AhnLab Security Emergency response Center (ASEC)では、国税庁を騙った不正な LNK ファイルが韓国国内で拡散されている状況を確認した。LNK を利用した配布方式は過去にも用いられていた方式で、最近では韓国国内のユーザーを対象とした配布が多数確認されている。
最近確認された不正な LNK ファイルは、電子メールに添付された URL を通じて配布されるものと推定される。当社インフラを通じて確認された URL は以下の通りであり、「総合所得税申告関連釈明資料提出案内.zip」という名前の圧縮ファイルがダウンロードされる。解析当時は、ダウンロードされた圧縮ファイル内に不正な LNK ファイルと正常なアレアハングルドキュメント2つが存在した。現在は当該 URL からダウンロードされる圧縮ファイル内に正常なアレアハングルドキュメント3つのみが存在することからして、攻撃者は短い期間内にだけ不正なファイルを配布し、以降の解析や追跡を困難にしているものと見られる。
- ダウンロード URL
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip(hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=総合所得税%20申告関連%20釈明資料%20提出%20案内.zip)
圧縮ファイル内に存在する「国税庁総合所得税釈明資料提出案内.lnk」という名前の不正な LNK ファイルは約 300MB のサイズのダミーデータが付加されている形であり、不正な PowerShell コマンドが含まれている。
この PowerShell コマンドの機能として、まず LNK ファイル内部に存在する正常なアレアハングルドキュメントを「国税庁総合所得税釈明資料提出案内.hwp」という名前で作成した後、実行する。以下は作成される正常なアレアハングルドキュメントの内容である。国税庁を騙って税金関連の案内文に偽装しており、ユーザーが不正な LNK ファイルを開いた場合、正常なアレアハングルドキュメントが開かれたと勘違いする可能性がある。
その後、同様に LNK ファイル内部にある圧縮ファイルを「%Public%\02641.zip」のパスに作成する。作成された圧縮ファイルを解凍した後、start.vbs ファイルを実行し、LNK ファイルと圧縮ファイルは削除する。解凍後に作成されるファイルは以下の通りであり、各ファイルの機能は[表1]の通りである。
| ファイル名 | 機能 |
|---|---|
| start.vbs | 74116308.bat の実行 |
| 74116308.bat | RunKey 登録(start.vbs) 02619992.bat の実行(ダウンロード機能) 86856980.bat の実行(情報窃取機能) 20191362.bat を通じて CAB ファイルをダウンロード |
| 02619992.bat | 20191362.bat を通じて ZIP ファイルをダウンロード unzip.exe を通じて圧縮ファイル解凍後、rundll32.exe を実行 |
| 86856980.bat | ユーザー情報の収集 53844252.bat の実行 |
| 20191362.bat | ファイルのダウンロード |
| 53844252.bat | ユーザー情報のアップロード |
| unzip.exe | ZIP ファイルの解凍 |
このスクリプトによって最終的に実行される不正な振る舞いは、ユーザー情報の窃取およびさらなる不正なファイルのダウンロードである。窃取されるユーザー情報は以下の通りであり、この情報は「hxxp://filehost001.com/upload.php」に送信される。
- 窃取情報
downloads フォルダーのファイルリスト
documents フォルダーのファイルリスト
desktop フォルダーのファイルリスト
IP 情報
実行中のプロセスリスト
システム情報
追加でダウンロードされるファイルは計2つあり、ZIP ファイルと CAB ファイルである。まず、ZIP ファイルは unzip.exe を通じて解凍するが、その際にパスワード(a)が必要である。その後作成されたファイルを rundll32.exe によってロードする。
- ダウンロード URL
hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502
CAB ファイルは expand コマンドによって解凍し、その後作成される temprun.bat ファイルを実行する。
- ダウンロード URL
hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt
現在は2つの URL どちらも接続が不可能であるため、追加でダウンロードされるファイルは確認できなかった。当社インフラを通じて確認された最終的に実行されるマルウェアは Qasar RAT、Amadey が該当し、攻撃者がアップロードファイルによって様々な不正なファイルがダウンロードされる可能性がある。
上記で紹介した国税庁を騙った LNK の他にも、以下のように様々なトピックを利用して不正な LNK が配布されており、注意が必要である。
- 配布ファイル名
230827- 協議会参加団体現況.xlsx.lnk
202308 統一部組織改編説明資料.pdf.lnk
2023-2-駐車登録申請書-学生用.hwp.lnk
受講申請訂正願.hwp.lnk
securityMail.html.lnk
最近、韓国国内のユーザーを対象に不正な LNK ファイルの拡散が増加しており、ダウンロードされるファイルによってさらなる被害が発生することがある。ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルの閲覧を控える必要がある。また、周期的に PC のメンテナンスを行い、セキュリティ製品を最新エンジンにアップデートしなければならない。
[ファイル検知]
Downloader/LNK.Generic (2023.09.13.02)
Infostealer/BAT.Generic.S2319 (2023.09.11.02)
Downloader/BAT.Generic.SC192403 (2023.09.13.03)
Downloader/BAT.Generic.SC192404 (2023.09.13.03)
Downloader/BAT.Generic.SC192405 (2023.09.13.03)
Trojan/BAT.Runner.SC192407 (2023.09.13.03)
[振る舞い検知]
Fileless/EDR.Powershell.M11335
[IOC]
560e5977e5e5ce077adc9478cd93c2ac
7725d117d0bd0a7a5fb8ef101b019415
2d0747533d4d3f138481c4c4cda9ea1e
9c3eef28b4418c40a7071ddcba17f0e8
20f0e8362782c7451993e579336f2f3e
b5f698fb96835d155fbcc1ccd4f4b520
ca11ba5e641156ff72400e7f5e103aee
hxxps://file.gdrive001[.]com/read/?cu=jaebonghouse&so=종합소득세%20신고관련%20해명자료%20제출%20안내.zip
hxxps://file.gdrive001[.]com/read/get.php?cu=ln3&so=xu6502
hxxp://filehost001[.]com/list.php?f=%COMPUTERNAME%.txt
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報