AhnLab SEcurity intelligence Center (ASEC)は、ウクライナ政府および企業を対象に SmokeLoader マルウェアが多数配布されていることを確認し、最近ウクライナを対象とする攻撃が増加したものと見られている。現在までに確認された配布対象には、ウクライナの法務部、公共機関、保険、医療、建築、製造企業が存在した。
配布されたメールは[図1]と同様の形式であり、メール本文はウクライナ語で作成されている。本文には送り状関連のメッセージが含まれており、添付されたファイルを実行するように誘導している。
添付ファイルは圧縮ファイル(7z)であり、内部にはさらに圧縮ファイル(ZIP)が存在する。この圧縮ファイル内には SFX 形式の EXE ファイルと PDF 拡張子に偽装した SmokeLoader が含まれている。
SmokeLoader の場合拡張子が PDF になっており、ユーザーがクリックして開こうとすると正常に実行されない。このファイルは同時に存在する SFX により実行されるのだが、全体的な動作プロセスは[図4]の通りである。
まず、SFX ファイルは PDF ファイルと BAT ファイルを生成したあと、実行する。PDF ファイルは正常なファイルであり、ユーザーを欺くためのおとりファイルであり、BAT ファイルは以下のコマンドによって SmokeLoader を実行する。
- BAT コマンド
start = pax0001782.pdf
SmokeLoader はダウンローダー型のマルウェアであり、C&C サーバーに接続したあとコマンドに応じて追加のモジュールまたはマルウェアをダウンロードすることがある。実行時は explorer.exe にインジェクションを実行し、不正な振る舞いは当該プロセスを通じて行われる。まず、%AppData% パスに「ewuabsi」という名前で自己複製を実行し、非表示およびシステムファイル属性を付与する。以降、以下の C&C サーバーに接続を試み、Lockbit ランサムウェア等の様々なマルウェアがさらにダウンロードされる場合がある。
• hxxp://lumangilocino[.]ru/index.php
• hxxp://limanopostserver[.]ru/index.php
• hxxp://numbilonautoparts[.]ru/index.php
• hxxp://specvestniknuk[.]ru/index.php
• hxxp://agropromnubilon[.]ru/index.php
• hxxp://specvigoslik[.]ru/index.php
• hxxp://avicilombio[.]ru/index.php
• hxxp://germagosuplos[.]ru/index.php
• hxxp://niconicalucans[.]ru/index.php
• hxxp://civilomicanko[.]ru/index.php
[ファイル検知]
Trojan/Win.FakePDF.R626460 (2023.12.03.02)
Dropper/Win.DropperX-gen.R630443 (2024.01.05.01)
[振る舞い検知]
Malware/MDP.Execute.M1567
[IOC 情報]
MD5
852ce0cea28e2b7c4deb4e443d38595a
7ccf5bb03e59b8c92ad756862ecb96fd
C&C
hxxp://lumangilocino[.]ru/index.php
hxxp://limanopostserver[.]ru/index.php
hxxp://numbilonautoparts[.]ru/index.php
hxxp://specvestniknuk[.]ru/index.php
hxxp://agropromnubilon[.]ru/index.php
hxxp://specvigoslik[.]ru/index.php
hxxp://avicilombio[.]ru/index.php
hxxp://germagosuplos[.]ru/index.php
hxxp://niconicalucans[.]ru/index.php
hxxp://civilomicanko[.]ru/index.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報