ASEC(AhnLab Security Emergency response Center)分析チームは、過去に .chm 拡張子によって配布される AsyncRAT に関する内容を掲載したことがある。[1] このようなタイプの AsyncRAT マルウェアが、最近 WSF スクリプト形式に変形して配布されている状況を確認した。WSF ファイルは電子メール等に含まれる URL リンクから、圧縮ファイル形式(.zip)で配布されることが確認されている。
[ダウンロード URL]
1. https://*****************.com.br/Pay5baea1WP7.zip
2. https://************.za.com/Order_ed333c91f0fd.zip
3. https://*************.com/PAY37846wp.zip
4. https://*****.****.co/eBills37890913.zip
最初にダウンロードされた zip ファイルを解凍すると .wsf 拡張子を持つファイルが存在する。このファイルは、以下の画像のように大半がコメントのみで構成されており、中間に <script> タグが一つだけ存在する。
このスクリプトが動作すると、以下の画像のように Visual Basic スクリプトをダウンロードして実行し、当該スクリプトは同じ C2 アドレスから .jpg ファイル(jpg に偽装した zip ファイル)をダウンロードする。
その後、その jpg ファイルの拡張子を .zip に変更したあと解凍して内部に存在する Error.vbs ファイルを実行するコマンド文字数を xml ファイルで生成(C:\Users\Public\temp.xml)し、そのファイルを PowerShell で実行する。
ダウンロードされる zip ファイルには、Error.vbs ファイルのほかにも複数のスクリプトが存在する。
その後、順番に残りのファイル(bat、ps1)がすべて実行される。各ファイルの役割と実行フローは以下の通りである。
Error.vbs: 管理者権限の確認および Error.bat の実行
Error.bat: ユーザーアカウント制御(UAC)回避および Error.ps1 の実行
Error.ps1: C:\Users\Public\Chrome.lnk のショートカットファイル生成および自動実行(レジストリ)登録後に実行
pwng.bat: ユーザーアカウント制御(UAC)回避および pwng.ps1 の実行
pwng.ps1: ファイルレス攻撃
特に、最後に実行される pwng.ps1 ファイルは内部に含まれた文字列を .NET バイナリに変換後、ロードして実行する機能を持つ。正常なプロセス(aspnet_compiler.exe)を実行し、そのプロセスに不正なバイナリをインジェクションして動作し、このプロセスで3種類の難読化された変数が使用される。
[主な変数の意味]
$jsewy : AsyncRAT 機能を実行するマルウェア(aspnet_compiler.exe にインジェクションされるファイル)
$jsewty : インジェクション機能を実行するマルウェア
$KRDESEY : インジェクション対象プロセス(C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe)
最終的に実行されるマルウェアは情報流出およびバックドア機能を持つ AsyncRAT マルウェアであることが確認され、主な振る舞いは以下の通りである。
1. 持続性の維持
– schtasks を利用した予約タスク登録
– レジストリ登録
– 自分自身を実行したあと削除する bat ファイルを生成
2. 情報流出
– コンピューター情報:OS バージョン、User、Antivirus 製品のリスト等
– ブラウザの UserData 情報:Chrome、Brave-Browser、Edge
– 暗号通貨ウォレットの情報:RabbyWallet、Atomic、Exodus、Ledger_Live、Electrum、Coinomi、Binance、Bitcoin
加えて、当該情報を転送する C2 アドレスはファイル内部に暗号化された文字列で保存されており、実行の時点で以下の画像のように表示される。攻撃者は、この C2 のドメインと複数のポート番号を組み合わせて複数回 Connect を試みる。
このように、攻撃者は同じタイプのマルウェアを様々な方式で配布する傾向が確認されており、EXE ファイルが生成されない精巧なファイルレス手法を使用した。ユーザーは電子メールに添付されたファイルや外部リンクを開くときは常に注意しなければならず、セキュリティ製品を利用したモニタリングによって攻撃者からのアクセスを把握し、統制する必要がある。
[ファイル検知]
- Downloader/Script.Agent (2023.11.29.02)
- Trojan/VBS.RUNNER.SC194987 (2023.11.30.04)
- Trojan/BAT.RUNNER.SC194988 (2023.11.30.04)
- Trojan/BAT.RUNNER.SC194985 (2023.11.30.04)
- Trojan/PowerShell.Runner.SC194986 (2023.11.30.04)
- Trojan/PowerShell.Generic.SC194981 (2023.11.30.04)
- Trojan/PowerShell.Generic.SC194982 (2023.11.30.04)
- Trojan/Win.Injector (2023.11.30.04)
- Backdoor/Win.AsyncRAT (2022.07.12.00)
[IOC]
- MD5
750dc2354b0454eafd66900687a0f7d6 (myfax_nov272023.wsf)
790562cefbb2c6b9d890b6d2b4adc548 (Error.vbs)
a31191ca8fe50b0a70eb48b82c4d6f39 (Error.bat)
0a80a592d407a2a8b8b318286dc30769 (Error.ps1)
61b7507a6814e81cda6b57850f9f31da (pwng.bat)
ac12d457d3ee177af8824cdc1de47f2a (pwng.ps1)
c09266666ee71ade24e0e5f889cc8199
b98e76816350a6a527fc311dae62b85e - C2
hxxp://185.81.157[.]242:222/c.txt
hxxp://185.81.157[.]242:222/x.jpg
drippmedsot.mywire[.]org:6606
drippmedsot.mywire[.]org:7707
drippmedsot.mywire[.]org:8808
関連 IoC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報