AhnLab SEcurity intelligence Center(ASEC)は、先月より Word ドキュメントを通して LockBit ランサムウェアが配布されていることを確認した。LockBit ランサムウェアは、主に履歴書を装って配布されることが特徴であり、今回確認された不正な Word ドキュメントも履歴書を装っていた。[1] また、Word ドキュメントの External URL リンクを活用する LockBit ランサムウェアの配布方式は、2022年に初めて確認された。[2] 最近確認された不正な Word ドキュメントファイルの名前は以下の通りである。
| ファイル名 |
|---|
| [[[231227_ヤン**]]].docx |
| 231227_イ**.docx |
| 231227ユ**.docx |
| キム**.docx |
| ソヌ**.docx |
| きめ細やかな仕事ぶり!コミュニケーションの第一人者!1.docx |
| 明るい笑顔と親切な態度の人材.docx |
| 積極的な態度で仕事に取り組みます.docx |
Word ドキュメント内部の \word\_rels\settings.xml.rels ファイルには External Link が含まれており、ドキュメント実行時に外部の URL から追加で不正なマクロコードが存在するドキュメントファイルをダウンロードする。ドキュメントのプロパティを確認すると、過去に配布されたドキュメントのプロパティと大半が一致しており、過去に使用したドキュメントを再使用していると推定される。
本文には、不正な VBA マクロが実行されるように誘導する以下のような画像が挿入されている。マクロが実行されると、External URL からダウンロードしたドキュメントファイルに含まれている VBA マクロが実行される。
確認された External URL は、以下の通りである。
- hxxps://viviendas8[.]com/bb/qhrx1h.dotm
- hxxps://learndash.825testsites[.]com/b/fgi5k8.dotm
- hxxps://neverlandserver.nn[.]pe/b/ck0zcn.dotm
ダウンロードされたドキュメントファイルを通して実行されたマクロコードは、以下の通りである。2022年に確認された VBA マクロとほとんど同じ形態で難読化されており、最終的に powershell を実行して LockBit ランサムウェアをダウンロードおよび実行する。
確認された LockBit ランサムウェアのダウンロード URL は、以下の通りである。
- hxxps://learndash.825testsites[.]com/b/abc.exe
- hxxps://viviendas8[.]com/bb/abc.exe
- hxxps://neverlandserver.nn[.]pe/b/abc.exe
ダウンロードした LockBit 3.0 ランサムウェアは、実行時にユーザー PC に存在するファイルを暗号化する。
LockBit ランサムウェア以外にも様々なマルウェアが履歴書を装って配布されているため、ユーザーは特に注意する必要がある。
[ファイル検知]
Downloader/DOC.Macro (2023.12.29.03)
Downloader/DOC.Agent (2024.01.02.03)
Downloader/XML.Exernal (2024.01.09.00)
Malware/Win.AGEN.R417906 (2021.04.27.03)
Trojan/Win.Generic.R629778(2023.12.30.01)
Ransomware/Win.LockBit.XM170 (2023.10.05.02)
[振る舞い検知]
Ransom/MDP.Event.M4194
[IOC 情報]
– DOCX
fad3e205ac4613629fbcdc428ce456e5
6424cc2085165d8b5b7b06d5aaddca9a
1b95af49b05953920dbfe8b042db9285
11a65e914f9bed73946f057f6e6aa347
60684527583c5bb17dcaad1eeb701434
61fda72ff72cdc39c4b4df0e9c099293
16814dffbcaf12ccb579d5c59e151d16
9f80a3584dd2c3c44b307f0c0a6ca1e6
– DOTM
f2a9bc0e23f6ad044cb7c835826fa8fe
4df66a06d2f1b52ab30422cbee2a4356
26b629643be8739c4646db48ff4ed4af
– EXE
7a83a738db05418c0ae6795b317a45f9
bcf0e5d50839268ab93d1210cf08fa37
ab98774aefe47c2b585ac1f9feee0f19
URL
hxxps://viviendas8[.]com/bb/qhrx1h.dotm
hxxps://learndash.825testsites[.]com/b/fgi5k8.dotm
hxxps://neverlandserver.nn[.]pe/b/ck0zcn.dotm
hxxps://learndash.825testsites[.]com/b/abc.exe
hxxps://viviendas8[.]com/bb/abc.exe
hxxps://neverlandserver.nn[.]pe/b/abc.exe
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報