AhnLab Security Emergency response Center (ASEC)は、韓国国内の金融企業および保険会社を詐称した CHM マルウェアについて紹介した。最近、韓国国内の金融企業および保険会社を詐称した CHM マルウェアは情報流出を目的としていることが確認されたため、これを紹介する。配布日は金融企業の決済日が25日の予定となっているユーザーを基準に明細書が発送される7月17日(月曜日)に、金融企業と保険会社を装って配布された。これと同じ金融決済日を有するユーザーは、誤解してファイルを開いてしまう可能性が十分にある。AhnLab EDR 製品では、ユーザーが誤解により実行した新たなマルウェアについて、実行された履歴を詳細に記録し、被害状況と流出ファイルを確認することができる。
上記のブログ記事で、CHM マルウェアの配布方式と内容を紹介した。AhnLab EDR 製品において、CHM マルウェアから実行されて情報窃取型マルウェアによる窃取の振る舞いが行われるまで、どのように記録されるかを紹介する。
図1. EDR 検知ダイアグラム
[図1]は CHM マルウェアが実行された EDR 検知ダイアグラムである。hh.exe は Windows の正常なプログラムであり、Windows ヘルプファイル(*.CHM)を実行するプロセスである。その後に続くプロセスの実行関係から、スクリプトのプロセスとコマンドラインのインターフェースプロセスである CMD、および情報窃取型マルウェア alg.exe の実行関係を確認できる。
図2. CHM 逆コンパイルの検知
[図2]は以前のブログで紹介した初期実行プロセスにおいて「C:\Users\Public\Libraries」パスに CHM ファイルを逆コンパイルする振る舞いに関する検知である。逆コンパイルに使用されたコマンドラインを確認できる。
図3. 生成されたスクリプトの実行
逆コンパイル後、[図3]のように逆コンパイルによって生成された「Docs.jse」ファイルを Wscript で実行するコマンドラインを確認できる。前回のブログで紹介したスクリプトと同じ内容であることがわかる。
図4. 自動実行登録、さらなるマルウェアのダウンロードと実行
[図4]は実行された Wscript の不正な振る舞いに関する検知である。感染した状態を持続させるためのレジストリキー登録を行う内容が確認できる。登録するレジストリ名とデータについても確認でき、確認された内容から再感染への対処が可能である。自動実行を登録したあと、スクリプトを通じてコマンドラインのインターフェースである cmd を実行した内容を確認できる。実行されたコマンドラインを確認すると、PowerShell によって配布元のマルウェアを TEMP パスにダウンロードして start で実行することが確認できる。
図5. 情報窃取マルウェアの検知内容
図6. マルウェアの逆コンパイル内容
[図5]はダウンロードされた情報窃取マルウェアによる振る舞いの EDR 検知画面であり、[図6]はマルウェアを逆コンパイルした内容である。比較的小さいサイズでユーザー PC の情報とディレクトリ情報、ブラウザ情報等を窃取する。さらに、窃取した情報を圧縮ファイル形式で転送する機能がある。圧縮ファイルは[図5]の AhnLab EDR 製品による検知内容のように Public\Pictures パスに生成され、窃取した内容が含まれている。窃取した内容は攻撃者のサーバーに転送される。
AhnLab EDR 製品を使用すると、前述した内容以外にもさらなる情報の窃取内容が確認でき、どんな情報をどこに窃取したかの追跡に役に立つ。また、このようなマルウェアが実行される方法と過程についても確認が可能である。金融企業の決済予定日に合わせて送信される明細書を装ったマルウェアの配布方式は、ユーザーのミスを誘発する。このように、一度のミスで発生する脅威について、AhnLab EDR 製品でこれを確認することができ、確認された内容から対処を行うことが可能である。
[ビヘイビア検知]
Execution/EDR.Malware.M10459
Execution/EDR.Scripting.M11204
Persistence/EDR.Event.M11205
Connection/EDR.Behavior.M2650
Persistence/MDP.Event.M4697
Execution/MDP.Cmd.M4698
[ファイル検知]
Infostealer/Win.Generic.R5505251906 (2023.07.18.02)
Dropper/CHM.Generic (2023.07.20.00)
[IOC]
aaeb059d62c448cbea4cf96f1bbf9efa
150e53a8c852ac5f23f47aceef452542
59a924bb5cb286420edebf8d30ee424b
0f27c6e760c2a530ee59d955c566f6da
bfe2a0504f7fb1326128763644c88d37
hxxps://tosals[.]ink/kxydo
hxxps://tosals[.]ink/uEH5J.html
hxxps://frotsy[.]lol/cvxxv
hxxps://drilts[.]sbs/zcwq
hxxps://sklims[.]lat/sbjcw
hxxps://skrids[.]cfd/elzal
hxxps://snexby[.]sbs/svbgt
hxxps://snivox[.]lat/craig
hxxps://sutezy[.]mom/nmjnq
hxxps://crilts[.]cfd/cdeeb
hxxps://akriqa[.]xyz/qcknq
hxxps://ppangz[.]mom/mjifi
hxxps://atusay[.]lat/kxydo
hxxps://labimy[.]ink/rskme
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知