最近、AhnLab Security Emergency response Center(ASEC)では、電子メール等の手段を用いて金融およびブロックチェーン企業従事者を対象に不正な LNK ファイルが配布されている状況を確認した。
不正な LNK ファイルは URL を通じて配布され、当社インフラによって確認された URL は以下の通りである。
- ダウンロード URL
hxxps://file.lgclouds001[.]com/read/?[이메일 계정]&zw=블록체인%20기업%20솔루션%20편람%20제작.zip(hxxps://file.lgclouds001[.]com/read/?[メールアドレス]&zw=ブロックチェーン%20企業%20ソリューション%20便覧%20制作.zip)
hxxps://file.ssdrive001[.]com/read/?[이메일 계정]&zw=블록체인%20기업%20솔루션%20편람%20제작.zip(hxxps://file.ssdrive001[.]com/read/?[メールアドレス]&zw=ブロックチェーン%20企業%20ソリューション%20便覧%20制作.zip)
ダウンロードされるファイルは「ブロックチェーン企業ソリューション便覧制作.zip」という名前の圧縮ファイルであり、攻撃者は当該 URL に不正なファイルと正常なファイルを交互にアップロードし、解析に混乱を生じさせた。
ダウンロードされる不正な圧縮ファイルには、DOCX ファイルの代わりに不正な LNK ファイルが含まれている。不正な LNK ファイルは以下の画像のように表示されるが、LNK ファイルの特性上ファイル名の末尾に拡張子が付かず、アイコンに含まれたショートカットの矢印アイコンを除けば通常の docx ドキュメントファイルと区別するのが難しい。
この LNK ファイルは 300MB 前後という異常に大きいサイズであり、内部に難読化された PowerShell コマンドが含まれている。難読化を解除した PowerShell スクリプトは以下の通りである。
この PowerShell スクリプトは自分自身(LNK)の内部に含まれた binary を xor 演算して以下のファイルを生成する。
- {Current path}\1._作成様式.docx (正常)
- %public%\qDLgNa.cab (不正)
その後、正常なドキュメントファイル(1._作成様式.docx)を実行する振る舞いが存在するが、以下の画像のように企業の広報物制作のための情報を入力するように誘導し、ユーザーの立場でドキュメントが正常に開かれたように偽装している。
生成されたファイルのうち cab ファイル内部にはさらなる不正なスクリプト(vbs、bat)が存在し、「%public%\documents\」フォルダーに解凍したあと start.vbs を実行する。その後、痕跡を抹消するために自分自身(LNK)と .cab ファイルを削除する。
start.vbs ファイルは、単に 66022014.bat バッチファイルを実行する役割のみを遂行する。
以降、複数の機能が各 bat ファイルに分かれて実行されるが、各 bat ファイルの関係に関する概略図は以下の通りである。
66022014.bat ファイルは以下のような振る舞いをする。
1. 自動実行の登録 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run に自身を登録することにより、持続性を維持
2. 07915735.bat の実行(追加ファイルのダウンロード)
3. 73505966.bat の実行(システム情報の収集)
4. 追加ファイルのダウンロード : hxxp://accwebcloud[.]com/list.php?f=%COMPUTERNAME%.txt&r={Key} 現在 C2 接続不可
5. 解凍後、temprun.bat を実行
07915735.bat ファイルは以下のような振る舞いをする。
1. 追加ファイルのダウンロード : hxxps://file.lgclouds001[.]com/read/get.php?ra={string}&r={key} 現在 C2 接続不可
2. 解凍:パスワード「a」
3. 内部に含まれた 1.bat ファイルの実行
73505966.bat ファイルは以下のような振る舞いをする。
1. システム情報の収集
– %username%\downloads パスに存在するファイルのリスト
– %username%\documents パスに存在するファイルのリスト
– %username%\desktop パスに存在するファイルのリスト
– 現在実行中のプロセスリスト
– コンピューター情報
2. 05210957.bat ファイルを通じて C2 に送信 : hxxp://accwebcloud[.]com/upload.php
特に、追加ファイルをダウンロードする際に動作する 88730413.bat は内部に PowerShell スクリプトが存在し、Argument で受け取った url の一部の文字列を現在のシステム時刻の値(Key)で暗号化し、Key 値を「r=」の後ろに続けて URL に含ませる方式により暗号化して送信するように設計されていることが確認された。
不正な URL リクエストが変化し続けるという点から、検知を困難にするための目的と見られる。
攻撃者は、最終的に temprun.bat ファイルを実行しようとするものと見られるが、現在は URL の接続が不可能であり、以降の振る舞いは追跡が不可能である。URL の接続が可能な場合、攻撃者がアップロードするファイルによって Qasar RAT、Amadey 等の様々な不正なファイルがダウンロードされる場合がある。
最近、韓国国内のユーザーを対象に様々なトピックを利用した不正な LNK ファイルが拡散されているため注意が必要だ。ユーザーはメールの送信者を注意深く確認し、出どころが不明なファイルは閲覧しないようにしなければならない。また、PC のチェックを定期的に実行し、セキュリティ製品は常に最新バージョンにアップデートする必要がある。
[ファイル検知]
Dropper/LNK.Generic (2023.11.09.01)
Trojan/BAT.RUNNER.SC194022 (2023.11.03.00)
Trojan/BAT.Agent.SC194303 (2023.11.10.03)
Downloader/BAT.Agent.SC194304 (2023.11.10.03)
Downloader/BAT.Agent.SC194305 (2023.11.10.03)
Infostealer/BAT.Agent.SC194301 (2023.11.10.03)
Infostealer/BAT.Agent.SC194302 (2023.11.10.03)
[IOC]
MD5
a95bd06ea44ca87c6ace0ad00fccdebb (1. 作成様式.docx.lnk)
df243512be8f0eafd7ba7ad77f05e8f3 (start.vbs)
a6e811d205a9189ea0f82ac33a307cec (88730413.bat)
79b0289faf6f82118f2e8cdfa3f6be53 (73505966.bat)
f8ebdb67fa4e7ba5f2723f6de6c389c8 (98543203.bat)
49caa5d4cbb8655ec8f349f0d4238344 (66022014.bat)
feb594bbb8c0c853ab3c23049f374441 (07915735.bat)
51dbeea3d0d003115365a01481c9115b (05210957.bat)
URL & C2
hxxps://file.ssdrive001[.]com/read/
hxxps://file.lgclouds001[.]com/read/
hxxps://file.lgclouds001[.]com/read/get.php
hxxp://accwebcloud[.]com/list.php
hxxp://accwebcloud[.]com/upload.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報