ASEC 分析チームは、9月に紹介した Qakbot マルウェアが韓国国内のユーザーをターゲットに拡散していることを確認した。ISO ファイルを利用している点を含む全体的な動作プロセスは従来と類似しているが、ビヘイビア検知を回避するためのプロセスが追加された。
まず、韓国国内のユーザーをターゲットに拡散した電子メールは以下の通りである。このメールは従来の正常なメールをハイジャックして不正なファイルを添付して返信する形式で、過去にブログを通じて紹介した Bumblebee と IceID の配布プロセスと同じである。ユーザーは、過去のメール内容が含まれていることから正常な返信メールと勘違いする可能性がある。最近、このような電子メールハイジャック方式が増加していることがわかる。
メールに添付された HTML ファイルは従来のものと同じく、スクリプト内に存在する圧縮ファイルを生成する。圧縮ファイルにはパスワードが設定されており、これは、ファイルの検知を回避するための目的と見られる。パスワードは、以下のように HTML ページ内で確認できる。
生成された圧縮ファイルの中には ISO ファイルが存在し、ISO ファイル内部は従来と同じく LNK ファイルと CMD ファイル、不正な DLL が存在している。
LNK ファイルのプロパティは以下の通りであり、同時に生成された CMD ファイルを実行する。
CMD ファイルはシステムフォルダーに存在する正常なプログラム(regsvr32.exe)を「C:\\Users\\Public\\re.exe」にコピーしたあと、当該パスのファイルを通じて不正な DLL をロードする。このようなプロセスはビヘイビア検知を回避するためのものと推定される。
ロードされた DLL はバンキング型マルウェアの Qakbot であり、正常なプロセス(wermgr.exe)を実行後、不正なデータをインジェクションする。インジェクションされたプロセスは複数の C2 をデコードして接続を試み、C2 に接続されると不正なモジュールのダウンロード、金融情報の窃取等のさらなる不正な振る舞いが実行される場合がある。
- C2
197.158.89[.]85:443
105.69.155[.]85:995
41.248.72[.]229:8443
8.246.161[.]254:80
最近になり ISO ファイルを利用したマルウェアの拡散が増えている。また、正常なメールをハイジャックしたあと不正なファイルを添付して返信する形式のフィッシング方式が多数確認されているため、ユーザーは不明な送信者から送られた添付ファイルを閲覧しないようにしなければならない。V3 では、これらのマルウェアを以下のように検知している。
[ファイル検知]
Dropper/HTML.Qakbot.SC183805 (2022.10.11.03)
Malware/Win.Possible_smhpqakbottha.R525663 (2022.10.08.01)
Trojan/CMD.Runner (2022.10.20.03)
[IOC]
00a12831f1f2d1b6375c2da6725148b5
3c6ca0315dd040d5752e488c743c17c2
d92fe35ba1c68a744f5f73e40469390a
197.158.89[.]85:443
105.69.155[.]85:995
41.248.72[.]229:8443
8.246.161[.]254:80
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報