AhnLab Security Emergency response Center(ASEC)は最近、Konni 攻撃グループにより個人情報流出に関する資料に偽装した不正な exe ファイルが、個人を対象に拡散していることを確認した。C2 がクローズしているため最終的な振る舞いは確認できなかったが、攻撃者から難読化されたコマンドを受け取り xml 形式で実行するバックドア型マルウェアである。
不正な exe ファイルを実行すると、.data section に存在するファイルを %Programdata% フォルダーに作成する。作成されたファイルは正常な doc ファイルを除いては難読化されている。
- Lomd02.png (不正な jse スクリプト)
- Operator.jse (不正な jse スクリプト)
- WindowsHotfixUpdate.jse (不正な jse スクリプト)
- 20231126_9680259278.doc (正常な doc ドキュメント)
- WindowsHotfixUpdate.ps1 (不正な PowerShell スクリプト)
作成されたファイルのうち、正常な「20231126_9680259278.doc」ドキュメントも含まれていることから、ユーザーに正常なファイルが実行されたように見せようとする攻撃者の意図が伺える。
Operator.jse は WindowsHotfixUpdate.jse を実行させるタスクスケジューラを作成し、WindowsHotfixUpdate.jse は WindowsHotfixUpdate.ps1 ファイルを実行させる機能を担う。WindowsHotfixUpdate.ps1 ファイルは C2 からコマンドを受け取るが、この時のコマンドは難読化されているものと思われる。ファイル名 Lomd02.png の jse ファイルが、この難読化されたコマンドを復号化して xml 形式でロードすることが確認されたためである。
現在は C2 との接続が不可能であるためこれ以上のコマンドの確認は困難だが、C2 から送信されるコマンドにより様々な追加攻撃が可能であるものと見られる。
- タスクスケジューラ名: WindowsHotfixUpdate[B409302303-02940492024]
- トリガー:無期限に1分ごとに繰り返し
- 動作:C:\ProgramData\WindowsHotfixUpdate.jse 実行
このように、おとりドキュメントファイルと共に実行されるため、一般のユーザーはシステムがマルウェアに感染したことを認知できていないケースが多い。通常であれば、このようなタイプのマルウェアは特定の対象を狙って攻撃するため、出どころの分からないメールの添付ファイルを実行しないように注意する必要がある。
[ファイル検知]
- Backdoor/JS.Konni (2023.12.06.03)
- Backdoor/Win.Konni (2023.12.06.03)
- Backdoor/PowerShell.Konni (2023.12.06.03)
[IOC]
- MD5
b58eb8a3797d3a52aba30d91d207b688 ([日付]_[名前].exe)
78ea811850e01544ca961f181030b584 (Lomd02.png)
682b5a3c93e107511fdd2cdb8e50389a (Operator.jse)
a93474c3978609c8480b34299bf482b7 (WindowsHotfixUpdate.jse)
d634cb7b45217ca4fd7eca5685a64f50 (20231126_9680259278.doc)
d06d1c2ec1490710133dea445f33bd19 (WindowsHotfixUpdate.ps1) - C2
hxxp://gjdow.atwebpages.com/dn[.]php?name=[Computer name]&prefix=tt
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報