ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。
https://asec.ahnlab.com/jp/34817/
VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。
圧縮ファイルの中には VBS が存在し、配布するファイル名には送り状、提案書等のファイル名を主に使用する。確認されたファイル名は以下の通りである。
| 日付 | ファイル名 |
|---|---|
| 10/05 | doc_10049500220529464169750.pdf.vbs |
| 10/07 | doc_5246701207754814333490.vbs |
| 10/12 | № 106 – Supply of Flex.vbs protected copy of the commercial invoice.vbs |
| 10/12 | LJUR900225565_pdf.vbs |
| 10/13 | 770140578183.CL.NoticeOfArrival.vbs |
| 10/15 | Urgent RFQ No.6554342.vbs |
| 10/17 | JKTR002014953_5101075053_ppwk.vbs |
| 10/17 | Order List(Draft) 9419-PDF.vbs |
| 10/18 | BESOLO.vbs |
| 10/21 | BEST SOLU.vbs |
確認された VBS ファイルには、コメントとダミーコードが多数存在する。
多数のコメントとダミーコードを除外すると、コードの下段に現在実行されている VBS ファイルにある文字列を2文字ずつ除外して読み込む機能を実行するコードが確認できる。
このコードを実行すると、コメントとして存在していた文字列がデコードされ、新たなスクリプトコードが実行される。デコードされたコードは難読化されたシェルコードと追加の PowerShell コマンドを含んでいる。
上記のスクリプトコードを実行すると、難読化されたシェルコードである「Ch8」の値を HKCU\Software\Basilicae17\Vegetates に保存する。
その後、「O9」変数の値を PowerShell で実行する。「O9」変数には PowerShell コマンドが保存されており、実行されるコマンドは以下のように難読化されている。
| powershell.exe “$Quegh = “””DatFMaruBidnMescFultkariStaoPtenKol EftHStaTBesBCel Uer{Taw fem Las Ude UndpLawaDokrSlaaQuamAsi(Uhj[DagSBontUnbrSkaiTilnHalgTis]Fes`$LivHPerSWir)Con;Fat Ret Hjl Amp Aft`$IntBLavySaltfaseBinsEno Che=Sax CenNDvdeDoswCyp-VovOShab <中略> Ind5Nin3Ree#Apo;”””;; Function Tammy159 { param([String]$HS); For($i=3; $i -lt $HS.Length-1; $i+=(3+1)){ $Statice = $Statice + $HS.Substring($i, 1); } $Statice;} $Ambulancetjeneste1820 = Tammy159 ‘UnsIPujEFolXInt ‘; $Ambulancetjeneste1821= Tammy159 $Quegh; & ($Ambulancetjeneste1820) $Ambulancetjeneste1821;; |
PowerShell コードは「$Quegh」変数に保存されている難読化された値を3文字ずつ除外する方式でデコードする。 (ex. UnsIPujEFolXInt -> IEX)
デコードされたコマンドもやはり難読化されており、最終的に実行されるコードは以下の通りである。
先に HKCU\Software\Basilicae17\Vegetates に保存した難読化されたシェルコードを base64 でデコードして実行する。実行されたシェルコードは正常なプロセスである CasPol.exe に AgentTesla マルウェアをインジェクションする。AgentTesla は情報流出型マルウェアであり、ユーザー PC の情報を収集して CO_[user 名]/[PC 名].zip で圧縮したあとメールを通じて流出させる。
使用されるメールの情報は以下の通りである。
- From : hasan@edp-bkv.com
- To : kingpentecost22@gmail.com
- pw : Fb56****65fr
AgentTesla は週間統計でも継続的に確認されているマルウェアであり、配布方式が絶えず変化している。また、シェルコードによって AgentTesla 以外にも様々なマルウェアが実行されることがあるため、注意が必要である。
[ファイル検知]
Dropper/VBS.Generic
Downloader/VBS.Powershell
Trojan/VBS.Agent
Trojan/VBS.Obfuscated
[IOC]
7fe2ed92d9306c8f0843cbb4a38f88e0
b06081daa9bc002cd750efb65e1e932e
eccef74de61f20a212ecbb4ead636f73
ea202427fbe14d9a6d808b9ee911f68c
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報