ASEC 分析チームは GuLoader マルウェアが韓国国内企業のユーザーをターゲットに拡散している状況を捕捉した。GuLoader はダウンローダーマルウェアであり、様々なマルウェアをダウンロードし、過去から何度も変形を続けて拡散している。拡散しているフィッシングメールは以下の通りであり、HTML ファイルが添付された形式である。

添付された HTML ファイルを開くと、以下の URL から圧縮ファイルがダウンロードされる。
- ダウンロード URL
hxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip

圧縮ファイルの中には IMG ファイルが存在し、IMG ファイルの内部に GuLoader マルウェアが存在する。

GuLoader は Word アイコンに偽装しており、ファイルの末尾に約 600MB サイズの Null 値が追加されている。

また、7月に ASEC ブログを通じて紹介した GuLoader と同じく NSIS 形式だが、今回拡散している GuLoader では NSIS Script の機能に変化が生じた。従来の NSIS Script は以下のように呼び出す DLL および API 名の一部文字列が存在していたが、変化した NSIS Script では検知を回避するために関連文字列をすべて削除している。

削除された文字列は特定のファイルにエンコードされた形式で存在する。NSIS ファイルを実行すると同時に生成されるファイルのうち「Udmeldt.Ext」ファイルは、以降にロードされる ShellCode であり、「Modig.Sta0」ファイルは呼び出す DLL および API 名がエンコードされた形で存在する。文字列をデコードするプロセスは、以下の NSIS Script を通じて確認できる。

まず、API 呼出のために Modig.Sta0 ファイルの 12278(0x2FF6) の位置にあるデータから XOR を実行する。

デコードされたデータは以下の通りであり、順番に API を呼び出す。

API が順番に呼び出されると、割り当てられたメモリに「Udmeldt.Ext」ファイルの 21200(0x52D0) 位置のデータをロードし、実行する。この時にロードされたデータが、実際の不正な振る舞いを実行する。


ロードされた GuLoader は「C:\program files\internet explorer\ieinstal.exe」パスの正常なプロセスを実行後、不正なデータをインジェクションする。インジェクションされた正常なプロセスは以下の URL にアクセスし、さらなるマルウェアのダウンロードを試みる。現在はダウンロードが実行されないが、Formbook、RedLine、AgentTesla 等のインフォスティーラーおよび RAT 形式のマルウェアをダウンロードする場合がある。
- ダウンロード URL
hxxp:// 45.137.117[.]184/riBOkPd173.mix
ダウンローダーマルウェアである GuLoader は検知を回避するために何度も変形を続けて出回っている。また、韓国国内ユーザーをターゲットに拡散しているため注意が必要であり、出どころが不明なメールの添付ファイルを開かないようにしなければならない。現在 V3 では、このマルウェアを以下のように検知している。
[ファイル検知]
Downloader/HTML.Generic.SC183804 (2022.10.11.03)
Trojan/Win.Agent.C5275941 (2022.10.11.03)
[IOC]
9227aca78ee90c18f87597516a28b091
f3abed0008eef87e2fb082d16e5df4d1
hxxp://45.137.117[.]184/Files_For_Potosinos/Doc_Scan.zip
hxxp:// 45.137.117[.]184/riBOkPd173.mix
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報