最近 AhnLab Security Emergency response Center(ASEC)は、Emotet マルウェアが OneNote を通して拡散していることを確認した。スピアフィッシングをベースとして始まる以下のような電子メールを通して、不正なスクリプトファイル(JS ファイル)が含まれた OneNote の閲覧を誘導する。
OneNote を実行すると、ドキュメント閲覧のためにクラウドに接続するボタンのクリックを誘導し、Next ボタンには output1.js 名の不正なスクリプトが挿入されていた。
実行された output1.js ファイルは、以下のように文字列置換方式で難読化されており、最終的に実行されたスクリプトファイルは、指定された C2 に接続して Emotet マルウェアをダウンロードする。
ダウンロードされた Emotet マルウェアは regsvr32.exe を通して実行される。最近 OneNote を悪用したマルウェアの配布が頻繁に確認されているため、出どころがはっきりしない電子メールや OneNote の閲覧は特に注意する必要がある。
[検知]
- Malware/Win.Generic.C5398625 (2023.03.22.02)
- Downloader/JS.Agent (2023.03.24.00)
- Dropper/MSOffice.Generic (2023.03.24.00)
[IOC]
MD5
- b1a10568aa1e4a47ad2aa35788edc0af
- ad0358aa96105ca02607a7605f3a1e80
- 08d40c504500c324b683773b1c6189d9
- 89457cb5c8b296b5fb9a39218b485e1a
- 6c442d3235f3e60f7a9ea3efca0289ab
- 32ec97bbc9826ee88697362023ba68ed
- c3d33ce14a48096e1cd5ce43fa4e307e
- 27f882a2b795abfae8f33440afcd3ad4
- 50150db8010ddc87150cb8445f45d270
C2
- hxxp://www.garrett[.]kz/faq/iSPVXBmuu3nUma5wkdy/
- hxxp://sdspush.beget[.]tech/connectors/GDSeP6kcWtck20hVy/
- hxxp://www.agropuno.gob[.]pe/wp-content/f9I32dWeuQcbpRt19mZ7/
- hxxp://sipo[.]ru/images/aCyHhlS8n0bXBg4BU/
- hxxp://meteo[.]camera/11/VkU/
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報