仮想ディスクファイル(*.vhd)で拡散している Qakbot

最近、ディスク画像ファイルを利用したマルウェアの配布が増加している。その中でも Qakbot マルウェアは ISO および IMG ファイルを通して配布されてきており、現在は VHD ファイルに形態を変更して拡散されていることが確認された。このように Qakbot マルウェアがディスク画像ファイル(IMG、ISO、VHD)を利用するのは、MOTW(Mark of the Web)を回避するためであるものと思われる。ディスク画像ファイルは、内部ファイルの抽出もしくはマウント時に、内部ファイルに MOTW が継承しないため、MOTW 機能を回避することができる。

Qakbot を配布しているフィッシングメールは以下の通りである。従来と同じように圧縮ファイルを生成する HTML を添付する形式である。

添付された HTML ファイルを実行すると、Google Drive に偽装したページを確認できる。この時 HTML スクリプトによって、スクリプト内部に存在する圧縮ファイルが自動で生成される。圧縮ファイルにはパスワードが設定されており、パスワードはこのページに表示されている。

圧縮ファイル内部には仮想ディスクファイルである VHD ファイルが存在する。

VHD ファイルは、Windows8 以上の環境で自動でマウントすることができ、以下のように内部ファイルが生成される。

生成された LNK ファイルのプロパティは以下の通りであり、同じく生成された reserved.cmd ファイルを実行する。

reserver.cmd コマンドは以下の通りである。resting.cmd ファイルを実行すると、特定の文字列をパッシングして引数を伝達する。

resting.cmd コマンドは以下の通りである。引数で伝達された文字列を組み合わせ、rundll32 を通して hogs.tmp ファイルをロードする。hogs.tmp は DLL ファイルで Qakbot マルウェアである。

Qakbot はバンキング型マルウェアであり、正常なプログラムである wermgr.exe を実行して不正なデータをインジェクションする。インジェクションされたプロセスは C2 に接続を試み、接続できた場合は不正なモジュールのダウンロードおよび金融情報の窃取などの追加の不正な振る舞いを行う。LNK 実行から Qakbot が実行されるプロセスのプロセスツリーは以下の通りである。

  • C2 : 2.14.82[.]210:2222

最近、ディスク画像ファイルを利用したマルウェアが増加しており、セキュリティ機能を回避するために様々な拡散方式が使用されている。ユーザーは出どころの不明なメールの閲覧を自制しなければならず、添付されたファイルを実行しないようにしなければならない。現在 V3 ではこのマルウェアを以下のように検知している。

[ファイル検知]
Trojan/Win.BankerX-gen.R538785 (2022.12.08.01)
Dropper/BIN.Generic (2022.12.14.00)
Dropper/HTML.Qakbot (2022.12.14.00)
Trojan/CMD.Runner (2022.12.14.00)

[IOC]
ab4c2e5302c44ddc16f5fe4162640bd0
5bd4a0f37a6420a00e1ceb378446f8b8
1c1deaa10c6beea64661e8afba6ce276
63524b4118710e4d6d522b0165d71b71
5cbd45a04efdec84a576398e8ed702e6

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments