AhnLab Security Emergency response Center(ASEC)は、韓国国内の金融企業および保険会社を詐称した CHM マルウェアについて紹介した。最近、韓国国内の金融企業および保険会社を詐称した CHM マルウェアの実行方式が毎週変化している。AhnLab EDR 製品に CHM マルウェアの変化がどのように記録されているか紹介する。
図1. EDR 検知ダイアグラム
[図1]は金融企業および保険会社を詐称した CHM マルウェアの実行方式を検知した EDR 製品のダイアグラムである。初回配布のダイアグラムは[図1]の一番上にある部分で、以前紹介した内容にも含まれている。Windows ヘルプファイルである CHM を実行すると、hh プロセスによって実行される。内部 HTML ファイルのスクリプトを逆コンパイルし、ファイルを生成する。生成された .jse ファイルで wscript を実行する方式である。
このような方式は、[図1]の真ん中にあるダイアグラム、すなわち一つ目の変形と同じである。最初の配布形態と一つ目の変形形態の差は .jse ファイル内に存在する。
図2. jse 配布スクリプト
図3. jse 配布スクリプトの変形
[図2]は最初の配布形態 .jse スクリプトの内容で、[図3]は一つ目の変形のスクリプトである。最初の配布形態は、CMD で PowerShell コマンドを実行してダウンロードおよび実行する方式で、過去のブログで紹介した。[図3]の一つ目の変形スクリプトは、持続的な感染のために .jse ファイルの自動実行レジストリを登録することは同じであるが、当社製品のインストール先によって実行方式が変化する。当社製品がインストールされた環境では、スクリプトを通じてダウンロードし、自動実行レジストリを利用して実行する。一方、当社製品がインストールされていない場合には、ダウロードの後、即時に実行を行う。[図2]と[図3]の差によって、[図1]の上と真ん中部分のダイアグラムの差も確認することができる。
[図1]の一番下にあるダイアグラムは二つ目の変形タイプである。金融企業および保険会社を詐称した CHM マルウェアが直接的にマルウェアをドロップおよび実行する。実行されるマルウェアは .NET で制作され、最初の配布ファイルと構成が似ているが、情報流出に集中したのではなく、バックドアのようにリバース接続を目的とするマルウェアである。
韓国国内の特定のユーザーを対象に拡散しているマルウェアは、配布対象によって関心のあるトピックの内容を含んでユーザーの実行を誘導するため、出どころの分からないメールの閲覧は避け、添付ファイルは実行しないようにしなければならない。また、周期的に PC のメンテナンスを行い、セキュリティ製品を最新エンジンにアップデートしなければならない。
[ビヘイビア検知]
InitialAccess/MDP.Event.4363
InitialAccess/MDP.CHM.M10720
Execution/EDR.Malware.M10459
Execution/EDR.Scripting.M11204
Persistence/EDR.Event.M11205
Connection/EDR.Behavior.M2650
Persistence/MDP.Event.M4697
Execution/MDP.Cmd.M4698
[ファイル検知]
Infostealer/Win.Generic.R5505251906 (2023.07.18.02)
Dropper/CHM.Generic (2023.07.20.00)
Backdoor/Win.Generic.C5464647 (2023.08.02.03)
Downloader/JS.Obfus (2023.07.28.00)
Trojan/HTML.RUNNER.S2326(2023.08.02.02)
[IOC]
056932151e3cc526ebf4ef5cf86ae0b4
258472c79fc3b9360ad560e26350b756
8d39335e67e797ad66c3953c3d6203ce
790c5f50942a502252a00b9878db9496
7c949f375c56e7de7a3c4f0a9a19c4e5
https[:]//atusay.lat/kxydo
https[:]//zienk.sbs/kjntf
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知