028889845f55516c304fed307
154.181.203[.]230:995
66.181.164[.]43:443
197.204.143[.]46:443
37.76.197[.]124:443
89.211.223[.]138:2222
151.234.63[.]48:990
31.54.39[.]153:2078
61.105.45[.]244:443
186.105.182[.]127:443
181.231.229[.]133:443
62.114.193[.]186:995
70.81.121[.]237:2222
1.10.253[.]207:443
138.0.114[.]166:443
102.101.231[.]141:443
177.255.14[.]99:995
203.77.187[.]131:80
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報