ASEC 分析チームは、様々な方式によって変形され拡散している Emotet マルウェアについて、ブログで複数回にわたり情報を公開してきた。
最近、Emotet マルウェアの拡散が再び活発になっている状況が確認された。活発な拡散の様相を呈していた時点から約6か月が過ぎているため、ブログの最後で当時配布されていた Excel ファイルと比べてどのような部分に違いがあるのか確認していく。
https://asec.ahnlab.com/jp/30861/
https://asec.ahnlab.com/jp/31390/
ランダムな電子メールの添付ファイルを通じて配布される点、Excel シートに白文字のテキストで複数の数式を分散させて隠したてシートを非表示にする点は、どちらも同じ手法である。興味深い点は、今回拡散した Excel ファイルは今までに配布されたファイルとはいくつかの異なる特徴が存在することだが、一つずつ確認していくと以下の通りとなる。
- セルマクロを動作させる誘導方式の変化
セルマクロを動作させるために直接誘導していた方式から変化を示した。過去に確認されたファイルでは、以下のような文言を使用して「コンテンツの有効化(Enable Content)」ボタンをクリックするように誘導していたが、以下の図4)で確認できるように、Microsoft Office の Templates フォルダーに当該 Excel ファイルをコピーしたあと、再実行(Relaunch)を勧める方式に変更されたことがわかる。
Templates フォルダーは Microsoft Office のポリシー上、信頼できるパスと見なされるため、マクロのセキュリティ警告が発生せず、すぐに実行される点を悪用している。
[過去]
- Click “Enable Editing” from yellow bar above.
- Most features are disabled. To view and edit document click Enable Editing and click Enable Content.
[現在]
- RELAUNCH REQUIRED
In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again.
for Microsoft Office 2013 x32 and earlier – C:\Program Files\Microsoft Office (x86)\Templates
for Microsoft Office 2013 x64 and earlier – C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later – C:\Program Files (x86)\Microsoft Office\root\Templates
for Microsoft Office 2016 x64 and later – C:\Program Files\Microsoft Office\root\Templates
2. シートの保護が加えられる
攻撃者は、数式マクロを使用するためにシート内に数式を分散させて隠したあとシートを非表示にしているが、それに加えて作成した数式マクロが確認できないように、非表示にしたシートのデータにシートの保護を追加している。
解析の過程で確認されたシートの保護を解除するパスワードは「AABABAAABBB^」である確認され、シートの保護を解除すると従来と同じく分散して隠されているデータが存在することがわかる。推測するに、シート内部のデータ解析および検知を回避するための目的であると見られる。
3. Emotet バイナリの実行方式の変化
rundll32.exe を通じて .ocx 拡張子で保存される DLL ファイル(Emotet バイナリ)を実行する方法から、regsvr32.exe を通じて .ooccxx 拡張子の DLL ファイルを実行する方法に実行プロセスが変更されたことが確認できる。
- C:\Windows\System32\regsvr32.exe /S .. \oxnv1.ooccxx
- C:\Windows\System32\regsvr32.exe /S .. \oxnv2.ooccxx
- C:\Windows\System32\regsvr32.exe /S .. \oxnv3.ooccxx
- C:\Windows\System32\regsvr32.exe /S .. \oxnv4.ooccxx
ユーザーは V3 を最新バージョンにアップデートして使用し、出どころが不明なドキュメントファイルは開かないようにしなければならない。
[ファイル検知]
– Downloader/MSOffice.Generic (2022.11.04.00)
– Trojan/Win.Emotet.R532802 (2022.11.04.01)
– Trojan/Win.Emotet.C5291114 (2022.11.04.03)
– Downloader/XLS.XlmMacro.S1947 (2022.11.07.02)
[ビヘイビア検知]
– Execution/MDP.Behavior.M3638
[IOC]
MD5
– 65d9d5c0a65355b62f967c57fa830348
– 64389305b712201a7dd0dc565f3f67e6
– 87fdbba19c131e74fbe2f98b135751d5
– 4aea7dd048106492a8c3d200924a3c39
C&C およびダウンロード
– hxxps://aldina[.]jp/wp-admin/YvD46yh/
– hxxps://www.alliance-habitat[.]com/cache/lE8/
– hxxps://anguklaw[.]com/microsoft-clearscript/oVgMlzJ61/
– hxxps://andorsat[.]com/css/5xdvDtgW0H4SrZokxM/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/41815/ […]