AhnLab Security Emergency response Center (ASEC)では、エントリーシートに偽装したマルウェアの配布が続いていることを確認した。このマルウェアには当社製品名のプロセス(V3Lite.exe)を始めとして、様々なアンチウイルスプロセスが存在するかどうかを確認する機能が存在し、韓国国内の求人・求職サイトで類似した不正な URL を通じて配布されている。確認されたダウンロード URL は以下の通りである。
- hxxps://manage.albamon[.]info/download/20230201good001/%EC<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
- hxxps://manage.albamon[.]live/23_05_15_05/%EC%<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
- hxxps://manage.albamon[.]live/23_05_22_Fighting_ok/%EC<省略>_%EC%9E%85%EC%82%AC%EC%A7%80%EC%9B%90%EC%84%9C.hwp.scr
上記 URL を通じてダウンロードされる不正なファイルは、スクリーンセーバー(.scr)の拡張子およびアレアハングルドキュメント(.hwp)のアイコンをしている。ファイルを実行すると、[図3]のように内部の RCDATA に存在する圧縮ファイルデータが %Public%\[6桁のランダムな文字列].zip で保存される。
その後、%Public%\Documents\Defender\[6桁のランダムな文字列] フォルダーに上記ファイルを解凍し、追加ファイルを生成する。wechatweb.exe の場合、ファイル名がランダムな6桁の文字列で生成され、生成されたファイルは以下の通りである。
| ファイル名 | 機能 |
|---|---|
| lim_b_n.hwp | 正常なアレアハングルファイル |
| cmcs21.dll | yga.txt のデコードおよび実行 |
| wechatweb.exe ([6桁のランダムな文字列].exe) | cmcs21.dll のロード |
| yga.txt | エンコードされた不正なデータ |
その後、%Public%\Music\[6桁のランダムな文字列] フォルダーを生成し、InternetShortcut ファイルを生成して、事前に生成した正常なアレアハングルファイルと wechatweb.exe([6桁のランダムな文字列].exe)が実行されるようにする。このショートカットファイルは実行後、削除される。
[図6]のショートカットファイルを通じて実行されたアレアハングルドキュメントは、以下のようにエントリーシート様式をしている正常なドキュメントである。
[図7]のショートカットファイルを通じて実行された wechatweb.exe([6桁のランダムな文字列].exe)は、同時に生成された cmcs21.dll をロードして CMGetCommandString という名前の exports 関数を実行する。ロードされた cmcs21.dll は以下のレジストリを登録して不正なファイルが持続的に実行されるようにする。
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\specialyouttg0a
- Data: C:\Users\Public\Documents\Defender\[6桁のランダムな文字列]\[6桁のランダムな文字列].exe(wechatweb.exe)
その後、yga.txt を読み込んでこれをデコードしたあと、当該データを再帰処理した wechatweb.exe([6桁のランダムな文字列].exe)プロセスにインジェクションすることで、最終的に情報流出等の不正な振る舞いが遂行される。インジェクションされたプロセスは同じフォルダーに[6桁のランダムな文字列].Kinf を生成したあと、キーロガーデータをエンコードして保存する。
また、当社のアンチウイルスと見られるプロセス名(V3Lite.exe)等、様々なアンチウイルスプログラムの情報も収集するが、このとき特定のプロセスが確認されると、プロセス名ではなく以下の[表2]右側の送信情報を伝達する。
| プロセス名 | 送信情報 |
|---|---|
| V3Lite.exe | V3 |
| AvastSvc.exe | Avast |
| NCleanService.exe | NaverCleaner |
| Nsvmon.npc | NaverVaccine |
| 360rps.exe | 360 |
| ZhuDongFangYu.exe | 360 |
| AYRTSrv.aye Naver-NST.exe KAVsvc.exe Mcshield.exe Rising.exe |
– |
このほかに収集される情報は以下の通りである。
| 0$*[ ドライブボリュームのシリアル番号 ]$*0515$*$*[ ローカル PC の IP 情報 ]$*$*[ PC 名 ] $* [ User 名] $* [ OS バージョン情報 ] $* [ メモリ使用量 ] MB $* [ プロセッサ情報 ] $* [ 画面解像度 ] $*$*$* [ プロセスの時間情報 ] $*[ ランダム値 ] $* [ Foreground Window の Text ] $* [ 使用中のアンチウイルスプロセスの種類 ] $*2560230837$*zxcv12321$*1111111$* |
このマルウェアは、情報収集だけでなく攻撃者のコマンドに従ってインターネットオプションの設定、スクリーンキャプチャ、サービスの管理、インターネット Cookie データの確認等、様々な不正な振る舞いを実行することがある。
- C2 : ggt-send-6187.orange-app[.]vip:6187
エントリーシート.scr に偽装したファイルは、以下のように以前から拡散が続いている。最近ではマルウェアのダウンロード URL を韓国国内の求人/求職サイトそっくりに設定しており、ユーザーが不正なサイトであることに気づきにくいため、ユーザーは特に注意が必要である。
| 確認日 | ファイル名 |
|---|---|
| 2021.02.18 | ペ**_エントリーシート.scr |
| 2021.05.10 | イ**_エントリーシート.scr |
| 2022.01.17 | ソン**_エントリーシート.scr |
| 2022.04.04 | イ**_エントリーシート.scr |
| 2023.01.31 | イ**_エントリーシート.hwp.scr |
| 2023.05.15 | イム**_エントリーシート.hwp.scr |
[ファイル検知]
Dropper/Win.Agent.C5433106 (2023.05.26.02)
Dropper/Win.Agent.C5433107 (2023.05.26.02)
Data/BIN.Encoded (2023.06.01.03)
Trojan/Win32.Agent.C174738 (2016.02.19.09)
[ IOC ]
MD5
15a0e9cd449bce9e37bb1f8693b3c4e0 (scr)
498eda85200257a813dc6731d3324eb6 (scr)
0ddcb876007aee40f0c819ae2381d1b1 (yga.txt)
ccf3fcd6323bcdd09630e69d6ee74197 (yga.txt)
URL & C2
hxxp://ggt-send-6187.orange-app[.]vip:6187
hxxps://manage.albamon[.]info
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報